Bloquar porta a varios IP [RESOLVIDO]

diogospace
(usa Debian)

Enviado em 07/10/2015 - 17:24h

Galera boa tarde.
Estou eu aqui com uma nova duvida, procurei no forum antes e não a encontrei.

Tenho um determinado range de IP que não gostaria que a porta 1234 funcionasse a eles, alguem pode me auxiliar em como fazer ?:

sei que para um IP é o codigo abaixo

/sbin/iptables -A OUTPUT -p tcp -d 192.168.1.2 --dport 1234 -j DROP 

Mas, e para mais de um IP "lembrando que não são sequenciais, tipo 1.2 1.3 1.4 etc"

Obrigado pelo suporte

renato_pacheco
(usa Debian)

Enviado em 07/10/2015 - 17:33h

Faça listas. Ex.:

for i in 1.2 1.5 1.10

do

/sbin/iptables -A OUTPUT -p tcp -d 192.168.$i --dport 1234 -j DROP

done

 

Vc pode colocar essa lista dentro d um arquivo, por exemplo:

for i in $(cat /etc/firewall/block.txt)

do

/sbin/iptables -A OUTPUT -p tcp -d 192.168.$i --dport 1234 -j DROP

done

 

Use a imaginação...
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

Buckminster
(usa Debian)

Enviado em 07/10/2015 - 19:49h

iptables -A FORWARD -p tcp --d-port 1234 -m iprange --src-range xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -j DROP
iptables -A FORWARD -p tcp --s-port 1234 -m iprange --src-range xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -j DROP

caso queira bloquear mesmo acrescente abaixo

iptables -A FORWARD -p tcp --d-port 1234 -m iprange --dst-range xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -j DROP
iptables -A FORWARD -p tcp --s-port 1234 -m iprange --dst-range xxx.xxx.xxx.xxx-xxx.xxx.xxx.xxx -j DROP

src-range bloqueia na origem e dst-range bloqueia no destino.

Para IPs não seqüenciais siga a dica do Renato.

http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

sergeimartao
(usa Linux Mint)

Enviado em 08/10/2015 - 09:41h

Pegando o tópico de tabela. Conheço um pouco de iptables, mas as soluções fornecidas pelo renato_pacheco e Buckminster são muito interessantes e não conhecia, anotei mais duas, vlw por postarem!

diogospace
(usa Debian)

Enviado em 08/10/2015 - 12:18h

Exato senhores, ambas as informações foram uteis e funcionais, esta do range serviu para que eu fizesse o mesmo a uma vlan que possuo.

Apenas onde esta --d-port --s-port o correto é sem o - entre o d e p / s e p --dport --sport

Obrigado pelo suporte e atenção.