Liberar msn para alguns IPs no Iptables

1. Liberar msn para alguns IPs no Iptables

Stefan Rietzler
Stefan

(usa Debian)

Enviado em 25/01/2011 - 14:45h

Bom, ele bloqueia para todos, mas estou tentando fazer liberar para alguns direto na conf do iptables que fiz, para carregar quando o sistema é iniciado. O problema é que n esta funcionando corretamente.
Ai esta a config.

#!/bin/bash
#
# /etc/etc/init.d/iptables.conf
#
# Limpa e inicializa os modulos
#******************************
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (Redireciona para o squid) - eth1 -> Placa de rede da intranet
#********************************************************
#
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
# Compartilha Internet - eth0 -> Placa de rede da internet
#********************************************************
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#
# Msn
#********************************************************
#
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j REJECT
#
# Liberado
#********************************************************
#
iptables -I FORWARD -s 192.168.1.3 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.3 -d loginnet.passport.com -j REJECT
#



  


2. Re: Liberar msn para alguns IPs no Iptables

Perfil removido
removido

(usa Nenhuma)

Enviado em 25/01/2011 - 15:30h

Troque os REJECT de Liberado pelo RETURN e coloque a liberação(liberado) antes do bloqueio(msn)


3. Re: Liberar msn para alguns IPs no Iptables

Stefan Rietzler
Stefan

(usa Debian)

Enviado em 25/01/2011 - 15:50h

vixx nem percebi que tava reject, se eu colocar accep funciona tbm antes do reject?


4. Re: Liberar msn para alguns IPs no Iptables

Fabio Soares Schmidt
fs.schmidt

(usa CentOS)

Enviado em 25/01/2011 - 16:28h

Olá amigo, vi pela regra que você também utiliza o Squid, para liberar o msn e sites de webmsn somente para alguns usuários pode fazer desta forma:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 3128

E as acls no squid:

#Regras para tratamento do MSN
acl msnmessenger url_regex -i gateway/gateway.dll? login.live.com
acl MSN rep_mime_type -i ^application/x-msn-messenger$

#Usuarios com acesso ao MSN
acl commsn src "/etc/squid/estacoes/commsn.txt"
http_access allow commsn MSN
http_access allow commsn msnmessenger
acl webmsn url_regex "/etc/squid/sites/webmsn.txt"
http_access allow commsn webmsn
http_access deny MSN
http_access deny msnmessenger
http_access deny webmsn


Desta forma as estações no arquivo "commsn.txt" podem acessar o msn e os sites de webmsn do arquivo "webmsn.txt", ficando os outros usuários bloqueados.




5. Re: Liberar msn para alguns IPs no Iptables

Stefan Rietzler
Stefan

(usa Debian)

Enviado em 25/01/2011 - 16:33h

uhmm interessante, pq n deu certo assim:

# Liberado
#********************************************************
#
iptables -I FORWARD -s 192.168.1.3 -p tcp --dport 1863 -j RETURN
iptables -I FORWARD -s 192.168.1.3 -d loginnet.passport.com -j RETURN
#
iptables -I FORWARD -s 192.168.1.10 -p tcp --dport 1863 -j RETURN
iptables -I FORWARD -s 192.168.1.10 -d loginnet.passport.com -j RETURN
#
iptables -I FORWARD -s 192.168.1.11 -p tcp --dport 1863 -j RETURN
iptables -I FORWARD -s 192.168.1.11 -d loginnet.passport.com -j RETURN
#
iptables -I FORWARD -s 192.168.1.14 -p tcp --dport 1863 -j RETURN
iptables -I FORWARD -s 192.168.1.14 -d loginnet.passport.com -j RETURN
#
iptables -I FORWARD -s 192.168.1.13 -p tcp --dport 1863 -j RETURN
iptables -I FORWARD -s 192.168.1.13 -d loginnet.passport.com -j RETURN
#
# Msn
#********************************************************
#
iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 192.168.1.0/24 -d loginnet.passport.com -j REJECT
#




Vou fazer o teste desta forma que vc postou, só uma pergunta, coloco o IP do pessoal ou o endereço mac nesses arquivos?


6. Re: Liberar msn para alguns IPs no Iptables

Fabio Soares Schmidt
fs.schmidt

(usa CentOS)

Enviado em 25/01/2011 - 17:02h

É o endereço IP !


7. Re: Liberar msn para alguns IPs no Iptables

Stefan Rietzler
Stefan

(usa Debian)

Enviado em 25/01/2011 - 17:24h

ihh bloqueou todos e n tem jeito de liberar.

# Configuração Geral
#*******************
#
http_port 3128 transparent
cache_mem 64 MB
cache_dir ufs /var/spool/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
pid_filename /var/run/squid.pid
error_directory /usr/share/squid/errors/Portuguese
emulate_httpd_log on
visible_hostname fwbasevale

#
# Proxy Transparente
#*******************
#
#httpd_accel_host virtual
#http_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
#
# acl - Recomendadas
#*******************
#
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563 # https, snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT


#acl stefan src 192.168.1.3

#http_access allow stefan



#
# acl - Personalizadas
#*********************
#
# *** Define portas liberadas
acl Safe_ports port 3050 # Interbase/Firebird
acl Safe_ports port 23000 # Serpro
acl Safe_ports port 13352 # SIRF
acl Safe_ports port 500 # FAP Digital
#
# *** Define a rede interna (Intranet)
acl intranet src 192.168.1.0/255.255.255.0
#
# *** Define PC(s) com privilegio total - CUIDADO!
acl admin arp "/etc/squid/list/admin.txt"
#
# *** Define a lista de PC(s) autorizados ao acesso a Internet
acl internet arp "/etc/squid/list/internet.txt"
#
# *** Define a lista de sites impróprios
acl site dstdomain -i "/etc/squid/list/site.txt"
#
# *** Define a lista de palavras impróprias
acl palavra url_regex -i "/etc/squid/list/palavra.txt"
#
# *** Sites liberado para download
acl site_download url_regex -i "/etc/squid/list/site_download.txt"
#
# *** Define os formatos de vídeo, áudio e outros de risco
acl video urlpath_regex .wma$ .asf$ .mov$ mpg$ .mpeg$ .avi$
acl audio urlpath_regex .mp3$ .wav$ .mid$
acl risco urlpath_regex .exe$ .pps$ .com$ .bat$ .scr$
#
# *** Define o browser Internet Explorer
acl ie_browser browser ^Mozilla/4.0 .compatible; MSIE
#
# *** Bloqueia MSN
acl msnmessenger url_regex -i gateway/gateway.dll? login.live.com
acl MSN rep_mime_type -i ^application/x-msn-messenger$
#
# *** Define PC(s) autorizados a usar o Internet Explorer
acl ie_usuario arp "/etc/squid/list/browser.txt"
#
# *** Define PC(s) sem acesso a Internet (bloqueados) 24h/dia
acl bloqueado arp "/etc/squid/list/bloqueado.txt"
#
# *** Folgas
acl folga url_regex "/etc/squid/list/folga"
acl meiodia time MTWHF 12:00-13:15
acl fimdia time MTWHF 17:30-23:00
acl fimsemana time A 08:00-23:00
#
# *** Define o horário do expediente
acl exp1_seg-qui time MTWH 08:00-12:00
acl exp2_seg-qui time MTWH 13:00-17:30
acl exp1_sex time F 08:00-12:00
#
# http_access - Recomendadas
#***************************
#
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#
# http_access - Personalizadas
#*****************************
#
# *** Libera dowloads de ate 5 MB
#reply_body_max_size 5242880 allow all !admin
#
# *** Libera nas folgas
http_access allow folga meiodia
http_access allow folga fimdia
http_access allow folga fimsemana
#
# *** Nega sites improprios
http_access deny site !admin
#
# *** Nega palavras impróprias
http_access deny palavra !admin
#
# *** Libera download de sites
http_access allow site_download
#
# *** Nega os formatos de vídeo, áudio e outros de risco
http_access deny video !admin
http_access deny audio !admin
http_access deny risco !admin
#
#Usuarios com acesso ao MSN
acl commsn src "/etc/squid/list/commsn.txt"
http_access allow commsn MSN
http_access allow commsn msnmessenger
acl webmsn url_regex "/etc/squid/list/sites_msn.txt"
http_access allow commsn webmsn
http_access deny MSN !admin
http_access deny msnmessenger !admin
http_access deny webmsn !admin
#
# *** Nega o Internet Explorer
http_access deny ie_browser !ie_usuario !admin
#
# *** Nega Internet no expediente para quem não esta na lista
http_access deny !internet !admin exp1_seg-qui
http_access deny !internet !admin exp2_seg-qui
http_access deny !internet !admin exp1_sex
#
# *** Nega PC(s) sem acesso a internet (bloqueados)
http_access deny bloqueado
#
# Permite acesso da rede interna (Intranet)
http_access allow intranet
#
# *** Nega tudo que não foi liberado ou negado
http_access deny all


8. Re: Liberar msn para alguns IPs no Iptables

Perfil removido
removido

(usa Nenhuma)

Enviado em 25/01/2011 - 20:38h

Você está acessando o msn pelo browser ou o IM ?


9. Re: Liberar msn para alguns IPs no Iptables

Stefan Rietzler
stefan

(usa Debian)

Enviado em 25/01/2011 - 23:57h

não... pelo software


10. Re: Liberar msn para alguns IPs no Iptables

Rodrigo
rodrigom

(usa Debian)

Enviado em 26/01/2011 - 00:11h

Boa noite.

A falta de especificar a mascara depois do ip, influencia ?

Abraço


11. Re: Liberar msn para alguns IPs no Iptables

Stefan Rietzler
Stefan

(usa Debian)

Enviado em 26/01/2011 - 10:31h

vou dar uma checada, obg


12. Re: Liberar msn para alguns IPs no Iptables

Stefan Rietzler
Stefan

(usa Debian)

Enviado em 27/01/2011 - 08:26h

mesmo colocando a mascara /24 ou 255.255.255.0 não funciona...
Alguem te malguma coutra dica?



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts