Bloquear IP estação

edupersoft
(usa Manjaro Linux)

Enviado em 11/10/2007 - 16:57h

Predador, nas suas duas regras com INPUT você apenas diz que os pacotes destinados a máquina na porta 80 e 3128 deverão ser aceitos, mas na verdade quando alguém de dentro da sua rede está acessando a internet, os pacotes não vão entrar na máquina que faz o papel de roteador eles apenas vão passar pela sua máquina, então estas regras não tem sentido.

hugoalvarez
(usa Debian)

Enviado em 11/10/2007 - 17:30h

Predator,

parte das diferenças são apenas organizacionais, e em parte elas estavam influenciando, explicando as alterações:

##Essas são suas regras que removi, certo,
#libera a porta 80 para rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
#libera porta 3128 tambem para a rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT

Removi as duas porque já estava especificado anteriormente no próprio script que INPUTs da rede local devem ser aceitos pelo firewall, nessa regra:
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT (relação de confiança)

Nas regras referentes ao proxy adicionei a linha de bloqueio (linha1) abaixo, até essa parte do script, o firewall está aceitando todas as conexões na porta 80, não preciso especificar isso e nem especificar que ele aceite as conexões da porta 3128 na chain PREROUTING porque já foi especificado na INPUT (de relação de confiança), a chain PREROUTING trata os pacotes que vão sofrer alterações antes de serem enviados ao destino, no caso tudo que entrar da rede 192.168.0.0/24 com destino a porta 80 de algum host deve ser redirecionado para a porta 3128 do proxy. Até aqui o padrão é redirecionar todos, exceto os que eu especificar como bloqueados (linha1), é necessário especificar um dos ou todos que devem ser bloqueados antes que os pacotes que eles enviarem cheguem na linha que podem ser redirecionados para não causar conflito de regras, por isso coloquei nessa ordem:
##Ativa Proxy Transparente ####
linha1: $iptables -t nat -A PREROUTING -i bond0 -s 192.168.0.xxx --dport 80 -j DROP
linha2: $iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128

se eu colocasse assim:

linha2: $iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128
linha1: $iptables -t nat -A PREROUTING -i bond0 -s 192.168.0.xxx --dport 80 -j DROP

Não funcionaria bem porque a regra que manda redirecionar todos pacotes da porta 80 para a 3128 foi processada primeiro que a regra que manda bloquear o host desejado, a mesma coisa com o POSTROUTING que estava lá na primeira linha, o POSTROUTING sempre coloco em ultimo para classificar como amscarados todos os hosts que conseguiram passar pelas regras sem se qualificar em nenhuma,

Essa idéia da parte organizacional de como as regras vão funcionar sem conflitos e prevendo o retorno é mais detalhada no tutorial de iptables do eriberto, que foi minha fonte de consulta durante bastante tempo até eu começar escrever minhas próprias regras e entender scripts escritos por outros linuxers hehehe.

http://www.eriberto.pro.br/iptables/

Espero ter ajudado,

Até mais.

robinhood
(usa Fedora)

Enviado em 20/10/2007 - 14:33h

Marlon, voce cita que consegue liberar orkut pra uns e bloquear para outros...
Estou utilizando proxy transparente com acl dstdomain para bloquear urls, mas como faco pra bloquear uma url somente quando acessada pelo IP x.x.x.x sendo que para as demais estacoes, a mesma url deve ficar liberada?

Grato,

marlonreck
(usa Fedora)

Enviado em 21/10/2007 - 10:09h

RobinHood

Eu tenho as seguintes regras no proxy transparente:

#bloquea orkut
acl ORKUTBLOQ dstdomain -i .orkut.com

#libera orkut para alguns
acl ORKUTLIB src 129.12.86.99

#bloqueia orkut
http_access allow ORKUTLIB
http_access deny ORKUTBLOQ

O segredo é a ordem das regras, como vc deve saber primeiro liberamos o orkut para algum IP e depois bloqueamos ele para os outros IPs q não estão na regra "SRC"

msscesario
(usa Debian)

Enviado em 21/10/2007 - 10:13h

iptables -A INPUT -s IP_BLOCK -j DROP
iptables -A FORWARD -s IP_BLOCK -j DROP

TothBR
(usa Debian)

Enviado em 21/10/2007 - 23:49h

Olá amigo!

Estive olhando sua pergunta, vi que conseguiu solucionar o problema com os amigos do VOL mas vai mais uma dica para fazer o bloqueio especifico de alguma estação pra ficar mais fácil e tbm impedir que espertinhos alterem o ip de sua máquina utilizo o squid só que ao invés de ip uso o mac fica bem mais prático e pode crer funciona como vi que não conseguia bloquear o trafego da porta 443 https, outra dica é vc utilizar a mesma regra de firewall que direciona a porta 80 para 3128 faça o mesmo com a 443.

Segue a dica do squid:
acl mac_bloqueado arp "/etc/squid/mac_bloqueado"
http_access deny mac_bloqueado

no arquivo que faz referência vc coloca os mac um abaixo do outro.


Abraços espero ter ajudado.