Msn Iptables

[polacoctba]

:?: eu bloquei na minha rede o messager até ai tudo blz

iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 192.168.2.0/24 -d loginnet.passport.com -j DROP

o problema é quando eu vo libera ele apenas pra duas maquinas !!

iptables -A FORWARD -s 192.168.2.4 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.2.4 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.2.15 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.2.15 -d loginnet.passport.com -j ACCEPT

funciono so que todas as maquinas com win 98 na facha 192.168.2.0/24 ficam com acesso ao messager e as maquinas com xp nao conectao!!
o que esta de errado será que o problema ta no win98???

[Brenno]

de tanto responde esses topicos, eu criei um mini howto, espero que ajude.

O msn ele utiliza duas maneiras pra se autenticar, uma eh a porta 1863, e a outra ele utiliza a porta 80 e busca o arquivo chamado gateway.dll, pra barra o msn vc precisa do squid + iptables

iptables vc barra a porta de forward 1863
squid vc utiliza pra barra o gateway.dll

então no arquivo onde vc coloca os sites que n deveram acessa, vc coloca esse nome gateway.dll

agora bora deixa seu squid transparente...

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128

se squid tiver na mesma maquina onde ta o firewall, troque o DNAT por REDIRECT

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

lembrando que 192.168.1.0/24 é o ip da sua rede interna e o 192.168.1.1 é o ip onde ta o squid.

aqui, como ta tudo drop, eu n barro a porta 1863, eu só faço liberar pra algumas maquinas, mas vou manda a regra pra barra-la

iptables -A FORWARD -s 182.168.1.0/24 -p tcp --dport 1863 -j DROP

t+, qualquer duvida posta ae

[ruyneto]

de tanto responde esses topicos, eu criei um mini howto, espero que ajude.

O msn ele utiliza duas maneiras pra se autenticar, uma eh a porta 1863, e a outra ele utiliza a porta 80 e busca o arquivo chamado gateway.dll, pra barra o msn vc precisa do squid + iptables

iptables vc barra a porta de forward 1863
squid vc utiliza pra barra o gateway.dll

então no arquivo onde vc coloca os sites que n deveram acessa, vc coloca esse nome gateway.dll

agora bora deixa seu squid transparente...

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128

se squid tiver na mesma maquina onde ta o firewall, troque o DNAT por REDIRECT

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

lembrando que 192.168.1.0/24 é o ip da sua rede interna e o 192.168.1.1 é o ip onde ta o squid.

aqui, como ta tudo drop, eu n barro a porta 1863, eu só faço liberar pra algumas maquinas, mas vou manda a regra pra barra-la

iptables -A FORWARD -s 182.168.1.0/24 -p tcp --dport 1863 -j DROP

t+, qualquer duvida posta ae

Brewno, podia por esse mini how to em algum artigo ou sei la pra facilitar pro pessoal.

falows

[gatoseco]

Me corrigam se eu estiver errado mas nao e libera antes e depois bloqueia???

Amigo tente essas regras pra ver se da certo!!!

# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d loginnet.passport.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/32 -d loginnet.passport.com -j REJECT

# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -d webmessenger.msn.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -d webmessenger.msn.com -j REJECT

Valeu mano ate mais !!! Qualquer coisa posta ai !!!

Me corrigam se eu estiver errado mas nao e libera antes e depois bloqueia???

Amigo tente essas regras pra ver se da certo!!!

# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d loginnet.passport.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/32 -d loginnet.passport.com -j REJECT

# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -d webmessenger.msn.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -d webmessenger.msn.com -j REJECT

Valeu mano ate mais !!! Qualquer coisa posta ai !!!

Correto

[polacoctba]

ae bloquei no iptables e no squid mais o win 98 continua se conectando ao messenger a maquina com o win 98 é 192.168.2.7
#iptables
iptables -A FORWARD -s 192.168.2.15 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.2.15 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 192.168.2.0/24 -d loginnet.passport.com -j DROP

#isquid
gateway.dll

[Brenno]

se seu squid tiver transparente, tem algo errado com teu firewall, digita iptables -L -v e cola aqui

e digita
iptables -L -v -t nat e cola

tmb cola a acl q vc crio pro gateway.dll no squid..


ja olho o policiamento nas chain se ta drop? e tira essas regras que tem
loginnet.passport.com, não precisa disso..
abraço

[polacoctba]

Dae Tdo bem!!! ai esta o comando iptables -L -v -t nat


Chain PREROUTING (policy ACCEPT 1406K packets 108Mbytes)
pkts bytes target prot opt in out source destination

3403 163K REDIRECT tcp --any any 192.168.2.0/24 anywhere
tcp dpt:http redir ports 3128

Chain POSTROUTING (policy ACCEPT 60930 packets 4065k bytes)
pkts bytes target prot optin out source destination

891 50522 MASQUERADE all --any eth0 192.168.2.0/24 anywhere

Chain OUTPUT (policy ACCEPT 60735 packets 4053k bytes)
pkts bytes target prot opt in out source destination

No squid tem um arquivo onde eu coloco as palavras proibidas abri ele e so digitei
gatewall.dll

Valeu !!!

verifique se na regra da porta do msn essa sendo dropado, caso n, em vez de -A , troque por -I na drop da chain forward...

[Brenno]

fui eu q respondi ae cima. t+

[Brenno]

e o comando que eu pedi pra vc colar, vc n colou a regra da porta do msn, n tem como saber se vc ta dropando a porta, e olha o policiamento das suas chain, se ta drop, caso n saiba fazer isso, da um toque...

fico aguardando

[polacoctba]

agora que eu coloquei o - I na chain forward deu certo !!! esse ai nao conhecia !

:?: Qual a diferença pra -A pra -I ???

[Brenno]

teu firewall ta furado, se eu fosse vc eu parava tudo e analizava regra por regra...

Inserindo uma regra - I
Precisamos que o tráfego vindo de 192.168.1.15 não seja rejeitado pelo nosso firewall. Não podemos adicionar uma nova regra (-A) pois esta seria incluída no final do chain e o tráfego seria rejeitado pela primeira regra (nunca atingindo a segunda). A solução é inserir a nova regra antes da regra que bloqueia todo o tráfego ao endereço 127.0.0.1 na posição 1:

iptables -t filter -I INPUT 1 -s 192.168.1.15 -d 127.0.0.1 -j ACCEPT

Após este comando, temos a regra inserida na primeira posição do chain (repare no número 1 após INPUT) e a antiga regra número 1 passa a ser a número 2. Desta forma a regra acima será consultada, se a máquina de origem for 192.168.1.15 então o tráfego estará garantido, caso contrário o tráfego com o destino 127.0.0.1 será bloqueado na regra seguinte.

focalinux

[polacoctba]

ham entao a minhas regras

iptables -P INPUT DROP
iptables -P FORWARD DROP

Tem que ser as ultimas ?!

[Brenno]

cara, não adianta vc fica dando tiro no escuro, vai em http://focalinux.cipsga.org.br/guia/...w-iptables.htm

e estuda iptables..

abraço