+ Responder ao Tópico



  1. #1

    Padrão Bloquear com Iptables

    Seguinte pessoal tentei bloquear um ip aqui na rede, esse ip nao vai aceitar nada nao vai navegar e nem outro serviço, vi um artigo q me deu essa linha de comando no iptables.

    #iptables -A FORWARD -d ip -j DROP

    Funcionou mas ele continua abrindo só http.
    Isso eu uso o squid redirecionando a porta 80 para a 3128 mas pelo seguinte comando eu nao ping em www.uol.com.br e nem outro site só q mesmo assim consigo abrir qualquer site, o resto ele bloqueou tudo menos web.

    Já tentei bloquear só as portas 80 e 3128 e nao deu certo

    #iptables -A FORWARD -d IP -p tcp --sport 80 -j DROP
    #iptables -A FORWARD -d IP -p tcp --sport 80 -j DROP

    Nao funciona de jeito nenhum, OBS: iptables roda proxy transparente e direciona a porta 80 para 3128.

    HELP ME

  2. #2
    D4rk_Sl4ck
    Visitante

    Padrão Bloquear com Iptables

    antes de tudo: voce verificou se a política padrão do iptables está DROP???
    se não execute:
    Código :
    # iptables -P INPUT DROP
    # iptables -P OUTPUT DROP
    # iptables -P FORWARD DROP

    Vc está fazendo masquerade ou somente roteamento com IP's válidos???

    Verifiquei que você usou o argumeto --sport 80 na regra:
    Código :
    # iptables -A FORWARD -d IP -p tcp --sport 80 -j DROP
    ... no caso eu acho que deveria ser --dport 80 .. pq com essa regra vc está dizendo à máquina, para não aceitar uma conexão de "IP" que tenha vindo da porta 80.

    Código :
    # iptables -A FORWARD -d IP -p tcp --dport 80 -j DROP

    Vc tentou bloquear as chains INPUT e OUTPUT tb para esse endereço?


    qualquer coisa manda seus resultados!!

  3. #3
    Kablu
    Visitante

    Padrão Bloquear com Iptables

    Olá,

    Acho que é pq vc esta bloqueando somente forward... tente bloquear input.

    IPTABLES -A INPUT -d ip -j DROP

    Ai essa maquina nao vai aceitar nem ping do ip.

    Abraço :good:

  4. #4

    Padrão Bloquear com Iptables

    bloquear o input deve resolver, pois ele chega ao squid e daí tem acesso a toda a internet.
    claro que vc também pode bloquear no squid.