Bloqueando portas e liberando a porta do msn

emerson2703
(usa CentOS)

Enviado em 08/07/2009 - 11:23h

colega estou querendo bloquear todas as portas, e liberar somente o necessario, utilizo o iptables que redirreciona a porta 80 para o squid 3128.

minha configuração original do iptables é assim:

iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

Mas um colega mandou que colocasse dete jeito mas bloqueia tudo e não funciona o msn.

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p udp --dport 465 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A OUTPUT -m multiport -p udp --dport ! 53,465 -j DROP

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

alguem poderia ajudar pois meu intuito é de bloquear todas as portas e somente liberar a necessaria.

maninhx
(usa Slackware)

Enviado em 08/07/2009 - 11:55h

iptables -P INPUT DROP #Bloqueia entrada
iptables -P FORWARD DROP #Bloqueia O direcionamento

mas explique como é sua rede. você tem terminais com internet compartilhada por esse firewall? de mais detalhes de sua estrutura.

emerson2703
(usa CentOS)

Enviado em 08/07/2009 - 12:05h

Tenho umas 10 maquinas para acessar a internet, sendo que 7 delas tem limitações para o acesso da internet pois utilizo o squid para elas acessar somentes o que tiver na acl de sites liberados 3 ip é liberado para o acesso total da internet, mas a questão que consigo bloquear todas as portas mas não consigo acessar o msn

maninhx
(usa Slackware)

Enviado em 08/07/2009 - 12:55h

tenta essa regra

ptables -A INPUT -p tcp --dport 1863 -j ACCEPT

joao_barboza
(usa Fedora)

Enviado em 19/10/2009 - 17:26h

desculpa maninhx , mas essa sua regra esta errada, assim vc esta abrindo a porta pra maquina firewall, assi o firewall fica escutando a posta 1863 (aberta)
Regras que diz respeito a maquina firewall eh somente INPUT e OUTPUT
ex: Liberar msn pra maquina firewall
iptables -A OUTPUT -p tcp -s (ip_local_maq_firewall) -d 0/0 -dport 1863 -j ACCEPT

iptables -A OUTPUT -p tcp -s (ip_local_maq_firewall) -d login.live.com -j ACCEPT

iptables -A INPUT -p tcp -s (ip_local_maq_firewall) --sport 1863 -j ACCEPT

desta forma vc nao abre a porta 1863 pra maquina firewall

se for pra oura maquina da rede, usa a chain FORWARD

vlw galera, ja passei por essa duvida

j4p0n3g0
(usa Debian)

Enviado em 19/10/2009 - 19:06h

Este comando já resolve aqui em casa é da mesma forma ...

iptables -A INPUT -p tcp --sport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT ( essa não vai precisar mas.. caso vc mude a politica padrão do OUTPUT para drop tah ai a regra ...)
iptables -A FORWARD -p tcp --sport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT

richardandrade
(usa Debian)

Enviado em 19/10/2009 - 19:16h

Faz o seguinte no final do seu script bloqueie o FORWARD

#iptables -A FORWARD -j DROP

acima dele você libera as portas que você realmente deseja liberar.

Lembrando que você usa proxy transparente logo você terá que criar as suas acl determinando o que você deseja liberar, segue um exemplo:


acl liberados url_regex -i "/etc/squid/liberados"
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access allow liberados
http_access deny bloqueados


lembrando que você tem que criar esses arquivos e colocar dentro deles o que você deseja ou não bloquear

valeu e abraço.