bloqueio do msn não funciona mais
Eu tinha um link só no servidor de internet e funcionava as regras do bloqueio do MSN, mas agora por ter colocado mais um link
não esta mais funcionando..
meu linux e red hat 9.0
e aee esta as regras se alguem ja teve esse mesmo problema e puder me ajudar fico grato
#!/bin/sh
IF_LAN='eth0'
IF_ADSL2='eth2'
GW_ADSL2='200.xxx.xxx.xx2'
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
route add default gw 200.xxx.xxx.xxx
route add default gw 200.xxx.xxx.xx2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 8080 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
iptables -t mangle -A OUTPUT -p tcp --dport 8080 -j MARK --set-mark 2
ip rule add fwmark 2 table 30 prio 30
ip route add default via 200.xxx.xxx.xx2 dev $IF_ADSL2 table 30
CHATPORT="1863,5190"
/sbin/iptables -I INPUT -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 207.46.110.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 207.46.104.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 64.4.13.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 63.208.13.126 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.200 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.201 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.131.249 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.194.118 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.211.61 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.104.20 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.110.2 -j DROP
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
ip route flush cache
.. aee esta ele .. sempre funcionou .. quando era apenas um link mas agora por estar dois links não bloqueia mais
bloqueio do msn não funciona mais
explica melhor, que eu n to entendendo, que link eh esse que vc ta falando?
bloqueio do msn não funciona mais
Bom antes eu tinha apenas um speedy bussines.
E tinha essas regras que bloqueava o uso e acesso ao msn.
Agora houve uma necessidade de ter mais um link porem na
mesma maquina e ao colocar esse link(speed bussines) deixou de funcionar essas regras.
Do resto esta tudo funcionando normal
acesso de ssh
saida pelas duas placas
pode entender ?
bloqueio do msn não funciona mais
cara vc usa redhat e n usa RH-Lokkit?
bom, bora tenta resolver teu pro, vc agora ta com 2 ip fixo?
vc tem quantas interfaces na sua maquina?
qual interface vc ta usando pra compartilha a internet?
a interface local eh eth0?
responde isso que posso te ajudar
bloqueio do msn não funciona mais
isso mesmo ..a interface local é eth0
meu eu nunca usei esse RH-Lokkit..
bloqueio do msn não funciona mais
vc devia usar, vc ia apanha no começo mas no futuro ia facilitar sua vida, alen do mais eu posso te ajudar a usar RH-Lokkit,
agora me fala qual a interface que ta sendo usada pra net, vc esqueceu de fala isso, ja ja to indo almoçar, se n responde agora na volta eu responde ok?
bloqueio do msn não funciona mais
bom na realidade são as duas ..
eth1 e eth2 que tem a saida pra internet
bloqueio do msn não funciona mais
Citação:
route add default gw 200.xxx.xxx.xxx
route add default gw 200.xxx.xxx.xx2
vc nao pode fazer isso ..
se quizer usar dois links no mesmo servidor vc tera que configurar as rotas default via IPROUTE2 e nao via a tabela main do linux...
a unica coisa que vc ta fazendo é marcar os pacotes para um determinado link.. mais para qualquer outro pacote nao marcado por regra.. vai sair pela tabela main.. onde tem duas rotas.. e nunca ira funcionar.. pois o retorno de pacotes nunca sera pela mesma interface..
bloqueio do msn não funciona mais
humm não sei como fazer tem como dar uma força a mexer com isso ?
bloqueio do msn não funciona mais
bloqueio do msn não funciona mais
e tem mais..
nao vejo como isso poderia estar funcionando antes..
olha so suas regras..
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
CHATPORT="1863,5190"
/sbin/iptables -I INPUT -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.0.0/24 -d 207.46.110.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 207.46.104.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.7.0/24 -d 64.4.13.0/24 -j DROP
a primeira regra da chain FORWARD a ser adicionar sera a:
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
nao adianta nada vc colocar regras com DROP para essa rede abaixo dessa regra no iptables, pois a primeira regra acima ja condiciona o ACCEPT do pacote.. e as regras de DROP nunca irao ser lidas.. pois a regra ja foi checada no 1 ACCEPT.. e por ae parou o processamento das regras.. uma vez que essa regra for lida por primeiro.. nunca sera lida as regras de DROP na chain FORWARD..
bloqueio do msn não funciona mais
pow danilo, parabens , vc ta majando muito do firewall, continua assim :)
ja ultima regra do mesquerade, usar a opcao -o interface, para especificar qual a interface que vc vai compartilha a internet com as maquinas clientes
bloqueio do msn não funciona mais
Ficaria assim sem as regras do msn é isso ... Danilo
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
#Regras de chegada
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Regras de Passagem
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
default via 200.204.154.xxx dev eth1
default via 200.168.1.xxx dev eth2
echo 200 shura >> /etc/iproute2/rt_tables
echo 201 ikki >> /etc/iproute2/rt_tables
ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki
ip rule ls
#Regras de NAT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
bloqueio do msn não funciona mais
seguinte...
eu nao sei exatamente o que vc quer.. mais com essas regras ae.. nao ira ter bloqueio nenhum para a rede internet para fora.. ok .. se for isso mesmo que vc quer.. esta certo..
agora isso aqui..
----------------------------------------------------
default via 200.204.154.xxx dev eth1
default via 200.168.1.xxx dev eth2
echo 200 shura >> /etc/iproute2/rt_tables
echo 201 ikki >> /etc/iproute2/rt_tables
ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki
ip rule ls
----------------------------------------------------
nao ira funcionar... da uma estudada melhor no iproute2
bloqueio do msn não funciona mais
ops faltou uma parte do iprout
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -t nat -F
/sbin/iptables -t mangle -F
#Regras de chegada
/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Regras de Passagem
/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
default via 200.204.xxx.xxx dev eth1
default via 200.168.xxx.xxx dev eth2
echo 200 shura >> /etc/iproute2/rt_tables
echo 201 ikki >> /etc/iproute2/rt_tables
ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki
ip rule ls
ip route add default via 200.204.xxx.xxx dev eth1 table shura
ip route add default via 200.168.xxx.xxx dev eth2 table ikki
ip route flush cache
#Regras de NAT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
bloqueio do msn não funciona mais
como eu ja falei antes..
suas regras de iproute2 nao esta corretas..
olha so isso aqui..
ip rule add from 192.168.0.1 table shura
ip rule add from 192.168.0.1 table ikki
vc esta criando duas regras para um mesmo host passar por duas rotas diferentes.. o kernel usara sempre a com maior prioridade.. e a segunda nunca ira ser lida... nao se faz dessa forma..
-------------------------
ip route add default via 200.204.xxx.xxx dev eth1 table shura
ip route add default via 200.168.xxx.xxx dev eth2 table ikki
aqui ainda falta coisa.. e ate esse momento vc ainda nao definiu para o kernel qual sera sua rota de saida.. ou o proprio balanceamento... isso ae so define que um pacote que entre por uma interface siga sempre por um gateay especifico da tabela X... mais ainda assim vc nao informou para o ip route qual sera a rede que sera influenciada por cada rota..
-----------------------------------------
default via 200.204.xxx.xxx dev eth1
default via 200.168.xxx.xxx dev eth2
isso ae acima nao faz sentido estar aqui..
bloqueio do msn não funciona mais
Bom eu uso o squid para filtrar as paginas no entanto não uso o proxy trasparente.
Mas agora eu quero somente bloquear o msn .. mais nada ...
é assim que se configura dois links com o iprout2
bloqueio do msn não funciona mais
Citação:
Postado originalmente por silmar
Bom eu uso o squid para filtrar as paginas no entanto não uso o proxy trasparente.
Mas agora eu quero somente bloquear o msn .. mais nada ...
Bom.. se vc quer bloquear MSN.. essa regra aqui.. nao podera ficar ae..
/sbin/iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
nao adianta vc bloquear o MSN pelo squid.. tendo essa regra ae no iptables.. isso ae esta dizendo que tudo o que a estacao requisitar para fora.. sera atendido.. e repassado o pacote.. se quer trancar o msn.. tera que ser mais restritivo no iptables.. e so liberar as portas que lhe interessa..
Citação:
é assim que se configura dois links com o iprout2
não. Esta faltando regras ae e concordancia de roteamento...
da uma estudada melhor no iproute2 naquele link que te passei..
bloqueio do msn não funciona mais
obrigado pela sua paciencia em corrigir meus erros...
eu fiz o seguinte .. como não consegui entender esse site do iprout2
e procurei no google. achei varias condições.. mas acabei de fazer o seguinte .. peguei outra maquina que ja estava com linux e coloquei o outro link ..
outra hora irei a fundo em relação a esse iprout2, para poder entao aprender e poder usar esse potencial dele ..
bloqueio do msn não funciona mais
sem problemas..
qualquer duvida.. é so perguntar..