[Ajuda] Como bloquear acesso a ip externo

kbecaobh
(usa Debian)

Enviado em 16/06/2013 - 16:02h

Boa tarde!

Preciso de ajuda para bloquear os hosts da empresa para acessar alguns ips externos,
bloqueando entrada e envio de informações...

Bloqueio será de ip ou domínio, tipo:

-Bloqueio de entrada
iptables -I INPUT -s xxx.xxx.xxx.xxx -j DROP
-Bloqueio de Saida(envio)
iptables -I OUTPUT -s xxx.xxx.xxx.xxx -j DROP

Meu script esta correto???

Qual a diferença do comando "-s" para "-d"???

phoemur
(usa Debian)

Enviado em 16/06/2013 - 16:21h

-s é de source, ou seja, origem
-d é de destination, ou seja, destino

Agora se você for executar os comandos no Gateway, o certo seria utilizar a chain FORWARD ao invés de INPUT e OUTPUT... ou então nat PREROUTING
Você executaria da forma que você disse apenas se fosse executar as regras em cada computador em separado...

kbecaobh
(usa Debian)

Enviado em 16/06/2013 - 16:33h

Ok. Então o correto seria abaixo??
iptables -I FORWARD -s xxx.xxx.xxx.xxx -j DROP

E em questão da função seria "-s" então??

phoemur
(usa Debian)

Enviado em 16/06/2013 - 17:15h

Se for bloquear IP externo, você pode colocar assim:

iptables -I FORWARD -s <ip_interno> -d <ip_externo> -j DROP

kbecaobh
(usa Debian)

Enviado em 16/06/2013 - 21:41h

Preciso bloquear todas os hosts, inclusive os servidores de terem acesso a estes ips(entrada/saida), qual a melhor forma de fazer o bloqueio?
*Lembrando que este bloqueio é no gateway.

Carlos_Cunha
(usa Linux Mint)

Enviado em 16/06/2013 - 21:45h

Amigo leia o Guia Foca la vc entendera o Iptables.
INPUT e para vc
OUTPUT para vc saida
FORWARD passa por vc

Se vc quer bloquear os outros para acessar um ip externo:
iptables -I FORWARD -d IP-VC -j REJECT


Isso se sua politica padrão de FORWARD não for DROP(o correto)

Buckminster
(usa Debian)

Enviado em 17/06/2013 - 00:06h

Para bloquear completamente é preciso bloquear a ida e a volta:

iptables -I FORWARD -s ip_externo -j DROP
iptables -I FORWARD -d ip_externo -j DROP

Lembrando que a opção -I coloca a regra no topo da chain, ou seja, em primeiro lugar.
Mas você pode numerá-las:

iptables -I FORWARD 1 -s ip_externo -j DROP
iptables -I FORWARD 2 -d ip_externo -j DROP

Para bloqueio dos IPs nos servidor onde está o Iptables é só repetir as regras mudando de FORWARD para INPUT, inclusive.


Veja o Manual do Iptables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/

kbecaobh
(usa Debian)

Enviado em 17/06/2013 - 10:50h

Para bloquear completamente é preciso bloquear a ida e a volta:

iptables -I FORWARD -s ip_externo -j DROP
iptables -I FORWARD -d ip_externo -j DROP

Lembrando que a opção -I coloca a regra no topo da chain, ou seja, em primeiro lugar.
Mas você pode numerá-las:

iptables -I FORWARD 1 -s ip_externo -j DROP
iptables -I FORWARD 2 -d ip_externo -j DROP

Para bloqueio dos IPs nos servidor onde está o Iptables é só repetir as regras mudando de FORWARD para INPUT, inclusive.


Veja o Manual do Iptables traduzido:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras/
[/quote]

Na verdade coloquei assim no gateway...
iptables -I INPUT -s ip_externo -j DROP
iptables -I OUTPUT -d ip_externo -j DROP

Simplismente criei a regra do INPUT -s e depois colei mudando para OUTPUT -d...
Lembrando que isto é feito no gateway, e que os demais servidores e hosts nao ira poder ter acesso a estes ips externos...Parece que está funcionando, irei olhar no relatorio do sarg, pra saber se eles estão realmente funcionando e posto aqui como resolvido...
vlw.

Buckminster
(usa Debian)

Enviado em 17/06/2013 - 12:36h

A chain INPUT são os pacotes endereçados ao próprio servidor, por exemplo, quando você abre um site no próprio servidor e ele estiver bloqueado na chain INPUT, o Iptables vai deixar passar o pacote na ida, mas vai bloquear na volta.

A chain OUTPUT são os pacotes originados no próprio servidor. No mesmo caso acima, se você abrir um site no servidor e ele estiver bloqueado na chain OUTPUT, o Iptables não vai nem enviar o pacote.

A chain FORWARD são os pacotes que passam pelo servidor. Ou seja, são os pacotes que vem e vão das redes interna e externa. Você pode bloquear esse site na chain INPUT, mas se não estiver bloqueado na chain FORWARD, esse mesmo site quando solicitado por uma máquina da rede, o Iptables vai deixar passar.

É lógico que no meio disso tudo aí, deve-se levar em conta as políticas padrões e a posição das regras dentro do script. O Iptables lê as regras de cima para baixo, ou seja, se uma regra estiver em conflito com outra, vale a regra que vem por primeiro.

Essas tuas regras

iptables -I INPUT -s ip_externo -j DROP
iptables -I OUTPUT -d ip_externo -j DROP

podem até funcionar por causa do mascaramento (MASQUERADE), porém, isso causará uma certa lentidão na rede, pois o Iptables analisará os pacotes e trocará o IP de origem pelo IP do gateway (na ida) e na volta trocará o IP do gateway pelo IP da máquina que solicitou o pacote, e fará isso com todos os pacotes, na ida e na volta.
O melhor é bloquear os pacotes das redes interna e externa na chain FORWARD.

kbecaobh
(usa Debian)

Enviado em 17/06/2013 - 12:52h

Mas como devo deixar então?
iptables -I FORWARD -s ip_externo -j DROP ou
iptables -I FORWARD -d ip_externo -j DROP??? ou os dois?

Buckminster
(usa Debian)

Enviado em 17/06/2013 - 13:25h

Deixe as duas. Bloqueia na ida e na volta. É mais seguro.
Você tem o Squid instalado no servidor também?

kbecaobh
(usa Debian)

Enviado em 17/06/2013 - 13:39h

Sim. O squid"3" está instalado, nele fiz os bloqueios de redes sociais e outras coisas...
Quanto aos ips, não dá pra fazer no squid, pois tem servidor(preciso do qual seje liberado tudo e também do qual não é pra ter o acesso a estes ips),e o pessoal da publicidade precisa de rede social, dente outras bagunças aqui,rs...