-
cara...
não se ofenda... nada pessoal, mas com aquelas perguntas que fiz são mais pra você mesmo verificar se está tudo oq do que eu ver...
faça uma análise do que eu perguntei...
veja que em uma resposta você colocou que não conseguiu subir o módulo iptables, mas veja também que os módulos estão carregados normalmente...
e a regra de redirecionamento está ok também, aparentemente está OK...
a eth ligada a rede interna é a eth1??
-
Obrigado ai pela atençãoe pela paciencia.:cool: :)
sim é dessa forma :
eth0: meu IP real
eth1: 192.168.1.104
Ta complidissimo ., o msn não bloqueia, e não consigo navegar
-
Kra eu bloqueio o msn pelo iptables assim:
# Bloqueia msn
iptables -t filter -A FORWARD -s 192.168.0.0/27 -p tcp --dport 1863 -j DROP
iptables -t filter -A FORWARD -d 192.168.0.0/27 -s loginnet.passport.com -j DROP
iptables -A FORWARD -s 192.168.0.15/27 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.15/27 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -d loginnet.passport.com -j REJECT
iptables -t filter -A INPUT -d 72.232.16.75 -j DROP
iptables -t filter -A FORWARD -d 72.232.16.75 -j DROP
iptables -t filter -A OUTPUT -d 72.232.16.75 -j DROP
tenho isso em 2 servers rodando e nunca tive problema...
-
Olha, eu dei uma olhada rápida no seu script de firewall e eu gostaria de dar algumas sugestões para você.
A primeira é: Quando nós escrevemos um script pequeno, tudo bem, mas quando nós começamos a escrever scripts maiores, é interessante dividir as regras em funções e criar novas chains.
A segunda é: O iptables trabalha da seguinte maneira: Ele pega um pacote e vai comparando os dados do cabeçalho TCP/IP nas regras. Se ele tromba uma regra que casa e que libera primeiro e depois só que vem uma regra que bloqueia, ele vai ignorar a que bloqueia.
A terceira é: Quando nós vamos recompilar o kernel, depois de aplicado o patch, nos é permitido habilitar também o suporte a um output que é mostrado dentro do arquivo /var/log/syslog. De vez em quando eu gosto de habilitar tal suporte.
A quarta é: O nome do módulo para iptables não é "iptables", mas sim "ip_tables".
A quinta é: Tente fazer o seguinte: Pegue o seu script de firewall e corte toda a gordura e deixe só o quê interessa. Nesses casos, é até melhor escrever um outro do zero. E teste para ver se consegue alguma coisa. Geralmente eu recomendo isso porque fica mais fácil de ir cercando a ordem que está dando problema no comportamento do firewall.
Abraços!
-
Pessoal descobri o motivo de não conseguir navegar o problema é que versão do squid que tava usando requeria uma regra diferente para que p proxy transparente funcionasse.,
# NETWORK OPTIONS
http_port 192.168.1.0:3128 transparent
Com relação ao bloqueio do msn percebi que o msmmessenger bloqueia sem problemas ., ja o windows live messenger não consigo bloquer será que tem que ser aplicada uma regra especifica prar esse carinha?
a regra que to usando é a seguinte
iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP