iPtables ajuda liberar apenas navegação para ip especifico e tweaks

gugao
(usa Ubuntu)

Enviado em 30/09/2014 - 10:36h

Olá a todos!!!

estou rodando o iptables em um router openwrt.. estou sofrendo a dias estudando em todo canto.. agora me esgotou não sei mais oq fazer..

tenho um router wifi onde não quero utilizar criptografia ou controle de mac. pq não adianta kkk

bom quero liberar a internet e todas as portas para algums ips..

e um ip em especifico quero liberar apenas a porta 80,443,53 (com isto acredito que não sera possível games online tipo LOL etc.. estou correto?

segui este post
http://www.vivaolinux.com.br/topico/Squid-Iptables/Formas-de-liberar-portas-por-IP

mas não sei como liberar geral para o ip do meu computador ? (192.168.1.7)

agradeço todo ajuda.

wagnerfs
(usa Fedora)

Enviado em 30/09/2014 - 11:45h

Você está usando o squid ou apenas o iptables? Se for apenas as regras de iptables, você pode fazer a seguinte regra:

iptables -I FORWARD -s 192.168.1.7 -j ACCEPT
iptables -I FORWARD -d 192.168.1.7 -j ACCEPT

A opção -I Permite inserir a regra acima de todas as outras. Se tiver usando com squid, além das regras acima, utilize as seguintes:


iptables -t nat -I PREROUTING -s 192.168.1.7 -j ACCEPT
iptables -t nat -I PREROUTING -d 192.168.1.7 -j ACCEPT

Posta aí as tuas regras do iptables.

gugao
(usa Ubuntu)

Enviado em 30/09/2014 - 16:35h

antes de postar o codigo deixe me esplicar que o real motivo e minha ideia.. já estou a dias trabalhando nisto no meu tempo vago..

já esta funcionando
qos
controle de banda (para meu filho não sugar tudo baixando games, animes e youtube)

preciso por padrao quando liga o router bloquear Todas as portas (para impedir games online)
e liberar no meu note todas as portas e sites etc..

para algums ips em especifico do meu filho (note lan, note wifi, itouch, android, psp, nds) preciso bloquear os sites facebook, youtube, e outros sites sociais..

ai fiz uma pagina no router.. que ele clica e roda um script que remove a regra por duas horas.
ex. acessar facebook por 2 horas..
ai roda e libera o acesso ao site..

outro botao libera acesso a todas as portas para ele jogar online.

Eu tb fui gamer. mas nossa geração curtia um multiplayer de verdade jogando tartaruga ninja no arcade.. brincando, brigando chutando e azarando as meninas no fliper.. isto não existe mais nesta geração..

meu filho ta ficando alienado e anti-social e tenho que tomar alguma atitude! fica a dica para estiver passando mesmo dilema...

bom graças a sua dica avancei mais um pouco..

agora eu preciso fazer um range de ips para os bloqueios.. e range de sites para não ficar gigante o tamanho do script.

no openwrt o iptables v 1.14 não aceita range de ips.. pelo pouco q entendi tem um sistema de criar uma lista que ele carrega coisa assim.

muito obrigado pela ajuda!!!

a lista abaixo é o fruto de um monte de pesquisas um pouco de cada lado copiado e colado queria dar os creditos a quem fez cada linha mas não tem como se lembrar .. entao agradeço a Deus e que de em dobro de sucesso para quem compartilho

gugao
(usa Ubuntu)

Enviado em 30/09/2014 - 21:39h

já consegui fazer um range de ips bloquear o face.

iptables -I FORWARD -m string --algo bm --string "facebook.com" -m iprange --src-range $filhao-j DROP
iptables -I OUTPUT -m string --algo bm --string "facebook.com" -m iprange --src-range $filhao -j DROP
iptables -I FORWARD -m string --algo bm --string "youtube.com" -m iprange --src-range $filhao -j DROP
iptables -I OUTPUT -m string --algo bm --string "youtube.com" -m iprange --src-range $filhao -j DROP


mas é possivel fazer um range de sites bloqueados? tipo em uma lista botar todas as strings de dominios e bloquear?

uma coisa estranha no bloqeio que esta acontecendo..

quando router liga por padrao vem face e youtube bloqueado ok..

quando libero a regra para apagar o bloqueio por um tempo..

quando vou bloquear novamente rodando o mesmo script o youtube bloqueia. mas o face se a pagina estiver aberta o face continua funcionando!

se fechar o navegador e tentar entrar de novo ai não consegue..

ja tentei dar um drop no ip do meu filho mas não deu
iptables -I FORWARD -m iprange --src-range $filhao -j DROP
sleep 15
/root/firewallpadrao