Firewall Iptables

Ricardo Cardoso
(usa Debian)

Enviado em 21/11/2009 - 16:34h

Bom to com um problema aqui que não estou conseguindo achar solução.
Estou testando algumas regras com iptables digitando as linhas direto no console para depois colocar em um script, mas o problema é que nenhuma esta funcionando. ex: eu tento bloquear o acesso ao site do youtube, aí eu vou no console e digito como root: iptables -A FORWARD -d www.youtube.com -j REJECT ou pode ser qualquer outro site e o mesmo ainda continua sendo acessado mesmo depois de fechar o navegador, limpar o cache etc. Pergunto a quem possa me ajudar o que deve estar acontecendo?

Diede
(usa Debian)

Enviado em 21/11/2009 - 17:12h

Só por desencargo: Você está testando pelo navegador da sua máquina, ou da rede interna?
Por que "FOWARD" é igual a "Conteúdo que vem de outra máquina e passa pela minha".
Digo, se você acessar pelo navegador da sua própria máquina, a Chain FORWARD não surtirá efeito (pois seus pacotes não caem nela)

Ricardo Cardoso
(usa Debian)

Enviado em 21/11/2009 - 17:22h

Sim amigo estou testanto na minha propria máquina e não me atentei para isso pois levei em cosideração que outras regras funciionan tipo bloquear todas as conexões de entrada etc. Mas me diz teria uma maneira de testar na minha propria máquina saem usar o FORWARD?

Ricardo Cardoso
(usa Debian)

Enviado em 21/11/2009 - 17:28h

a sim esqueci de comentar também já usei OUTPUT e não adiantou já substitui REJECT por DROP e também não surtiu efeito...

Diede
(usa Debian)

Enviado em 21/11/2009 - 18:17h

Se mesmo com o OUTPUT não dá certo, veja se não outras regras já carregadas.
Lembre-se que o netfilter é sistêmico.

Se suas regras forem
iptables -A OUTPUT -j ACCEPT
iptables -A OUTPUT -d www.youtube.com -j DROP
Tudo será aceito, pois é a primeira regra que "bate" que conta.
Verifique com "iptables-save" (poste aqui se possível)

removido
(usa Nenhuma)

Enviado em 21/11/2009 - 18:39h

Com o iptables o correto é zerar todas as regras com um
iptables -F

e definir uma politica default como drop aqui coloco como exemplo saida e entrada como é para a sua maquina mesmo.
iptables -P OUTPUT -j DROP
iptables -P INPUT -j DROP

e aqui voce bloqueia o site na saida e na entrada pois se voce tiver alguma regra que deixe passar conexões estabelecidas relacionadas pode te gerar problemas com essas regras voce garante que o site vai ser negado tanto como destino como origem.
iptables -A OUTPUT -d www.orkut.com -j REJECT
iptables -A INPUT -s www.orkut.com -j REJECT

Ricardo Cardoso
(usa Debian)

Enviado em 21/11/2009 - 19:52h

Amigo essa linha não funciona. Quando eu digito iptables -P OUTPUT -j DROP ele retorna a seguinte mensagem:
iptables v1.3.8: -P requires a chain and a policy
Try 'iptables -h'or 'iptables --help' for more information.

O que pode ser?

Ricardo Cardoso
(usa Debian)

Enviado em 21/11/2009 - 20:03h

Seguinte fazendo uns testes...
Ele aceitou a linha quando eu retirei o -j para setar a ação ai ficou assim:
iptables -P OUTPUT DROP
iptables -P INPUT DROP

porém quando eu tento seguir o exemplo e bloquear o orkut com:

iptables- A OUTPUT -d www.orkut.com -j REJECT

ele dá um erro e só aceita se ao invés de usar o endereço do site usar o IP ficando assim:

iptables- A OUTPUT -d IP do site -j REJECT

porém os sites continuam acessiveis. mais alguma sugestão?