Denuncie   Favoritos   Indicar  

01 02

BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

13. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

André Canhadas
andrecanhadas
(usa Debian)

Enviado em 03/08/2012 - 18:20h

Rodando manualmente ele mostra algum erro?

Notei que tem uma linha errada(Incompleta) no seu script:

#echo -n "transproxy, "
#iptables -A PREROUTING -t nat -s $LAN -p tcp --dport 80 -j #REDIRECT --to-port 3128
#
#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


NEW,ESTABLISHED,RELATED -j MASQUERADE

##################


Estava no seu script e passei batido na primeira vista e foi na minha versão também.

0 0
  • Quote

    •   


    14. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

    Thiago
    thiago_th
    (usa Red Hat)

    Enviado em 03/08/2012 - 18:33h



    ###############################
    ###############################
    ###############################

    ### BLOQUEAR CONEXOES EXTERNAS A PORTA 3128 - 02/08/2012
    iptables -A INPUT -i eth1 -p tcp -s 192.168.0.0/255.255.255.0 --dport 3128 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp --dport 3128 -j DROP

    ###############################
    ###############################
    ###############################



    Não, aquela linha eu tinha notado e comentei. Eu pensei que fosse por causa da regra citada acima pois, afina, bloqueamos tudo e só liberamos o INPUT de algumas portas logo no início do script, então não tem o porque "dropar" a 3128 novamente. Eu comentei esta linha, reiniciei o script, mas nada. Muito estranho isso. Acho que os comandos, logo no início, para apagar as tabelas iptables, não estão sendo apagando todas, de fato. Por isso acho que pode estar ocorrendo algum conflito. Existem outros comandos que eu possa utilizar para apagar todas as regras iptables?

    0 0
  • Quote

    • 15. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

    Thiago
    thiago_th
    (usa Red Hat)

    Enviado em 03/08/2012 - 18:44h

    Acho que descobri o que é. Quando executo este script novo e, em seguida executo o comando service --status-al, para ver o que está ativo, o comandotrava quando chega na parte de checar o BIND. Pelo que entendi, a porta do BIND está bloqueada e ele não está iniciando.

    0 0
  • Quote

    • 16. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 03/08/2012 - 19:17h

    thiago_th escreveu:

    Acho que descobri o que é. Quando executo este script novo e, em seguida executo o comando service --status-al, para ver o que está ativo, o comandotrava quando chega na parte de checar o BIND. Pelo que entendi, a porta do BIND está bloqueada e ele não está iniciando.


    O que uso é isto:

    
echo “Carregando Modulos”
    
/sbin/modprobe ip_nat
    
/sbin/modprobe ip_nat_ftp
    
/sbin/modprobe ip_queue
    
/sbin/modprobe ip_conntrack
    
/sbin/modprobe ip_conntrack_ftp
    
/sbin/modprobe ip_tables
    
/sbin/modprobe iptable_filter
    
/sbin/modprobe iptable_nat
    
/sbin/modprobe iptable_mangle
    
/sbin/modprobe ipt_state
    
/sbin/modprobe ipt_limit
    
/sbin/modprobe ipt_multiport
    
/sbin/modprobe ipt_mac
    
/sbin/modprobe ipt_string
    

    
echo “Limpando as Regras existentes”
    
/sbin/iptables -F
    
/sbin/iptables -t nat -F
    
/sbin/iptables -t mangle -F
    
/sbin/iptables -t filter -F
    
/sbin/iptables -X
    
/sbin/iptables -Z


    A diferença é que limpo as tabelas filter, mangle e nat

    Mas agora notei isso mas eu acredito que ja deve esta halilitada por padrão:

    
ipt_multiport

    Na regra de abrir as porta uso o multiport

    0 0
  • Quote

    • 17. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

    Thiago
    thiago_th
    (usa Red Hat)

    Enviado em 06/08/2012 - 08:57h

    andrecanhadas escreveu:

    thiago_th escreveu:

    Acho que descobri o que é. Quando executo este script novo e, em seguida executo o comando service --status-al, para ver o que está ativo, o comandotrava quando chega na parte de checar o BIND. Pelo que entendi, a porta do BIND está bloqueada e ele não está iniciando.


    O que uso é isto:

    
echo “Carregando Modulos”
    
/sbin/modprobe ip_nat
    
/sbin/modprobe ip_nat_ftp
    
/sbin/modprobe ip_queue
    
/sbin/modprobe ip_conntrack
    
/sbin/modprobe ip_conntrack_ftp
    
/sbin/modprobe ip_tables
    
/sbin/modprobe iptable_filter
    
/sbin/modprobe iptable_nat
    
/sbin/modprobe iptable_mangle
    
/sbin/modprobe ipt_state
    
/sbin/modprobe ipt_limit
    
/sbin/modprobe ipt_multiport
    
/sbin/modprobe ipt_mac
    
/sbin/modprobe ipt_string
    

    
echo “Limpando as Regras existentes”
    
/sbin/iptables -F
    
/sbin/iptables -t nat -F
    
/sbin/iptables -t mangle -F
    
/sbin/iptables -t filter -F
    
/sbin/iptables -X
    
/sbin/iptables -Z


    A diferença é que limpo as tabelas filter, mangle e nat

    Mas agora notei isso mas eu acredito que ja deve esta halilitada por padrão:

    
ipt_multiport

    Na regra de abrir as porta uso o multiport


    Adicionei as regras para limpar, mas não resolveu o problema. Este script está bloqueando o BIND e, com isso, ele trava com todas as requisições feitas ao proxy. Muito estranho. Já liberei o INPUT da porta 53 e nada. Continuo tentando aqui, mas desta vez montei uma base de teste pra realizar testes. Você já viu algo parecido com isso?

    Vlw!

    0 0
  • Quote

    • 18. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

    Thiago
    thiago_th
    (usa Red Hat)

    Enviado em 06/08/2012 - 10:18h

    ## Abaixo deve alterar para sua ethX que recebe o IP da rede interna 192.168.0.x eu acredito que seja a eth1
    iface_int=eth1

    iptables -A INPUT -i $iface_int -s $LAN -j ACCEPT
    iptables -A INPUT -i $iface_int -m state –state NEW -j ACCEPT
    iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT



    Consegui resolver o problema! Na linha

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    tive que colocar também o NEW, para que eu conseguisse navegar na net, pois também não estava conseguindo. Em relação ao conflito com o BIND, desativei o mesmo, pois eu não o utilizo. Agora ficou show! Esse "NEW" indica o que, exatamente?

    Obrigado aí pela ajuda!!!

    0 0
  • Quote

    • 19. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

    André Canhadas
    andrecanhadas
    (usa Debian)

    Enviado em 06/08/2012 - 11:29h

    thiago_th escreveu:

    ## Abaixo deve alterar para sua ethX que recebe o IP da rede interna 192.168.0.x eu acredito que seja a eth1
    iface_int=eth1

    iptables -A INPUT -i $iface_int -s $LAN -j ACCEPT
    iptables -A INPUT -i $iface_int -m state –state NEW -j ACCEPT
    iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT



    Consegui resolver o problema! Na linha

    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    tive que colocar também o NEW, para que eu conseguisse navegar na net, pois também não estava conseguindo. Em relação ao conflito com o BIND, desativei o mesmo, pois eu não o utilizo. Agora ficou show! Esse "NEW" indica o que, exatamente?

    Obrigado aí pela ajuda!!!


    O new aceita conexões em outras portas desde que já tenha uma conexão em outras por exemplo num FTP passivo alem da porta 21 ele utiliza outras aleatórias e desde que ja tenha uma conexão na porta 21 ele vai liberar as portas que precisar.

    A porta 53 amenos que tenha um DNS que precise ser acessado de fora pode fechar.

    0 0
  • Quote

    • 20. Re: BLOQUEAR CONEXÕES DE IPS [RESOLVIDO]

    Thiago
    thiago_th
    (usa Red Hat)

    Enviado em 06/08/2012 - 15:00h


    ## Abaixo deve alterar para sua ethX que recebe o IP da rede interna 192.168.0.x eu acredito que seja a eth1
    iface_int=eth1

    iptables -A INPUT -i $iface_int -s $LAN -j ACCEPT
    iptables -A INPUT -i $iface_int -m state –state NEW -j ACCEPT
    iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT



    Eu deixei as 3 linhas acima da seguinte maneira:

    iptables -A INPUT -i $iface_int -s $LAN -j ACCEPT
    iptables -A INPUT -i -s $LAN -m state –state NEW -j ACCEPT
    iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT

    Na linha 2 ele não estava reconhecendo os IPs que fazem quequisição através da interface eth1, por isso removi o - i $iface_int e coloquei -s $LAN. Desta forma ele agora permite novos INPUTs dos micros da rede interna. Não entendi o porque de não estar recnhecendo pela interface.

    Vlw!





    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Alguma pessoa pode me ajudar com drriver Core i3 7020u (Debian 12)? (2)

    Mikrotik não mostra bytes nem packtes (1)

    Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código [RESOLVID... (4)

    Recuperar arquivos de HD em formato RAW usando Linux (0)

    Ubuntu não sai som (1)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: