bloquear msn no iptables [RESOLVIDO]

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 00:37h

antes de tudo, meu iptables está assim

============================

#!/bin/bash

IPTABLES="/usr/sbin/iptables"

# Limpando as regras em memória
iptables -F -t filter
iptables -F -t mangle
iptables -F -t nat
iptables -X -t filter
iptables -X -t mangle
iptables -X -t nat
iptables -Z -t filter
iptables -Z -t mangle
iptables -Z -t nat

# Mudando as políticas para DROP
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

#INPUT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#FORWARD
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#OUTPUT


echo "Iptables...[Ok]"

=============================================

eu consigo acessar o msn tranquilamente, não era p ele bloquear??

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 00:47h

Se você estiver acessando o msn na máquina (servidor), você vai consegue acessar qualquer coisa mesmo, pois está liberado qualquer saida de pacotes nele e liberado a entrada de pacotes de conexões já estabelecidas.

BUT(mas), se estiver conectando de uma outra máquina ai sim ele deveria bloquear.

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 00:53h

o iptables está rodando local, ou seja, no meu desk

nesse caso qual parte do script está liberando o acesso??

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 01:02h

e eu acredito que é nesse seu desk que está acessando o msn.

então é essa parte do script que está liberando o acesso:
iptables -t filter -P OUTPUT ACCEPT <-- deixa sair qualquer pacote

e já que deixa qualquer pacote sair, por essa parte do script deixa entrar qualquer pacote relacionado aos que sairam:
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 01:08h

puts

da ultima vez que coloquei

$IPTABLES -t filter -P OUTPUT DROP

não consegui mais acessar a internet, tem como coloca DROP e acessar a internet? faz tempo que estou tentando desse jeito e não consegui, até que desisti

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 01:19h

claro, deixando tudo em DROP ai vc tem que ir liberando as portas dos serviços que for usar

pra acessar a net:
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sports 80,443 -j ACCEPT

PS: se for usar essa regra abaixo, não precisará usar a 2 regra (INPUT)
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 01:23h

você tambem precisa liberar o trafego de pacotes do serviço de DNS

iptables -A OUTPUT -p tcp -m multiport --dports 53,5353 -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports 53,5353 -j ACCEPT
iptables -A INPUT -p tcp -m multiport --sports 53,5353 -j ACCEPT
iptables -A INPUT -p udp -m multiport --sports 53,5353 -j ACCEPT

da uma olhada:
http://blog.cesar.augustus.nom.br/instalando-o-firewall-no-linux.html

removido
(usa Nenhuma)

Enviado em 15/09/2010 - 01:36h

agr está assim

=======================

#!/bin/bash

IPTABLES="/usr/sbin/iptables"

# Limpando as regras em memória
$IPTABLES -F -t filter
$IPTABLES -F -t mangle
$IPTABLES -F -t nat
$IPTABLES -X -t filter
$IPTABLES -X -t mangle
$IPTABLES -X -t nat
$IPTABLES -Z -t filter
$IPTABLES -Z -t mangle
$IPTABLES -Z -t nat

# Mudando as políticas para DROP
$IPTABLES -t filter -P INPUT DROP
$IPTABLES -t filter -P OUTPUT DROP
$IPTABLES -t filter -P FORWARD DROP

#INPUT
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m multiport --sports 80,443 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m multiport --sports 53,5353 -j ACCEPT
$IPTABLES -A INPUT -p udp -m multiport --sports 53,5353 -j ACCEPT

#FORWARD
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


#OUTPUT
$IPTABLES -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m multiport --dports 53,5353 -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m multiport --dports 53,5353 -j ACCEPT

echo "Iptables...[Ok]"

============================================

e não consegui ter acesso a internet, e não consegui acessar o link "com outra regra do firewall"

removido
(usa Nenhuma)

Enviado em 20/09/2010 - 15:37h

Você pode bloquear pelo squid:

palavra chave --> "gateway.dll"



Abraço.
Espero ter ajudado!
slackpunk.

tecnicodiegorato
(usa Ubuntu)

Enviado em 21/09/2010 - 12:12h

assim

# Libera MSN
iptables -I FORWARD 1 -i eth0 -s 192.168.0.0/24 -p tcp --dport 1863 -j ACCEPT

# Bloqueia MSN
iptables -I FORWARD 1 -i eth0 -s 192.168.0.221 -p tcp --dport 1863 -j DROP

pois com essas linhas, eu libero em todas as maquinas e bloqueio por ip nas maquinas que me interessam, pode se fazer o reverso

#Bloqueia MSN
iptables -I FORWARD 1 -i eth0 -s 192.168.0.0/24 -p tcp --dport 1863 -j DROP

que irá bloquear todas as máquinas.

removido
(usa Nenhuma)

Enviado em 21/09/2010 - 13:32h

assim que chegar em ksa vou testar

p q serve o forward

eu sei que o input é dados que entra

output é dados que sai

vlw