Bloquear IP estação

1. Bloquear IP estação

Eduardo Bueno de Oliveira
predator

(usa Debian)

Enviado em 11/10/2007 - 13:45h

qual regra eu uso para bloquear uma estação, para não ter acesso a internet?Isso no iptables

valeu


  


2. Re: Bloquear IP estação

Hugo Alvarez
hugoalvarez

(usa Debian)

Enviado em 11/10/2007 - 14:15h

Oi, tenta assim

iptables -A FORWARD -s 192.168.0.1 -p tcp -m tcp --dport 80 -j DROP

(192.168.0.1 é a máquina que você quer bloquear)

Até mais.


3. De mais detalhes

Eduardo Pelizzari de Andrade
edupersoft

(usa Manjaro Linux)

Enviado em 11/10/2007 - 14:31h

Qual a sua infraestrutura para acessar a internet? Você usa um hadware para rotear ou pc com linux? Suas estações são linux ou Windows?
Se o que você quer é limitar alguns usuários para não navegar a internet, o ideal é a velha dobradinha iptables x Squid com o Squid autenticado, assim só usuários com direitos poderão usar a internet. Uma solução mais simples se você quiser bloquear apenas determinadas estações é usar ipfixo na rede e no roteador definir quais ips pode acessar a internet e quais não.





4. Re: Bloquear IP estação

Eduardo Bueno de Oliveira
predator

(usa Debian)

Enviado em 11/10/2007 - 15:01h

caro hugoalvarez

tentei dessa maneira e não deu certo...

valeu

caro edupersoft

a rede aqui é seguinte...
servidor Debian,iptables+squid transparente, com 3 placas de rede, uma ligada em roteador de link dedicado e as outras duas ligadas em um switch
distribuindo internet entre 50 maquinas windows, dessas 50 maquinas 15 não tem acesso a internet (tirei o acesso delas atraves do squid) e tambem o squid esta configurado para bloquear varios sites da rede local inteira...o problema é que se digitar "https://orkut.com" de uma maquina que esta limitada sem acesso a internet no squid, ela vai acessar tranquilo...(sei que isso acontece por eu usar proxy transparente) por isso que eu queria bloquear o ip da estação direto no iptables...
só mais uma coisa eu uso ip-fixo...

Valeu


5. Re: Bloquear IP estação

Marlon Vagner Reck
marlonreck

(usa Fedora)

Enviado em 11/10/2007 - 15:17h

Cara vc pode bloquear isso pelo squid que fica mais fácil.

#bloquea orkut
acl ORKUTBLOQ dstdomain -i .orkut.com
http_access deny ORKUTBLOQ

ou através de uma lista de sites ha bloquear

#lista de sites para bloquear
acl SITES_BLOQ dstdom_regex -i "/etc/squid/sitesbloq"
http_access deny IPS_BLOQUEADOS


6. Re: Bloquear IP estação

Eduardo Bueno de Oliveira
predator

(usa Debian)

Enviado em 11/10/2007 - 15:29h

eu já tenho uma acl parecida, uso ela para liberar o orkut na hora do almoço...
mas o que estou querendo bloquear é uma estação direto no iptables...

valeu


7. Re: Bloquear IP estação

Eduardo Pelizzari de Andrade
edupersoft

(usa Manjaro Linux)

Enviado em 11/10/2007 - 15:34h

Predador, vamos ver seu saquei, você usa proxy transparente, por isso não vai autenticar os usuário que acessa a internet, porque ou você autentica ou usa proxy transparente, daí para resolver o problema você que limitar os ips que tem acesso a internet. É isto?
Se for o comando do hugoalvarez, tem fundamento, mas o problema é que o iptables é um conjunto de tabelas com regras, quando um pacote chega na máquina ele passa pelas regras na ordem de entrada nas tabelas do iptables, quando o pacote encontra uma regra válida ele executa, assim fica difícil dar uma dica concreta sem ver seu script, se puder poste o scrip. Não esqueça de substituir seu endereço válido de internet por alguma coisa do tipo 200.xxx.xxx.xxx, para não se expor.


8. Re: Bloquear IP estação

Eduardo Bueno de Oliveira
predator

(usa Debian)

Enviado em 11/10/2007 - 15:43h

esse é meu script...

#Ativando Roteamento e Compartilhamento de Conex�o
echo "1" > /proc/sys/net/ipv4/ip_forward
$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Ignora Pings
$iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Liberando acesso da rede interna e loopback
$iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT

#Estabilizando e/ou relacionando as conexoes INPUT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Protege contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter

# desvia sites do proxy
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC

##Ativa Proxy Transparente ####
$iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT
$iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
$iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Redirecionando portas 25,80,110 para servidor de email
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248

#Impedindo a Abertura de novas conex�es
$iptables -A INPUT -p tcp --syn -j DROP


9. Re: Bloquear IP estação

Marlon Vagner Reck
marlonreck

(usa Fedora)

Enviado em 11/10/2007 - 15:44h

Predador eu uso um proxy transparente aqui com essas duas regras, uma específica para o orkut para quem possa liberar apenas para algumas pessoas e a outra para barrar geral e elas funcionam muito bem. Mas se vc que fazer pelo iptables o q se toma mais trabalhoso pode usar isso:

IPTABLES -t nat -A PREROUTING -i ethXX -p tcp -s IP_REDE_INTERNA -d IP_orkut -j DROP





10. Re: Bloquear IP estação

Hugo Alvarez
hugoalvarez

(usa Debian)

Enviado em 11/10/2007 - 15:48h

Meio confuso, tente assim, alterei a primeira linha depois da seção ## ativa proxy transparente ### coloque o ip que desejar no 192.168.0.xxx

#Ativando Roteamento e Compartilhamento de Conex�o
echo "1" > /proc/sys/net/ipv4/ip_forward

#Protege contra IP spoofing
echo "1" > /proc/sys/net/ipv4/conf/default/rp_filter

#Impedindo a Abertura de novas conexoes
$iptables -A INPUT -p tcp --syn -j DROP

#Ignora Pings
$iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

# Liberando acesso da rede interna e loopback
$iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$iptables -A INPUT -p ALL -s 192.168.0.0/24 -i lo -j ACCEPT

#Estabilizando e/ou relacionando as conexoes INPUT
$iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# desvia sites do proxy
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.0/24 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.155.80.15 -j RETURN #Bradesco
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.199.249.50 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 170.66.11.10 -j RETURN #BB
$iptables -t nat -A PREROUTING -s 0.0.0.0/0 -d 200.152.233.40/24 -j RETURN #HSBC

##Ativa Proxy Transparente ####
$iptables -t nat -A PREROUTING -i bond0 -s 192.168.0.xxx --dport 80 -j DROP
$iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Redirecionando portas 25,80,110 para servidor de email
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 22 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 80 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 25 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 110 -j DNAT --to-destination 192.168.0.253
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 21 -j DNAT --to-destination 192.168.0.251
$iptables -t nat -A PREROUTING -s 0/0 -p tcp -i eth0 --dport 3389 -j DNAT --to-destination 192.168.0.248

$iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


11. Re: Bloquear IP estação

Marlon Vagner Reck
marlonreck

(usa Fedora)

Enviado em 11/10/2007 - 15:50h

Cara não sei mas acho que seu proxy esta meio confuso, vc tem 3 regras para fazer uma única coisa, pq não muda para algo assim:

IPTABLES -t nat -A PREROUTING -i Placa1 -p tcp --dport 80 -j REDIRECT --to-port 3128

IPTABLES -t nat -A PREROUTING -i Placa2 -p tcp --dport 80 -j REDIRECT --to-port 3128



12. Re: Bloquear IP estação

Eduardo Bueno de Oliveira
predator

(usa Debian)

Enviado em 11/10/2007 - 16:08h

hugoalvarez

consegui fazer o que eu queria do jeito que você mostrou acima...
obrigado

e muito obrigado a todos vocês

e quanto as regras do proxy transparente...

#libera a porta 80 para rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 80 -j ACCEPT

#libera porta 3128 tambem para a rede local#
iptables -A INPUT -p TCP -i bond0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT

##redireciona tudo da porta 80 para a 3128#
iptables -t nat -A PREROUTING -i bond0 -p tcp --dport 80 -j REDIRECT --to-port 3128

qual é diferença de usar assim?



01 02



Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts