bloquear todas as portas

1. bloquear todas as portas

Ruan_Ribeiro
(usa Debian)

Enviado em 12/05/2010 - 10:33h

gete, eu tenho um problema, eu bloquiei o acesso a internet de um usuario, mais o infeliz usa acesso remoto para acessar em horario de expediente pelo pc da casa dele.
eu uso proxy transparente e gostaria de bloquear todas as portas desse pc, menos as portas 110 e 1025 que utilizo no outlook... isso seria possivel no iptables? qual regra que eu usaria no iptables para resolver esse pro? em que posição eu ponho a regra no iptables?
segue abaixo meu iptables.conf...
OBS.: esse iptables.conf eu peguei de um amigo, nao sei se tem algo errado ou desnecessario... por favor me ajudem nisso tmb... sou novato no mundo linux!!!

#!/bin/sh
modprobe ip_tables
modprobe iptable_nat
modprobe ip_nat_ftp
#
# Definicoes das Variaveis
# Variavel das interfaces de rede
IR0="eth0"
IR1="eth1"
#
# Estes são os endereços de sua rede
RINTERNA="10.0.0.0/16"
#
# Portas Altas e baixas
UP_PORTS="1024:"
D_PORTS=":1024"
#
##### Definição de Policiamento #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
##### Proteção contra IP Spoofing #####
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done
##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward
###############################################################
# Tabela filter #
###############################################################
##### Chain INPUT #####
# Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo trafego vindo da rede interna sao aceitos
iptables -A INPUT -s $RINTERNA -i $IR1 -j ACCEPT
# Liberacao de Portas de Servico para interface externa
# Porta 22 (SSH)
iptables -A INPUT -i $IR0 -p tcp --sport 22 -j ACCEPT
# Liberando Portas Altas e DNS para interface externa
iptables -A INPUT -i $IR0 -p udp --sport 53 -j ACCEPT
iptables -A INPUT -i $IR0 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -i $IR0 -p udp --dport $UP_PORTS -j ACCEPT
iptables -A INPUT -i $IR0 -p tcp --dport $UP_PORTS -j ACCEPT
# Qualquer outra conexao desconhecida é imediatamente registrada e derrubada
iptables -A INPUT -j LOG --log-level 6 --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP
# A tentativa de acesso externo a estes serviços serão registrados no syslog
# do sistema e serão bloqueados regras abaixo
iptables -A INPUT -i $IR1 -p tcp --dport 23 -j LOG --log-level 6 --log-prefix "FIREWALL: telnet"
iptables -A INPUT -i $IR0 -p tcp --dport 113 -j LOG --log-level 6 --log-prefix "FIREWALL: identd "
iptables -A INPUT -i $IR0 -p tcp --sport 21 -j LOG --log-level 6 --log-prefix "FIREWALL: ftp "
iptables -A INPUT -i $IR0 -p udp --dport 111 -j LOG --log-level 6 --log-prefix "FIREWALL: rpc"
iptables -A INPUT -i $IR0 -p tcp --dport 111 -j LOG --log-level 6 --log-prefix "FIREWALL: rpc"
iptables -A INPUT -i $IR0 -p tcp --dport 137:139 -j LOG --log-level 6 --log-prefix "FIREWALL: samba "
iptables -A INPUT -i $IR0 -p udp --dport 137:139 -j LOG --log-level 6 --log-prefix "FIREWALL: samba "
# Bloqueia qualquer tentativa de nova conexão de fora para esta maquina
iptables -A INPUT -i $IR0 -m state --state ! ESTABLISHED,RELATED -j LOG --log-level 6 --log-prefix "FIREWALL: IN eth1 "
iptables -A INPUT -i $IR0 -m state --state ! ESTABLISHED,RELATED -j DROP
# Portas para OUTLOOK
iptables -A INPUT -i $IR0 -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -i $IR0 -p tcp --dport 1025 -j ACCEPT
iptables -A INPUT -i $IR0 -p tcp --dport 25 -j ACCEPT
#######################################################
# Tabela nat #
#######################################################
##### Chain PREROUTING #####
# Redirecionando Porta 80 para SQUID Transparente
iptables -t nat -A PREROUTING -p tcp -i $IR1 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p udp -i $IR1 --dport 80 -j REDIRECT --to-port 3128
# Masquerade (NAT)
iptables -t nat -A POSTROUTING -o $IR0 -j MASQUERADE

0 0

Quote

2. Re: bloquear todas as portas

irado
(usa XUbuntu)

Enviado em 12/05/2010 - 12:29h

suas regras estão muito permissivas - as politicas estão ACCEPT, quando (IMHO) deveriam ser DROP ou no máximo REJECT. Já que vc é novato, a melhor coisa a fazer será pegar um dos MUITOS scripts de fwll daqui e adequa-los a seu uso. Apenas como indicação:

sendo suas policies DROP, vc ajusta para liberar APENAS as portas comuns de acesso convencional, por exemplo, 110,80,443. O único cuidado é o seu usuário estar usando um tunel https (443) ou ssh em porta não convencional. Nêste caso: descubra o ip-addr da máquina remota que êle usa e bloqueie TODO trafego que se dirija para lá.

hoje estou especialmente generoso (nota: não pense que é sempre.. NÃO É), então indico pra vc:

http://www.google.com.br/custom?domains=www.vivaolinux.com.br&sitesearch=www.vivaolinux.com.br&a...

analise e escolha :)

flames > /dev/null

0 0

Quote

3. bloquear todas as portas

fbsalvi
(usa Outra)

Enviado em 12/05/2010 - 16:56h

cara faz o seguinte:

isso pra fechar as portas pra ele:

iptables -A FORWARD -s <ip da maquina do cara> -p tcp --dport 0:65535 -j DROP
iptables -A FORWARD -s <ip da maquina do cara> -p udp --dport 0:65535 -j DROP
iptables -t nat PREROUTING -i ethx -s <ip da maquiando cara> -p tcp --dport 0:65535 -j DROP
iptables -t nat PREROUTING -i ethx -s <ip da maquiando cara> -p udp --dport 0:65535 -j DROP

onde:

ethx = placa LAN

antes dessas regras vc tem que liberar as portas que o cara precisa, nao se esqueça disso. Isso que te passei eh uma das opções de fazer, existe outros meios..

Testa ae.

Fabiano.

0 0

Quote

4. Re: bloquear todas as portas

Ruan_Ribeiro
(usa Debian)

Enviado em 12/05/2010 - 17:25h

cara, eu botei as regras que vc me passou....
deu o seguinte erro:
Bad argument 'PREROUTING'...
tem ideia de como resolver?

0 0

Quote

5. Re: bloquear todas as portas

pardalz
(usa Debian)

Enviado em 13/05/2010 - 13:47h

iptables -A FORWARD -s <ip da maquina do cara> -p tcp --dport 0:65535 -j DROP
iptables -A FORWARD -s <ip da maquina do cara> -p udp --dport 0:65535 -j DROP
iptables -t nat -A PREROUTING -i ethx -s <ip da maquiando cara> -p tcp --dport 0:65535 -j DROP
iptables -t nat -A PREROUTING -i ethx -s <ip da maquiando cara> -p udp --dport 0:65535 -j DROP

0 0

Quote

6. @irado

dastyler
(usa Fedora)

Enviado em 13/05/2010 - 14:01h

..hauhauahua...você é uma figuraça!! huahauhaua:D:D:D:D

[]´s

0 0

Quote

7. Re: bloquear todas as portas

foxbit3r
(usa Solaris)

Enviado em 13/05/2010 - 15:45h

Esse site aqui vai te ajudar

http://lmgtfy.com/?q=linux+iptables

0 0

Quote

8. Re: bloquear todas as portas

Ruan_Ribeiro
(usa Debian)

Enviado em 13/05/2010 - 17:56h

entao, a regra NAT eu nao pude por, pq nat nao funciona com DROP... a regra FORWARD eu botei, mais nao bloqueou...

tipo, meu problema é o seguinte... tem um pc que eu bloquiei o acesso a internet via SQUID, mais o infeliz esta acessando o pc da casa dele via acesso remoto... como o pc dele nao precisa de acesso a nada, por isso estou querendo bloquear todas as portas... foi o unico jeito que vi para ele nao acessar nada!!! tipo, virou questao de honra travar esse mané

0 0

Quote