Denuncie   Favoritos   Indicar  

01 02

Bloquear Utorrent [RESOLVIDO]

13. Re: Bloquear Utorrent [RESOLVIDO]

Phillip Vieira
phrich
(usa Slackware)

Enviado em 05/12/2012 - 12:07h

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

(Li que as três regras acima devem ser utilizadas no início do script quando bloqueado todo o tráfego para
a navegação ficar mais rápida, é correto isso?)

#BLOQUEANDO TODO O TRAFEGO
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#liberar porta 80 e 3128

iptables -A INPUT -p tcp -i eth0 --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
(tentei liberar as portas 80 e 3128 na entrada da eth0 que é a placa da minha rede interna)

#ROTEAMENTO PARA PROXY TRANSPARENTE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


Faltaram:

iptables -A OUTPUT -m state --state RELATED,ESTABLHISHED -j ACCEPT

Para navegar vc deve liberar: 53, 80, 443, etc para o seu próprio firewall na chain OUTPUT e não na chain INPUT como feito antes...

0 0
  • Quote

    •   


    14. Re: Bloquear Utorrent [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 05/12/2012 - 15:57h

    amarildosertorio escreveu:

    Sou adepto da politica padrão DROP também. Mas existem outras formas de filtrar analisando o pacote.
    Eu utilizo layer7 em conjunto ao iptables no hotspot aqui da empresa.

    Utilizo essa regra:


    
IPT=`which iptables`
    
$IPT -A FORWARD -m layer7 --l7proto tor -j DROP
    
$IPT -A FORWARD -m layer7 --l7proto fasttrack -j DROP
    
$IPT -A FORWARD -m layer7 --l7proto gnutella -j DROP
    
$IPT -A FORWARD -m layer7 --l7proto bittorrent -j DROP
    
$IPT -A FORWARD -m layer7 --l7proto ares -j DROP
    
$IPT -A FORWARD -m layer7 --l7proto soulseek -j DROP
    
$IPT -A FORWARD -m layer7 --l7proto edonkey -j DROP
    

    
$IPT -A INPUT -m layer7 --l7proto tor -j DROP
    
$IPT -A INPUT -m layer7 --l7proto fasttrack -j DROP
    
$IPT -A INPUT -m layer7 --l7proto gnutella -j DROP
    
$IPT -A INPUT -m layer7 --l7proto bittorrent -j DROP
    
$IPT -A INPUT -m layer7 --l7proto ares -j DROP
    
$IPT -A INPUT -m layer7 --l7proto soulseek -j DROP
    
$IPT -A INPUT -m layer7 --l7proto edonkey -j DROP
    

    
$IPT -A OUTPUT -m layer7 --l7proto tor -j DROP
    
$IPT -A OUTPUT -m layer7 --l7proto fasttrack -j DROP
    
$IPT -A OUTPUT -m layer7 --l7proto gnutella -j DROP
    
$IPT -A OUTPUT -m layer7 --l7proto bittorrent -j DROP
    
$IPT -A OUTPUT -m layer7 --l7proto ares -j DROP
    
$IPT -A OUTPUT -m layer7 --l7proto soulseek -j DROP
    
$IPT -A OUTPUT -m layer7 --l7proto edonkey -j DROP


    Filtra muito bem, desde que o pacote P2P não seja criptografado.

    Outra solução é limitar a banda de torrents.

    Abraço!


    Já li alguma coisa sobre a layer 7, dizem que é melhor filtrar por ela, mas vou tentar aprender bem o iptables anter de partir pra algo mais radical assim, obrigado pela ajuda amigo.



    0 0
  • Quote

    • 15. Re: Bloquear Utorrent [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 07/12/2012 - 09:03h

    Amigos alterei meu código agora está assim:


    
#DEIXAR NAVEGACAO MAIS RAPIDA
    
iptables -A INPUT -i lo -j ACCEPT
    
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    

    
#LIBERANDO PORTAS
    
PORTAS_TCP="3128,80,53,443"
    
PORTAS_UDP="3128,80,53,443"
    
iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    
iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
    

    
#BLOQUEANDO TODO O TRAFEGO
    
iptables -P INPUT DROP
    
iptables -P OUTPUT DROP
    
iptables -P FORWARD DROP
    

    
#ROTEAMENTO E PROXY TRANSPARENTE
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 
    
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    

    

    

    

    
#-----------------------------------------------
    
touch /var/lock/subsys/local


    No entanto ainda não é liberada minha navegação, li em alguns tópicos aqui na comunidade mesmo que o correto seria liberar as portas pela opção FORWARD para que o sistema libere tudo o que passar pelo firewall mas mesmo assim não tenho a liberação do meu tráfego...

    0 0
  • Quote

    • 16. Re: Bloquear Utorrent [RESOLVIDO]

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 07/12/2012 - 09:35h

    Suas regras estão trocadas, primeiro vc está liberando e depois bloqueando?

    Depois vc redireciona o tráfego?

    Veja a organização do script netes artigo:

    http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede/?pagina=3

    0 0
  • Quote

    • 17. Re: Bloquear Utorrent [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 07/12/2012 - 10:37h

    phrich escreveu:

    Suas regras estão trocadas, primeiro vc está liberando e depois bloqueando?

    Depois vc redireciona o tráfego?

    Veja a organização do script netes artigo:

    http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede/?pagina=3



    Foi mal phrich, na hora de copiar o script do rc.local para cá é que inverti as regras, a ordem com que o meu script está é essa aqui:


    
#DEIXAR NAVEGACAO MAIS RAPIDA
    
iptables -A INPUT -i lo -j ACCEPT
    
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    
 
    
#BLOQUEANDO TODO O TRAFEGO
    
iptables -P INPUT DROP
    
iptables -P OUTPUT DROP
    
iptables -P FORWARD DROP
    

    
#LIBERANDO PORTAS
    
PORTAS_TCP="3128,80,53,443"
    
PORTAS_UDP="3128,80,53,443"
    
iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    
iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
    
 
    
#ROTEAMENTO E PROXY TRANSPARENTE
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    
 
    
#-----------------------------------------------
    
touch /var/lock/subsys/local


    0 0
  • Quote

    • 18. Re: Bloquear Utorrent [RESOLVIDO]

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 07/12/2012 - 15:39h

    Cara, mesmo assim ainda está errado, tente assim:

    # DECLARAÇÃO DE VARIÁVEIS

    # REGRAS DE NAT

    # REGRAS DE INPUT

    # REGRAS DE OUTPUT

    # REGRAS DE FORWARD

    Uma dica, se vc não "se liberar" vc não vai conseguir fornecer o serviço para os clientes...

    Seria legal vc estudar o script que lhe indiquei...

    0 0
  • Quote

    • 19. Re: Bloquear Utorrent [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 07/12/2012 - 17:11h

    Acho que estou perto amigo phrich.
    O problema do script é que para quem está começando no iptables como eu fica meio complicado para entender de início, entendo que para "me liberar" devo liberar a porta do Squid, fiz isso acho que já estou perto de conseguir ajustar o meu script, agora o navegador diz que a página foi encontrada no entanto ao invés de retornar os dados da página demora alguns minutos e retorna o erro abaixo:

    The requested URL could not be retrieved

    --------------------------------------------------------------------------------

    O seguinte erro foi encontrado ao tentar recuperar a URL: www.google.com.br/">http://www.google.com.br/

    Impossível determinar o endereço IP do nome de host www.google.com.br

    O servidor DNS retornou:

    TimeoutIsto significa que o cache não pode resolver o nome de host contido na URL. Verifique se o endereço está correto.

    Seu administrador do cache é root.

    Meu script ficou assim:

    
#DECLARACAO DAS VARIAVEIS
    
PORTAS_TCP="3128,80,53,443"
    
PORTAS_UDP="3128,80,53,443"
    
#LIMPAR REGRAS EXISTENTES
    
iptables -F
    
iptables -t nat -F
    

    
#BLOQUEANDO TODO O TRAFEGO
    
iptables -P INPUT DROP
    
iptables -P OUTPUT DROP
    
iptables -P FORWARD DROP
    

    
#CRIA IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD
    
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    

    
#LIBERANDO ROTEAMENTO E REGRAS DE NAT
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE 
    
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    

    
#LIBERANDO SQUID
    
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT 
    

    
#LIBERANDO PORTAS
    
iptables -A INPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    
iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    
iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    
iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
    

    
#-----------------------------------------------


    0 0
  • Quote

    • 20. Re: Bloquear Utorrent [RESOLVIDO]

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 07/12/2012 - 17:42h

    Retire as portas 3128,80 e 443 da variável PORTAS_UDP.

    0 0
  • Quote

    • 21. Re: Bloquear Utorrent [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 10/12/2012 - 08:13h

    phrich escreveu:

    Retire as portas 3128,80 e 443 da variável PORTAS_UDP.


    Não, mesmo assim não navegou :-(

    0 0
  • Quote

    • 22. Re: Bloquear Utorrent [RESOLVIDO]

    Phillip Vieira
    phrich
    (usa Slackware)

    Enviado em 10/12/2012 - 12:34h

    No artigo citado anteriormente, existem alguns módulos a serem habilitados, coloque-os no seu script e pode retirar as portas 80 e 443 da chain FORWARD, pq se não o pessoal vai passar direto...

    0 0
  • Quote

    • 23. Re: Bloquear Utorrent [RESOLVIDO]

    Augusto Silva
    rockmusic26
    (usa Outra)

    Enviado em 10/12/2012 - 13:44h

    Deu certo, o script já funcionando é este:


    
#DECLARACAO DAS VARIAVEIS
    
PORTAS_TCP="3128,80,21"
    
PORTAS_UDP="53"
    
#LIMPAR REGRAS EXISTENTES
    
iptables -F
    
iptables -t nat -F
    
 
    
#BLOQUEANDO TODO O TRAFEGO
    
iptables -P INPUT DROP
    
iptables -P OUTPUT DROP
    
iptables -P FORWARD DROP
    
 
    
#CRIA IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD
    
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    
 
    
#LIBERANDO ROTEAMENTO E REGRAS DE NAT
    
echo 1 > /proc/sys/net/ipv4/ip_forward
    
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
    
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    
 
    
#LIBERANDO SQUID
    
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
    
 
    
#LIBERANDO PORTAS
    
iptables -A INPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    
iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    
iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
    

    
iptables -A INPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
    
iptables -A OUTPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
    
iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
    
#-----------------------------------------------


    O que faltava era liberar as regras INPUT e OUTPUT do UDP já que a FORWARD eu já tinha liberado.
    O script acima bloqueia tudo, exceto a navegação, as demais portas podem ser liberadas conforme necessidade.

    Tenho algumas dúvidas, não bastaria apenas a regra FORWARD para que a navegação fosse liberada? Isso é que me deixou mais em dúvida, já que a FORWARD é a regra que passa pelo firewall no meu achismo imaginava que ela já poderia liberar toda a passaegem.

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Como renomear arquivos de letras maiúsculas para minúsculas

    Imprimindo no formato livreto no Linux

    Vim - incrementando números em substituição

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Tópicos

    Não to conseguindo resolver este problemas ao instalar o playonelinux (1)

    Excluir banco de dados no xampp (1)

    phpmyadmin não abre no xampp (2)

    Ubuntu não sai som (0)

    KeepOS Não consigo usar o comando sudo. (4)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: