Denuncie   Favoritos   Indicar  

01 02

Bloquear IP estação

1. Bloquear IP estação

Eduardo Bueno de Oliveira
predator
(usa Debian)

Enviado em 11/10/2007 - 13:45h

qual regra eu uso para bloquear uma estação, para não ter acesso a internet?Isso no iptables

valeu

0 0
  • Quote

    •   


    2. Re: Bloquear IP estação

    Hugo Alvarez
    hugoalvarez
    (usa Debian)

    Enviado em 11/10/2007 - 14:15h

    Oi, tenta assim

    iptables -A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 80 -j DROP

    (192.168.0.1 é a máquina que você quer bloquear)

    Até mais.

    0 0
  • Quote

    • 3. De mais detalhes

    Eduardo Pelizzari de Andrade
    edupersoft
    (usa Manjaro Linux)

    Enviado em 11/10/2007 - 14:31h

    Qual a sua infraestrutura para acessar a internet? Você usa um hadware para rotear ou pc com linux? Suas estações são linux ou Windows?
    Se o que você quer é limitar alguns usuários para não navegar a internet, o ideal é a velha dobradinha iptables x Squid com o Squid autenticado, assim só usuários com direitos poderão usar a internet. Uma solução mais simples se você quiser bloquear apenas determinadas estações é usar ipfixo na rede e no roteador definir quais ips pode acessar a internet e quais não.




    0 0
  • Quote

    • 4. Re: Bloquear IP estação

    Eduardo Bueno de Oliveira
    predator
    (usa Debian)

    Enviado em 11/10/2007 - 15:01h

    caro hugoalvarez

    tentei dessa maneira e não deu certo...

    valeu

    caro edupersoft

    a rede aqui é seguinte...
    servidor Debian,iptables+squid transparente, com 3 placas de rede, uma ligada em roteador de link dedicado e as outras duas ligadas em um switch
    distribuindo internet entre 50 maquinas windows, dessas 50 maquinas 15 não tem acesso a internet (tirei o acesso delas atraves do squid) e tambem o squid esta configurado para bloquear varios sites da rede local inteira...o problema é que se digitar "https://orkut.com" de uma maquina que esta limitada sem acesso a internet no squid, ela vai acessar tranquilo...(sei que isso acontece por eu usar proxy transparente) por isso que eu queria bloquear o ip da estação direto no iptables...
    só mais uma coisa eu uso ip-fixo...

    Valeu

    0 0
  • Quote

    • 5. Re: Bloquear IP estação

    Marlon Vagner Reck
    marlonreck
    (usa Fedora)

    Enviado em 11/10/2007 - 15:17h

    Cara vc pode bloquear isso pelo squid que fica mais fácil.

    #bloquea orkut
    acl ORKUTBLOQ dstdomain -i .orkut.com
    http_access deny ORKUTBLOQ

    ou através de uma lista de sites ha bloquear

    #lista de sites para bloquear
    acl SITES_BLOQ dstdom_regex -i "/etc/squid/sitesbloq"
    http_access deny IPS_BLOQUEADOS

    0 0
  • Quote

    • 6. Re: Bloquear IP estação

    Eduardo Bueno de Oliveira
    predator
    (usa Debian)

    Enviado em 11/10/2007 - 15:29h

    eu já tenho uma acl parecida, uso ela para liberar o orkut na hora do almoço...
    mas o que estou querendo bloquear é uma estação direto no iptables...

    valeu

    0 0
  • Quote

    • 7. Re: Bloquear IP estação

    Eduardo Pelizzari de Andrade
    edupersoft
    (usa Manjaro Linux)

    Enviado em 11/10/2007 - 15:34h

    Predador, vamos ver seu saquei, você usa proxy transparente, por isso não vai autenticar os usuário que acessa a internet, porque ou você autentica ou usa proxy transparente, daí para resolver o problema você que limitar os ips que tem acesso a internet. É isto?
    Se for o comando do hugoalvarez, tem fundamento, mas o problema é que o iptables é um conjunto de tabelas com regras, quando um pacote chega na máquina ele passa pelas regras na ordem de entrada nas tabelas do iptables, quando o pacote encontra uma regra válida ele executa, assim fica difícil dar uma dica concreta sem ver seu script, se puder poste o scrip. Não esqueça de substituir seu endereço válido de internet por alguma coisa do tipo 200.xxx.xxx.xxx, para não se expor.

    0 0
  • Quote

    • 8. Re: Bloquear IP estação

    Eduardo Bueno de Oliveira
    predator
    (usa Debian)

    Enviado em 11/10/2007 - 15:43h

    esse é meu script...

    #Ativando Roteamento e Compartilhamento de Conex�o
    echo "1" > /proc/sys/net/ipv4/ip_forward
    $iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    #Ignora Pings
    $iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    # Liberando acesso da rede interna e loopback
    $iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    $iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT

    #Estabilizando e/ou relacionando as conexoes INPUT
    $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Protege contra IP spoofing
    echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter

    # desvia sites do proxy
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC

    ##Ativa Proxy Transparente ####
    $iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
    $iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
    $iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    #Redirecionando portas 25,80,110 para servidor de email
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248

    #Impedindo a Abertura de novas conex�es
    $iptables -A INPUT -p tcp --syn -j DROP

    0 0
  • Quote

    • 9. Re: Bloquear IP estação

    Marlon Vagner Reck
    marlonreck
    (usa Fedora)

    Enviado em 11/10/2007 - 15:44h

    Predador eu uso um proxy transparente aqui com essas duas regras, uma específica para o orkut para quem possa liberar apenas para algumas pessoas e a outra para barrar geral e elas funcionam muito bem. Mas se vc que fazer pelo iptables o q se toma mais trabalhoso pode usar isso:

    IPTABLES -t nat -A PREROUTING -i ethXX -p tcp -s IP_REDE_INTERNA -d IP_orkut -j DROP




    0 0
  • Quote

    • 10. Re: Bloquear IP estação

    Hugo Alvarez
    hugoalvarez
    (usa Debian)

    Enviado em 11/10/2007 - 15:48h

    Meio confuso, tente assim, alterei a primeira linha depois da seção ## ativa proxy transparente ### coloque o ip que desejar no 192.168.0.xxx

    #Ativando Roteamento e Compartilhamento de Conex�o
    echo "1" > /proc/sys/net/ipv4/ip_forward

    #Protege contra IP spoofing
    echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter

    #Impedindo a Abertura de novas conexoes
    $iptables -A INPUT -p tcp --syn -j DROP

    #Ignora Pings
    $iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

    # Liberando acesso da rede interna e loopback
    $iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    $iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT

    #Estabilizando e/ou relacionando as conexoes INPUT
    $iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    $iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # desvia sites do proxy
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
    $iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC

    ##Ativa Proxy Transparente ####
    $iptables -t nat -A PREROUTING -i bond0 -s 192.168.0.xxx --dport 80 -j DROP
    $iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    #Redirecionando portas 25,80,110 para servidor de email
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
    $iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248

    $iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    0 0
  • Quote

    • 11. Re: Bloquear IP estação

    Marlon Vagner Reck
    marlonreck
    (usa Fedora)

    Enviado em 11/10/2007 - 15:50h

    Cara não sei mas acho que seu proxy esta meio confuso, vc tem 3 regras para fazer uma única coisa, pq não muda para algo assim:

    IPTABLES -t nat -A PREROUTING -i Placa1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    IPTABLES -t nat -A PREROUTING -i Placa2 -p tcp --dport 80 -j REDIRECT --to-port 3128


    0 0
  • Quote

    • 12. Re: Bloquear IP estação

    Eduardo Bueno de Oliveira
    predator
    (usa Debian)

    Enviado em 11/10/2007 - 16:08h

    hugoalvarez

    consegui fazer o que eu queria do jeito que você mostrou acima...
    obrigado

    e muito obrigado a todos vocês

    e quanto as regras do proxy transparente...

    #libera a porta 80 para rede local#
    iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT

    #libera porta 3128 tambem para a rede local#
    iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT

    ##redireciona tudo da porta 80 para a 3128#
    iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    qual é diferença de usar assim?

    0 0
  • Quote


    • 01 02



    Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Compartilhando a tela do Computador no Celular via Deskreen

    Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota

    Configuração para desligamento automatizado de Computadores em um Ambiente Comercial

    O mínimo que você precisa saber sobre o terminal (parte 2)

    O mínimo que você precisa saber sobre o terminal (parte 1)

    Dicas

    Efeito "livro" em arquivos PDF

    Como resolver o erro no CUPS: Unable to get list of printer drivers

    Flatpak: remover runtimes não usados e pacotes

    Mudar o gerenciador de login (GDM para SDDM e vice-versa) - parte 2

    Como deixar as abas do Firefox mais fininhas

    Tópicos

    Como atualizar o Debian 8 para o 10 (10)

    Dica sobre iptables ACCEPT e DROP (6)

    NGNIX - Aplicar SNAT para evitar roteamento assimetrico (29)

    WARNING: No preprocessors configured for policy 0 (1)

    Impressão Linux (4)

    Top 10 do mês

    Scripts

    [Python] Automação de scan de vulnerabilidades

    [Python] Script para analise de superficie de ataque

    [Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem

    [Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)

    [Shell Script] Script para adicionar bordas às imagens de uma pasta

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: