Enviado em 11/10/2007 - 13:45h
qual regra eu uso para bloquear uma estação, para não ter acesso a internet?Isso no iptables
valeu
valeu
Bloquear IP estação
Responder tópico2. Re: Bloquear IP estação
Enviado em 11/10/2007 - 14:15h
Oi, tenta assim
iptables -A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 80 -j DROP
(192.168.0.1 é a máquina que você quer bloquear)
Até mais.
iptables -A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 80 -j DROP
(192.168.0.1 é a máquina que você quer bloquear)
Até mais.
3. De mais detalhes
Enviado em 11/10/2007 - 14:31h
Qual a sua infraestrutura para acessar a internet? Você usa um hadware para rotear ou pc com linux? Suas estações são linux ou Windows?
Se o que você quer é limitar alguns usuários para não navegar a internet, o ideal é a velha dobradinha iptables x Squid com o Squid autenticado, assim só usuários com direitos poderão usar a internet. Uma solução mais simples se você quiser bloquear apenas determinadas estações é usar ipfixo na rede e no roteador definir quais ips pode acessar a internet e quais não.
Se o que você quer é limitar alguns usuários para não navegar a internet, o ideal é a velha dobradinha iptables x Squid com o Squid autenticado, assim só usuários com direitos poderão usar a internet. Uma solução mais simples se você quiser bloquear apenas determinadas estações é usar ipfixo na rede e no roteador definir quais ips pode acessar a internet e quais não.
4. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:01h
caro hugoalvarez
tentei dessa maneira e não deu certo...
valeu
caro edupersoft
a rede aqui é seguinte...
servidor Debian,iptables+squid transparente, com 3 placas de rede, uma ligada em roteador de link dedicado e as outras duas ligadas em um switch
distribuindo internet entre 50 maquinas windows, dessas 50 maquinas 15 não tem acesso a internet (tirei o acesso delas atraves do squid) e tambem o squid esta configurado para bloquear varios sites da rede local inteira...o problema é que se digitar "https://orkut.com"; de uma maquina que esta limitada sem acesso a internet no squid, ela vai acessar tranquilo...(sei que isso acontece por eu usar proxy transparente) por isso que eu queria bloquear o ip da estação direto no iptables...
só mais uma coisa eu uso ip-fixo...
Valeu
tentei dessa maneira e não deu certo...
valeu
caro edupersoft
a rede aqui é seguinte...
servidor Debian,iptables+squid transparente, com 3 placas de rede, uma ligada em roteador de link dedicado e as outras duas ligadas em um switch
distribuindo internet entre 50 maquinas windows, dessas 50 maquinas 15 não tem acesso a internet (tirei o acesso delas atraves do squid) e tambem o squid esta configurado para bloquear varios sites da rede local inteira...o problema é que se digitar "https://orkut.com"; de uma maquina que esta limitada sem acesso a internet no squid, ela vai acessar tranquilo...(sei que isso acontece por eu usar proxy transparente) por isso que eu queria bloquear o ip da estação direto no iptables...
só mais uma coisa eu uso ip-fixo...
Valeu
5. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:17h
Cara vc pode bloquear isso pelo squid que fica mais fácil.
#bloquea orkut
acl ORKUTBLOQ dstdomain -i .orkut.com
http_access deny ORKUTBLOQ
ou através de uma lista de sites ha bloquear
#lista de sites para bloquear
acl SITES_BLOQ dstdom_regex -i "/etc/squid/sitesbloq"
http_access deny IPS_BLOQUEADOS
#bloquea orkut
acl ORKUTBLOQ dstdomain -i .orkut.com
http_access deny ORKUTBLOQ
ou através de uma lista de sites ha bloquear
#lista de sites para bloquear
acl SITES_BLOQ dstdom_regex -i "/etc/squid/sitesbloq"
http_access deny IPS_BLOQUEADOS
6. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:29h
eu já tenho uma acl parecida, uso ela para liberar o orkut na hora do almoço...
mas o que estou querendo bloquear é uma estação direto no iptables...
valeu
mas o que estou querendo bloquear é uma estação direto no iptables...
valeu
7. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:34h
Predador, vamos ver seu saquei, você usa proxy transparente, por isso não vai autenticar os usuário que acessa a internet, porque ou você autentica ou usa proxy transparente, daí para resolver o problema você que limitar os ips que tem acesso a internet. É isto?
Se for o comando do hugoalvarez, tem fundamento, mas o problema é que o iptables é um conjunto de tabelas com regras, quando um pacote chega na máquina ele passa pelas regras na ordem de entrada nas tabelas do iptables, quando o pacote encontra uma regra válida ele executa, assim fica difícil dar uma dica concreta sem ver seu script, se puder poste o scrip. Não esqueça de substituir seu endereço válido de internet por alguma coisa do tipo 200.xxx.xxx.xxx, para não se expor.
Se for o comando do hugoalvarez, tem fundamento, mas o problema é que o iptables é um conjunto de tabelas com regras, quando um pacote chega na máquina ele passa pelas regras na ordem de entrada nas tabelas do iptables, quando o pacote encontra uma regra válida ele executa, assim fica difícil dar uma dica concreta sem ver seu script, se puder poste o scrip. Não esqueça de substituir seu endereço válido de internet por alguma coisa do tipo 200.xxx.xxx.xxx, para não se expor.
8. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:43h
esse é meu script...
#Ativando Roteamento e Compartilhamento de Conex�o
echo "1" > /proc/sys/net/ipv4/ip_forward
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Ignora Pings
$iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Liberando acesso da rede interna e loopback
$iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT
#Estabilizando e/ou relacionando as conexoes INPUT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Protege contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter
# desvia sites do proxy
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC
##Ativa Proxy Transparente ####
$iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
$iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
$iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Redirecionando portas 25,80,110 para servidor de email
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248
#Impedindo a Abertura de novas conex�es
$iptables -A INPUT -p tcp --syn -j DROP
#Ativando Roteamento e Compartilhamento de Conex�o
echo "1" > /proc/sys/net/ipv4/ip_forward
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Ignora Pings
$iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Liberando acesso da rede interna e loopback
$iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT
#Estabilizando e/ou relacionando as conexoes INPUT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Protege contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter
# desvia sites do proxy
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC
##Ativa Proxy Transparente ####
$iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
$iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
$iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Redirecionando portas 25,80,110 para servidor de email
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248
#Impedindo a Abertura de novas conex�es
$iptables -A INPUT -p tcp --syn -j DROP
9. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:44h
Predador eu uso um proxy transparente aqui com essas duas regras, uma específica para o orkut para quem possa liberar apenas para algumas pessoas e a outra para barrar geral e elas funcionam muito bem. Mas se vc que fazer pelo iptables o q se toma mais trabalhoso pode usar isso:
IPTABLES -t nat -A PREROUTING -i ethXX -p tcp -s IP_REDE_INTERNA -d IP_orkut -j DROP
IPTABLES -t nat -A PREROUTING -i ethXX -p tcp -s IP_REDE_INTERNA -d IP_orkut -j DROP
10. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:48h
Meio confuso, tente assim, alterei a primeira linha depois da seção ## ativa proxy transparente ### coloque o ip que desejar no 192.168.0.xxx
#Ativando Roteamento e Compartilhamento de Conex�o
echo "1" > /proc/sys/net/ipv4/ip_forward
#Protege contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter
#Impedindo a Abertura de novas conexoes
$iptables -A INPUT -p tcp --syn -j DROP
#Ignora Pings
$iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Liberando acesso da rede interna e loopback
$iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT
#Estabilizando e/ou relacionando as conexoes INPUT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# desvia sites do proxy
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC
##Ativa Proxy Transparente ####
$iptables -t nat -A PREROUTING -i bond0 -s 192.168.0.xxx --dport 80 -j DROP
$iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Redirecionando portas 25,80,110 para servidor de email
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Ativando Roteamento e Compartilhamento de Conex�o
echo "1" > /proc/sys/net/ipv4/ip_forward
#Protege contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter
#Impedindo a Abertura de novas conexoes
$iptables -A INPUT -p tcp --syn -j DROP
#Ignora Pings
$iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# Liberando acesso da rede interna e loopback
$iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT
#Estabilizando e/ou relacionando as conexoes INPUT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# desvia sites do proxy
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC
##Ativa Proxy Transparente ####
$iptables -t nat -A PREROUTING -i bond0 -s 192.168.0.xxx --dport 80 -j DROP
$iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Redirecionando portas 25,80,110 para servidor de email
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
11. Re: Bloquear IP estação
Enviado em 11/10/2007 - 15:50h
Cara não sei mas acho que seu proxy esta meio confuso, vc tem 3 regras para fazer uma única coisa, pq não muda para algo assim:
IPTABLES -t nat -A PREROUTING -i Placa1 -p tcp --dport 80 -j REDIRECT --to-port 3128
IPTABLES -t nat -A PREROUTING -i Placa2 -p tcp --dport 80 -j REDIRECT --to-port 3128
IPTABLES -t nat -A PREROUTING -i Placa1 -p tcp --dport 80 -j REDIRECT --to-port 3128
IPTABLES -t nat -A PREROUTING -i Placa2 -p tcp --dport 80 -j REDIRECT --to-port 3128
12. Re: Bloquear IP estação
Enviado em 11/10/2007 - 16:08h
hugoalvarez
consegui fazer o que eu queria do jeito que você mostrou acima...
obrigado
e muito obrigado a todos vocês
e quanto as regras do proxy transparente...
#libera a porta 80 para rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
#libera porta 3128 tambem para a rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
##redireciona tudo da porta 80 para a 3128#
iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128
qual é diferença de usar assim?
consegui fazer o que eu queria do jeito que você mostrou acima...
obrigado
e muito obrigado a todos vocês
e quanto as regras do proxy transparente...
#libera a porta 80 para rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
#libera porta 3128 tambem para a rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
##redireciona tudo da porta 80 para a 3128#
iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128
qual é diferença de usar assim?
Responder tópico
Entre na sua conta para responder.