Iptables - alguns sites funcionam, outros nao

tmenace · 14-03-2005, 20:10

pessoal, estou com um prblemao:

tenho um linux com um scriptzinho q faz o roteamento de internet

tudo ia bem, ai trquei a conexao para o virtua e bagunçou tudo. naum fiz backup, q animalisse e restaurei o q tinha sido comentado. desde esse dia, alguns sites funcionam, outros naum!

por exemplo: o terra funciona, o under-linux.org naum
o msn funciona, o www.knijnik.com.br naum

uso uma conexao discada com a gvt (ppp0) rede local na faixa de ip 100.100.100.0/255.255.255.0 na eth0 e o modem adsl na eth1. por favor, olhem o meu script, ja perdi ateh os kbelos! nem os outlooks funcionam mais!

obrigado.

#!/bin/sh
#

#limpar regras atuais do iptables
iptables -f
iptables -f input
iptables -f output
iptables -f postrouting -t nat
iptables -f prerouting -t nat

echo 1 > /proc/sys/net/ipv4/ip_forward

#deixei comentado, nunca usei.
#iptables -a input -p tcp --syn -j drop
#iptables -a input -p tcp --destination-port 22 -j accept

adsl-start

#liberar uol e pop para carlos arthur.
iptables -a forward -s 100.100.100.163 -d www.uol.com.br -j accept
iptables -a forward -s 100.100.100.163 -d www.pop.com.br -j accept
iptables -a forward -s 100.100.100.163 -d webmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.163 -d popmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.163 -d www.vivo.com.br -j accept
iptables -a forward -s 100.100.100.163 -d www.telefonica.com.br -j accept
iptables -a forward -s 100.100.100.163 -d www.vivo-rs.com.br -j accept

#liberar hotmail para a máquina da rose e do dr. renato
#rose
iptables -a forward -s 100.100.100.24 -d www.uol.com.br -j accept
iptables -a forward -s 100.100.100.24 -d www.pop.com.br -j accept
iptables -a forward -s 100.100.100.24 -d hotmail.com.br -j accept
iptables -a forward -s 100.100.100.24 -d hotmail.com -j accept
iptables -a forward -s 100.100.100.24 -d www.hotmail.com -j accept
iptables -a forward -s 100.100.100.24 -d www.hotmail.com.br -j accept
iptables -a forward -s 100.100.100.24 -d webmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.24 -d popmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.24 -d msn.com.br -j accept
iptables -a forward -s 100.100.100.24 -d g.msn.com.br -j accept
iptables -a forward -s 100.100.100.24 -d www.msn.com.br -j accept
iptables -a forward -s 100.100.100.24 -d loginnet.passport.com -j accept
iptables -a forward -s 100.100.100.24 -d msnialogin.passport.com -j accept
#dr. renato
iptables -a forward -s 100.100.100.158 -d www.uol.com.br -j accept
iptables -a forward -s 100.100.100.158 -d www.pop.com.br -j accept
iptables -a forward -s 100.100.100.158 -d hotmail.com.br -j accept
iptables -a forward -s 100.100.100.158 -d hotmail.com -j accept
iptables -a forward -s 100.100.100.158 -d www.hotmail.com -j accept
iptables -a forward -s 100.100.100.158 -d www.hotmail.com.br -j accept
iptables -a forward -s 100.100.100.158 -d webmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.158 -d popmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.158 -d msn.com.br -j accept
iptables -a forward -s 100.100.100.158 -d g.msn.com.br -j accept
iptables -a forward -s 100.100.100.158 -d www.msn.com.br -j accept
iptables -a forward -s 100.100.100.158 -d loginnet.passport.com -j accept
iptables -a forward -s 100.100.100.158 -d msnialogin.passport.com -j accept

#alguns sites para o ip 100.100.100.167 (pode ser útil)
iptables -a forward -s 100.100.100.167 -d www.hotmail.com.br -j accept
iptables -a forward -s 100.100.100.167 -d www.ig.com.br -j accept
iptables -a forward -s 100.100.100.167 -d amazonas.uol.com.br -j accept
iptables -a forward -s 100.100.100.167 -d uol.com.br -j accept
iptables -a forward -s 100.100.100.167 -d www.uol.com.br -j accept
iptables -a forward -s 100.100.100.167 -d www.pop.com.br -j accept
iptables -a forward -s 100.100.100.167 -d hotmail.com.br -j accept
iptables -a forward -s 100.100.100.167 -d hotmail.com -j accept
iptables -a forward -s 100.100.100.167 -d www.hotmail.com -j accept
iptables -a forward -s 100.100.100.167 -d www.hotmail.com.br -j accept
iptables -a forward -s 100.100.100.167 -d webmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.167 -d popmail.pop.com.br -j accept
iptables -a forward -s 100.100.100.167 -d msn.com.br -j accept
iptables -a forward -s 100.100.100.167 -d g.msn.com.br -j accept
iptables -a forward -s 100.100.100.167 -d www.msn.com.br -j accept
iptables -a forward -s 100.100.100.167 -d loginnet.passport.com -j accept
iptables -a forward -s 100.100.100.167 -d msnialogin.passport.com -j accept
iptables -a forward -s 100.100.100.167 -d www.zipmail.com -j accept
iptables -a forward -s 100.100.100.167 -d zipmail.com -j accept
iptables -a forward -s 100.100.100.167 -d zipmail.uol.com.br -j accept
iptables -a forward -s 100.100.100.167 -d 64.14.124.65 -j accept
iptables -a forward -s 100.100.100.167 -d www.vivo.com.br -j accept
iptables -a forward -s 100.100.100.167 -d vivo.com.br -j accept
iptables -a forward -s 100.100.100.167 -d www.ig.com.br -j accept
iptables -a forward -s 100.100.100.167 -d ig.com.br -j accept
iptables -a forward -s 100.100.100.167 -d icq.com -j accept
iptables -a forward -s 100.100.100.167 -d go.icq.com -j accept
iptables -a forward -s 100.100.100.167 -d 64.233.161.104 -j accept
iptables -a forward -s 100.100.100.167 -d 64.233.187.0/24 -j accept
iptables -a forward -s 100.100.100.167 -d 64.233.161.104 -j accept
iptables -a forward -s 100.100.100.167 -d 64.233.167.104 -j accept
iptables -a forward -s 100.100.100.167 -d 64.233.187.99 -j accept
iptables -a forward -s 100.100.100.167 -d webmessenger.msn.com -j accept
iptables -a forward -s 100.100.100.167 -d chat.terra.com.br -j accept

#sites bloqueados
iptables -a forward -d 64.124.41.0/24 -j reject
iptables -a forward -d 216.35.208.0/24 -j reject
iptables -a forward -p tcp --dport 6346 -j reject
iptables -a forward -p tcp --dport 6346 -j reject
iptables -a forward -d 209.61.186.0/24 -j reject

#bloquear web messenger
iptables -a forward -d webmessenger.msn.com -j reject
iptables -a forward -d webmessenger.com.br -j reject

iptables -a forward -d 64.49.201.0/24 -j reject
iptables -a forward -d 209.25.178.0/24 -j reject
iptables -a forward -d 206.142.53.0/24 -j reject
iptables -a forward -p tcp --dport 1214 -j reject
iptables -a forward -d 213.248.112.0/24 -j reject
iptables -a forward -p tcp --dport 1214 -j reject
iptables -a forward -p tcp --dport 6346 -j reject
iptables -a forward -d 64.245.58.0/23 -j reject
iptables -a forward -d login.oscar.aol.com -j reject
iptables -a forward -p tcp --dport 5190 -j reject
iptables -a forward -d login.icq.com -j reject
iptables -a forward -p tcp --dport 1863 -j reject
iptables -a forward -d 64.4.13.0/24 -j reject
iptables -a forward -d cs.yahoo.com -j reject
iptables -a forward -d scsa.yahoo.com -j reject
iptables -a forward -d pop.com.br -j reject

iptables -a forward -s 100.100.100.0/24 -p tcp --dport 1863 -j reject
iptables -a forward -s 100.100.100.0/24 -d loginnet.passport.com -j reject
iptables -a forward -s 100.100.100.0/24 -d www.pop.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.uol.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.msn.com -j reject
iptables -a forward -s 100.100.100.0/24 -d www.msn.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d msn.com -j reject
iptables -a forward -s 100.100.100.0/24 -d msn.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d g.msn.com -j reject
iptables -a forward -s 100.100.100.0/24 -d feeds.latam.msn.com -j reject
iptables -a forward -s 100.100.100.0/24 -d rad.msn.com -j reject
iptables -a forward -s 100.100.100.0/24 -d 64.14.124.65 -j reject
iptables -a forward -s 100.100.100.0/24 -d baym-gw12.msgr.hotmail.com -j reject
iptables -a forward -s 100.100.100.0/24 -d 212.202.189.104 -j reject
iptables -a forward -s 100.100.100.0/24 -d 217.46.110.12 -j reject
iptables -a forward -s 100.100.100.0/24 -d www.yahoo.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.yahoo.com -j reject
iptables -a forward -s 100.100.100.0/24 -d zipmail.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d chat.terra.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d bol.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.bol.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d orkut.com -j reject
iptables -a forward -s 100.100.100.0/24 -d www.orkut.com -j reject
iptables -a forward -s 100.100.100.0/24 -d www.ig.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d ig.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.piabaladas.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.clicrbs.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d clicrbs.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.ibest.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d ibest.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.globo.com -j reject
iptables -a forward -s 100.100.100.0/24 -d globo.com -j reject
iptables -a forward -s 100.100.100.0/24 -d popmail.pop.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d webmail.pop.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d webmail.ig.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d webmail.bol.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d popmail.pop.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.e-messenger.net -j reject
iptables -a forward -s 100.100.100.0/24 -d e-messenger.net -j reject
iptables -a forward -s 100.100.100.0/24 -d www.vivo.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d vivo.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.claro.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.estadao.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d estadao.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.click21.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.click21.estadao.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d click21.estadao.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d click21.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d webmail.click21.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.yahoo.com -j reject
iptables -a forward -s 100.100.100.0/24 -d yahoo.com -j reject
iptables -a forward -s 100.100.100.0/24 -d us.i1.yimg.com -j reject
iptables -a forward -s 100.100.100.0/24 -d mail.yahoo.com -j reject
iptables -a forward -s 100.100.100.0/24 -d mail.com -j reject
iptables -a forward -s 100.100.100.0/24 -d www.mail.com -j reject
iptables -a forward -s 100.100.100.0/24 -d www.zoomdafesta.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d zoomdafesta.com.br -j reject
#iptables -a forward -s 100.100.100.0/24 -d fotolog.terra.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.spfc.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.opus666.com -j reject
iptables -a forward -s 100.100.100.0/24 -d opus666.com -j reject
#bloquear o google
iptables -a forward -s 100.100.100.0/24 -d www.google.com -j reject
iptables -a forward -s 100.100.100.0/24 -d www.google.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d google.com -j reject
iptables -a forward -s 100.100.100.0/24 -d google.com.br -j reject

iptables -a forward -s 100.100.100.0/24 -d www.beltrano.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d beltrano.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d webserver.gazzag.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d www.cidadeinternet.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d cidadeinternet.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d webmail.cidadeinternet.com.br -j reject

#google pelo ip
iptables -a forward -s 100.100.100.0/24 -d 64.233.161.104 -j reject
iptables -a forward -s 100.100.100.0/24 -d 64.233.167.104 -j reject
iptables -a forward -s 100.100.100.0/24 -d 64.233.187.99 -j reject

#bloquear o cade pelo domain e pelo ip
iptables -a forward -s 100.100.100.0/24 -d www.cade.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d cade.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d 200.152.161.113 -j reject
#bloquear o aonde pelo domain e pelo ip
iptables -a forward -s 100.100.100.0/24 -d www.aonde.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d aonde.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d 200.231.29.14 -j reject
#bloquear america online
iptables -a forward -s 100.100.100.0/24 -d www.americaonline.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d americaonline.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d 205.188.133.183 -j reject
iptables -a forward -s 100.100.100.0/24 -d www.aol.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d aol.com.br -j reject
iptables -a forward -s 100.100.100.0/24 -d 205.188.130.26 -j reject

#bloquear messenger
iptables -a forward -s 100.100.100.0/24 -d 65.54.131.249 -j reject
iptables -a forward -s 100.100.100.0/24 -d 65.54.211.61 -j reject
iptables -a forward -s 100.100.100.0/24 -d 65.54.194.118 -j reject
iptables -a forward -s 100.100.100.0/24 -d msnialogin.passport.com -j reject

#bloquear click21 por ip, pois o server tem vários hosts
iptables -a forward -s 100.100.100.0/24 -d 200.255.152.0/24 -j reject
iptables -a forward -s 100.100.100.0/24 -d 200.228.126.0/24 -j reject
iptables -a forward -s 100.100.100.0/24 -d 200.174.85.0/24 -j reject
iptables -a forward -s 100.100.100.0/24 -d 200.246.246.0/24 -j reject

iptables -a forward -i ppp0 -o eth0 -m state --state established,related -j accept
iptables -t nat -a postrouting -o ppp0 -j masquerade
iptables -a forward -i eth0 -o ppp0 -m state --state established,related -j accept

#liberar todos os pacotes
iptables -a forward -j accept

#libera a passagem dos pacotes
iptables -a forward -i ppp0 -o eth0 -j accept
iptables -t nat -a postrouting -o ppp0 -j masquerade
iptables -t nat -a postrouting -s 0/0 -j masquerade

drginfo · 15-03-2005, 05:53

Se não me falha a memória, o virtua não disca o modem pega o ip e repassa direto para a placa de rede ou seja o que vc usava para rotear na ppp0 agora deve ser eth1, se vc der um ifconfig eth1, vc vai perceber que está com ip válido, então basicamente vc só precisa mudar de ppp0 para eth1.

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s "sua rede"/24 -o eth1 -j MASQUERADE

Coloca as duas linhas acima no início do teu script logo abaixo das regras que limpam as regras de firewall

e a linha logo abaixo vc coloca em último, ok!
iptables - A INPUT -p tcp --syn -j DROP

isso deve funcionar , se não funcionar posta aí de novo, valeu. Espero que te ajude!!

15-03-2005, 09:06

Não era bem isso. Eu acabei voltando para a conexão com a gvt, que é discada. O virtua ficou em outra máquina.
Só q a gvt com a discada, depois de restaurada, simplesmente funciona os sites q quer.
Já tentei ateh liberar todos os sites, mandei accept nos sites q naum entram e nada. Será q eh com a gvt? Uso red hat 9 e iptables 1.3.1. Obrigado

gmlinux · 15-03-2005, 16:52

Postado originalmente por Anonymous

NÃO ERA BEM ISSO. EU ACABEI VOLTANDO PARA A CONEXÃO COM A GVT, QUE É DISCADA. O VIRTUA FICOU EM OUTRA MÁQUINA.
SÓ Q A GVT COM A DISCADA, DEPOIS DE RESTAURADA, SIMPLESMENTE FUNCIONA OS SITES Q QUER.
JÁ TENTEI ATEH LIBERAR TODOS OS SITES, MANDEI ACCEPT NOS SITES Q NAUM ENTRAM E NADA. SERÁ Q EH COM A GVT? USO RED HAT 9 E IPTABLES 1.3.1. OBRIGADO

Quebra o galho e usa caixa baixa

(consulta a netiqueta)

**mistymst** · 15-03-2005, 16:59

Cara... usa um proxy, o squid é melhor, bloqueia a conexao para internet e libera acesso ao proxy e faz o controle dos usuarios e acesso via proxy, muito melhor de gerenciar... do jeito que voce ta fazendo é complicado, muitas regras para poucas coisas, sem falar na duplicidade de regras, so mudando o source para o mesmo destino.. um load desnecessario ao firewall.

Eu diria que isso é "escovação de bits" , trabalho manual d+, bom se voce seguir a minha dica de usar o squid para resolver o seu problema, eu te garanto que funcionara bem MELHOR do que isso que voce esta fazendo, independe de que diabos de conexao voce use.

Iptables - alguns sites funcionam, outros nao

Ferramentas de Tópicos