Bloquear TUDO , exceto o necessário [RESOLVIDO]

marcioviana
(usa Mandriva)

Enviado em 14/08/2008 - 17:17h

Boa tarde colegas,

O Emule, Limewire, Skype são ótimos em algumas circunstâncias e uma "praga" em outras. Preciso urgentemente bloquear os tais softwares, dentre outros ... mas minhas regras de Iptables não estão dando conta, pois bloqueio por porta assim:

No meu servidor Proxy tenho um script e parte dele é:

#Bloqueando MSN via tcp, a conexao se dara somente pelo proxy autenticado
$IPTABLES -A FORWARD -s 192.168.1.251 -p tcp --dport 1863 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.251 -p tcp --dport 6891:6900 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.1.251 -p tcp --dport 6901 -j ACCEPT

acontece que os danados (emule, Lime, Skype, etc) não usam um porta específica. Acompanhei os logs do Emule e ele foi tentando conexão de porta em porta até encontrar uma e conecta.

Como bloqueio TODAS as portas , menos as necessárias ao trabalho?
Portas necessárias para DNS, pop, smtp, redirecionamento vnc, squid

eduardo
(usa Linux Mint)

Enviado em 14/08/2008 - 17:27h

iptables -P FORWARD DROP

Isso irá bloquear TUDO para FORWARD.
A você liberar porta por porta.

Ex:
iptables -A FORWARD -j ACCEPT -p tcp --dport 25

marcioviana
(usa Mandriva)

Enviado em 19/08/2008 - 18:05h

obrigado colega,

olá colegas,

contudo o problema todo era nesta regra abaixo que faz parte do meu script firewall. Ela estava no local errado e não deixava eu negar TUDO. E outra coisa, a opção NEW tem de ser removida, pois ao que entendi a opção NEW (accept) conflita com o Forward (DROP)

Feito isso, resolvido ... agora está do jeito que eu queria!

#Aceitando conexoes de redirecionamento para a rede interna
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

eduardo
(usa Linux Mint)

Enviado em 20/08/2008 - 07:50h

Não esqueça de marcar o tópico como RESOLVIDO. Assim o fórum fica mais organizado.