daniell.bhz
(usa Debian)
Enviado em 23/11/2010 - 14:24h
olá anonymous,
Olha do jeito que me falou não deu certo. quando insiro a regra ;
iptables -t nat -A PREROUTING -i interfacederedelocal -p tcp -s suarede/24 -m multiport --dport 80,443 -j REDIRECT --to-port 3128, o orkut e sites de bancos param de funcionar.
e quando comento essa linha de comando e insiro as outras maneira 2 e 3, ai não dá nada.
Fora a preucupação que o renato me deixou de criar uma falha de segurança no meu server.
para visualizar melhor vou postar meu iptables:
_________________________________________________________________
ServerCPDlinuX:~# cat /etc/init.d/iptables.conf
#!/bin/bash
#
#:/etc/init.d/iptables.conf
#
#LIMA REGRAS
iptables --flush
iptables -F
iptables -F INPUT
iptables -t nat -F
iptables -t mangle -F
#INICIALIZA MODULOS
modprobe iptable_nat
modprobe ipt_layer7
modprobe xt_layer7
echo "habilita kernel"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "compartilha Internet"
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Proxy transparente (redireciona para o squid)"
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -i eth0 -p tcp -s 10.0.0.0/24 -m multiport --dport 80,443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Bloquear Tudo"
iptables -P INPUT -j DROP
iptables -P OUTPUT -j DROP
iptables -P FORWARD -j DROP
echo "Liberando Cliente DNS..."
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --sport 53 -j ACCEPT
echo "Permitir sessao estabelecidas"
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Abre para a interface de loopback e para a interface de rede local"
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
echo "Liberar Conexoes Para Rede Local"
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT
echo "Liberar rede 192.168.1.0 para compartilhar internet com eth0"
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.1.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.1/24 -o eth0 -j ACCEPT
echo "Bloqueia pings e protege contra IP spoofing e pacotess invalidos"
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
echo "Bloqueia as demais conexoes deixando passar apenas pacotes de resposta"
iptables -A INPUT -p tcp --syn -j DROP
#echo "teste de Bloqueio de site por IP"
#iptables -t filter -A FORWARD -i eth+ -s 10.0.0.99/255.255.255.0 -d
www.orkut.com.br -j DROP
#echo "Abre Portas Especificadas"
#iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#BLOQUEIO DE PROTOCOLO TORRENT / KAZAA / EDONKEY (EMULE) / GNUTELLA / IMPSP / GROOKSTER / LINEWIRE E ETC
#iptables -A FORWARD -m layer7 --l7proto msnmessenger -j DROP
#iptables -A FORWARD -m layer7 --l7proto msn-filetransfer -j DROP
iptables -A FORWARD -m layer7 --l7proto bittorrent -j DROP
iptables -A OUTPUT -m layer7 --l7proto bittorrent -j DROP
iptables -A INPUT -m layer7 --l7proto bittorrent -j DROP
iptables -A FORWARD -m layer7 --l7proto edonkey -j DROP
iptables -A FORWARD -m layer7 --l7proto 100bao -j DROP
iptables -A FORWARD -m layer7 --l7proto applejuice -j DROP
iptables -A FORWARD -m layer7 --l7proto ares -j DROP
iptables -A FORWARD -m layer7 --l7proto counterstrike-source -j DROP
iptables -A FORWARD -m layer7 --l7proto directconnect -j DROP
iptables -A FORWARD -m layer7 --l7proto fasttrack -j DROP
iptables -A FORWARD -m layer7 --l7proto gnucleuslan -j DROP
iptables -A FORWARD -m layer7 --l7proto gnutella -j DROP
iptables -A FORWARD -m layer7 --l7proto goboogy -j DROP
iptables -A FORWARD -m layer7 --l7proto mute -j DROP
iptables -A FORWARD -m layer7 --l7proto napster -j DROP
iptables -A FORWARD -m layer7 --l7proto openft -j DROP
iptables -A FORWARD -m layer7 --l7proto poco -j DROP
iptables -A FORWARD -m layer7 --l7proto qq -j DROP
iptables -A FORWARD -m layer7 --l7proto soribada -j DROP
iptables -A FORWARD -m layer7 --l7proto soulseek -j DROP
iptables -A FORWARD -m layer7 --l7proto tesla -j DROP
iptables -A FORWARD -m layer7 --l7proto xunlei -j DROP
#iptables -A FORWARD -m layer7 --l7proto yahoo -j DROP
#iptables -A FORWARD -m layer7 --l7proto -j DROP
#iptables -A FORWARD -m layer7 --l7proto -j DROP
#iptables -A FORWARD -m layer7 --l7proto -j DROP
#iptables -A FORWARD -m layer7 --l7proto -j DROP
#iptables -A FORWARD -m layer7 --l7proto -j DROP
#iptables -A FORWARD -m layer7 --l7proto -j DROP
#iptables -A FORWARD -m layer7 --l7proto -j DROP
_________________________________________________________________
Sobre o mix de squid+dansguardian+iptables, já tentei...
Eu pensava em colocar essas regras "ACLs" no squidGuard e assim poderia fazer o bloqueio do orkut pelo ip's das maquinas usando as mesmas ACL's que tenho configuradas.
só que usei o squidGuarde e não deu certo.
isso acontece que quando insiro a regra :
redirect_program /usr/bin/squidGuard
ou
redirect_program /usr/bin/squidGuard -c /usr/squidGuard/squidGuard.conf
a minha internet cai e para de funcionar.
eu inseria essas regras "redirect_program" neste squid.conf mesmo que está ACIMA,antes da regra "http_access allow rede_interna".
Agora sim coloquei vocês dentro da minha salada chinesa...
para completar vou ate postar meu squidGuard.conf:
_________________________________________________________________
ServerCPDlinuX:~# cat /etc/squid/squidGuard.conf
dbhome /var/lib/squidGuard/db
logdir /var/log/squid
src rede {
ip 10.0.0.0/24
}
dest regraurl {
domainlist regraurl/domains
urllist regraurl/urls
expressionlist regraurl/expressions
redirect
www.empresa.com.br
}
acl {
rede {
pass !regraurl all
redirect
www.empresa.com.br
}
}
acl {
default {
pass all
}
}
ServerCPDlinuX:~# vim /etc/squid/squidGuard.conf
ServerCPDlinuX:~# cat /etc/squid/squidGuard.conf
dbhome /var/lib/squidGuard/db
logdir /var/log/squid
src rede {
ip 10.0.0.0/24
}
dest regraurl {
domainlist regraurl/domains
urllist regraurl/urls
expressionlist regraurl/expressions
redirect
www.empresa.com.br
}
acl {
rede {
pass !regraurl all
redirect
www.empresa.com.br
}
}
acl {
default {
pass all
}
}
ServerCPDlinuX:~#
_________________________________________________________________
no log do squidguard o erro e :
2010-11-22 11:42:51 [2034] init domainlist /var/lib/squidGuard/db/regraurl/domains
2010-11-22 11:42:51 [2034] /var/lib/squidGuard/db/regraurl/domains: No such file or directory
e nessse diretorio ja colecou meu arquivo, dei permição, ate renomiei para domains, mais nada adiantou.
Até criei minha ipotese que como uso squid 2.7 ele ja deve ser também squidguard, e ai os 2 podem dar um conflito, um ucultismo as vezes...
por isso tó aqui tentando resolver esse problema de outra fora, "bloquear pelo iptables"
E isso ai galera, valeu por tudo e se alguem tiver mais alguma ideia fico no aguardo, abração!!!