Bloquear tudo excepto cercas ranges

1. Bloquear tudo excepto cercas ranges

Carlos
Vixiado

(usa Slackware)

Enviado em 21/01/2006 - 15:06h

Olá!

Já à uns dias que ando a tentar bloquear tudo o que é tráfego com excepção para cerca de 296 IP ranges mas não estou conseguindo.
Tenho um script que lê cada IP range de um ficheiro que contem as ranges e introduz no iptables.

Estou a por assim:
iptables -A INPUT -s $line -j ACCEPT
iptables -A OUTPUT -d $line -j ACCEPT
iptables -A FORWARD -s $line -j ACCEPT

(nota: $line sao as ranges)


Depois coloco isto:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

No entanto, desta maneira o iptables está a bloquear tudo!! Alguém me pode ajudar? Estou nisto à dias!!

Obrigado =)


  


2. Re: Bloquear tudo excepto cercas ranges

Ivan de oliveira Santos
melphos

(usa Debian)

Enviado em 21/01/2006 - 21:42h

cara, não sei bem o que vc quer. Mas existe o módulo iprange do iptables.

iptables -A FORWARD -m iprange --src-range 192.168.0.230-
192.168.0.233 -o <interface_net> -j ACCEPT

[]'s
Ivan


3. Re: Bloquear tudo excepto cercas ranges

Carlos
Vixiado

(usa Slackware)

Enviado em 22/01/2006 - 13:40h

Humm tentei como dizeste mas não está a dar, pois, pelo que me deu a entender, o iptables nao aceita IPs assim: 217.20.48.0/20
Está a dar este erro:

Try `iptables -h' or 'iptables --help' for more information.
iptables v1.3.3: iprange match: Bad IP address `217.20.48.0/20'


Bom, o que eu pretendo fazer é bloquear todo o tipo de tráfego excepto para os IPs nacionais (Portugal) porque a maioria das ISPs nacionais distinguem tráfego nacional de tráfego internacional (2Gb para tráfego internacional e 40 Gb para tráfego nacional, por exemplo...)




4. Re: Bloquear tudo excepto cercas ranges

Ivan de oliveira Santos
melphos

(usa Debian)

Enviado em 22/01/2006 - 23:44h

Entendi, mas o iprange, não trabalha desta forma. Você precisa especificar um range de um a numero, até o outro. Exemplo:

de 10.0.0.1 até 10.0.200.254 !!!

Cara, se estes IP's, forem sequancial FMZ com o IPRANGE você consegue.
Mas se forem aleatórios, você vai precisar fazer um for. Não precisa especificar INPUT, apenas OUTPUT e FORWARD.

[]'s
Ivan


5. Acho que posso ajuda-lo

Bruno Scherer Ferreira
mafagafo

(usa Fedora)

Enviado em 03/05/2007 - 10:29h

Meu caro Vixiado!
Acho que sei o que está errado com seu script de firewall.
Primeiro você deve bloquear todos os pacotes, e depois ir liberando os ranges que você precisa.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts