Bbloqueando todos IP's e liberando somente um range de IP's [RESOLVIDO]

juniorvla
(usa Kali)

Enviado em 03/12/2017 - 20:41h

Senhores,

Preciso de ajuda, qual é o comando para bloquear todos os IP's e permitir apenas um range de IP's?

Dei uma pesquisada na internet, porém só encontrei solução para bloquear um range de IP's.

Queria um inverso, bloquear todos os IP's e permitir somente um range de IP's.

LSSilva
(usa Outra)

Enviado em 04/12/2017 - 08:38h

Bom dia!
Quer bloquear o quê?
Estão fora da sua rede e quer bloquear INPUT? Estão dentro da sua rede e quer bloquear acesso à internet? Estão em uma VPN e quer bloquear que acessem certas máquinas em sua rede? Qual é o caso?

Existem duas maneiras de se fazer isso, logicamente utilizando firewall:
1) Utilizar política drop e liberar o range de ips que deseja no serviço que deseja (ou seriam todos os serviços?)
2) Utilizar política accept e liberar o range de ips e bloquear o restante.

Exemplo das duas para a minha primeira suposição (Bloquear INPUT):
1) - Vamos supor que quer permitir a range 187.22.15.0/24 para ssh (porta 22) e bloquear o restante (sua interface de internet é eth1, por exemplo).
interfacewan="eth1"
range=187.22.15.0/24
iptables -P INPUT DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i $interfacewan -s $range -m state --state NEW --syn -j ACCEPT

2) - Vamos supor que quer permitir a range 187.22.15.0/24 para ssh (porta 22) e bloquear o restante (sua interface de internet é eth1, por exemplo).
interfacewan="eth1"
range=187.22.15.0/24
#Isso abaixo já é padrão
iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp --dport 22 -i $interfacewan -s $range -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i $interfacewan -j DROP

juniorvla
(usa Kali)

Enviado em 04/12/2017 - 13:21h

LSSilva, desculpe pela informação defasada.

Por exemplo:

Tenho uma vps no meu cloud, e dentro dessa vps tem um sistema PHP rodando, porém esse sistema é somente restringido para acesso de uma empresa, que tem seu ip FIXO, 177.258.148.X com 254 IP's.

Quero somente dar acessos a esses IP's 177.258.148.X:

Seria??

interfacewan="eth1"
range=177.248.148.0/24
iptables -P INPUT DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p http --dport 80 -i $interfacewan -s $range -m state --state NEW --syn -j ACCEPT

LSSilva
(usa Outra)

Enviado em 04/12/2017 - 16:27h

Seria sim. Salvo uma correção:
Onde você editou:
iptables -A INPUT -p http --dport 80 -i $interfacewan -s $range -m state --state NEW --syn -j ACCEPT
Seria:
iptables -A INPUT -p tcp --dport 80 -i $interfacewan -s $range -m state --state NEW --syn -j ACCEPT

Tome cuidado com a política DROP, pois irá ter que liberar os outros serviços que utiliza de INPUT no servidor, assim como SSH e outros.

Uma dica é deixar padrão e utilizar a política ACCEPT mesmo, se não tiver vivência com firewall. Então ficaria assim:
interfacewan="eth1"
range="177.248.148.0/24"
iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp --dport 80 -i $interfacewan -s $range -m state --state NEW --syn -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i $interfacewan -j DROP

Certifique-se que "eth1" é mesmo sua placa de rede WAN (internet).

juniorvla
(usa Kali)

Enviado em 08/12/2017 - 10:53h

Obrigado LSSilva.

Sua informação me ajudou.