IPTABLES AJUDA

felipebraga
(usa Ubuntu)

Enviado em 31/07/2009 - 13:52h

Rapaziada eo seguinte, eu trabalho no gerenciamento de 100 maquinas
E estou prescisando bloquear em 80 maquinas a internet , porém quero dar acesso as portas do email que hj é lido pelo Outlook portas 25, 110 e 53 e as outras 20 queros dar acesso total a email e internet.

Gostaria de fazer isso pelo iptables mais não manjo nada
se vcs puderem me ajudar?

Será que vocês tem como me ajudar nisso? Uso servidor de DHCP

ST. RaLF
(usa Arch Linux)

Enviado em 31/07/2009 - 14:14h

Eu gosto de fazer o seguinte, jogo todos os IPS com a internet liberada dentro de um arquivo, e faço um loop liberando a internet. Exemplo:

for i in `<arquivo>` do
iptables -A FORWARD -s $i -o <interface da internet> -j ACCEPT
iptables -A FORWARD -d $i -j ACCEPT
done

E depois dou o mascaramento:
iptables -t nat -A POSTROUTING -j MASQUERADE

Para liberar as portas 25, 110 e 53, faço o seguinte:
iptables -A FORWARD -m multiport --dports 25,110,53 -p tcp -j ACCEPT

E para bloquear a porta 80:
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

Entendeu?

gesousa
(usa Ubuntu)

Enviado em 31/07/2009 - 14:49h

so corregindo a dica do amigo

iptables -A FORWARD -p tcp --dport 80 -j DROP

DROP no lugar do ACCEPT para bloquear...

dastyler
(usa Fedora)

Enviado em 31/07/2009 - 14:52h

voce pode usar o Squid para efetuar tal processo.
No meu perfil aqui no VOL recentemente foi adicionado um squid.conf de exemplo para gerenciamento de maquinas que te dá a opção de trabalhar com mac address/horarios/transparente e controlado por AD (active Directory0 e no qual organizei o acesso por departamentos.
Use-o como exmeplo e adeque as suas necessidades.

felipebraga
(usa Ubuntu)

Enviado em 31/07/2009 - 14:57h

Cara intendi eu acho tipo assim
não tem como montar em um arquivo so, porque eu uso o BrazilFW.

Caso não de se vcs puderem me dar mais detalhes de como sera feito acho
que consigo.

Pra ajudar minha faixa de ip do DHCP que ficara fora da net é 172.168.1.100|254
E a que vai ter internet ea 172.168.1.50|99

Valeu mesmo galera vcs são ponta firme

ST. RaLF
(usa Arch Linux)

Enviado em 31/07/2009 - 15:39h

Thanks gesousa :)

Vamos por partes, primeiro você falou que algumas máquinas tem que ter acesso total, certo? Então coloque todos os ips dentro de um arquivo. Exemplo: /etc/firewall/masquerade

Logo após isto, crie um arquivo para ser o seu firewall. Exemplo: /etc/firewall/firewall.sh

Dentro deste último arquivo, você vai adicionando as regras. Lembrando colocar o #!/bin/bash no início do arquivo.