Enviado em 18/08/2007 - 21:02h
olha pessoal, to com esse firewall na maquina, peguei ai no site do vol, ele ta funcionando certinho, ta bloqueando msn, ta bloqueando shareaza, emule etc...mais porém ele ainda ta liberarno acesso ao downloadmanager....
a minha duivda e eh: como que eu faço para que ele bloquei tudo...e soh permita que o pessoal navegue na internet?
veja como ele esta:
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe sch_sfq
/sbin/modprobe sch_htb
/sbin/modprobe cls_u32
# Desativando o filtro de ip ( seguranca )
#-------------------------------------------------
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
# Habilitando repasse de pacote
#-------------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
# Definicao de variaveis
#-------------------------------------------------
IPR=/sbin/ip
IPT=/sbin/iptables
LAN=192.168.0.0/24
#INTERFACES
#-------------------------------------------------
IFWAN=eth0
IFLAN=eth1
# APAGA TODAS AS REGRAS
#---------------------------------------------
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
# POLITICAS DE ACESSO
#----------------------------------------------
$IPT -P INPUT ACCEPT
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#$IPT -P OUTPUT ACCEPT
# Aceita pacotes que ja estabelecerao conexao ( Statefull)
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#pacotes originados pelo firewall
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceitando pela interface interna
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Liberando ICMP para rede
$IPT -A INPUT -p icmp -i $IFLAN -s $LAN -j ACCEPT
$IPT -A OUTPUT -o $IFWAN -p icmp -m state --state NEW -j ACCEPT
$IPT -A FORWARD -p icmp -i $IFLAN -o $IFWAN -j ACCEPT
#
# Acesso ssh (firewall)
#------------------------------------------------
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 22 -j ACCEPT
#
# CONEXAO DE SAIDA ( Acesso da rede interna direto para Internet via proxy)
#---------------------------------------------------------------------
#consulta dns do firewall
$IPT -A INPUT -p udp -i $IFLAN -s $LAN --dport 53 -j ACCEPT
$IPT -A OUTPUT -p udp -s $LAN --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s $LAN --dport 67 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LAN --dport 53 -j ACCEPT
$IPT -A FORWARD -p tcp -s $LAN --dport 67 -j ACCEPT
#transferencia de zonas entre o firewall e o ad
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 53 -j ACCEPT
#dhcp
$IPT -A INPUT -p udp -i $IFLAN -s $LAN --dport 67 -j ACCEPT
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 68 -j ACCEPT
#
# Acesso as servidores da DMZ pela Internet
#----------------------------------------------------------
$IPT -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.4
#Libera https, imap, pop3, smtp, 587=smtp locaweb
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -m multiport --dport 53,80,8080,110,143,25,443,587 -j ACCEPT
#libera a lan pra ela mesmo
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -d $LAN -j ACCEPT
#libera a lan pra consultar o dns do firewall AQUI
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -d $LAN -j ACCEPT
#redireciona a porta 80 para a 3128 do squid
$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -A INPUT -i $IFLAN -p tcp --dport 3128 -j ACCEPT
$IPT -A OUTPUT -p icmp -m state --state NEW -j ACCEPT
#----------------------------------------------------------------
# Mascaramento link
$IPT -t nat -A POSTROUTING -o $IFWAN -j MASQUERADE
....qual seria a solução?
a minha duivda e eh: como que eu faço para que ele bloquei tudo...e soh permita que o pessoal navegue na internet?
veja como ele esta:
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe sch_sfq
/sbin/modprobe sch_htb
/sbin/modprobe cls_u32
# Desativando o filtro de ip ( seguranca )
#-------------------------------------------------
echo 0 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth0/rp_filter
echo 0 > /proc/sys/net/ipv4/conf/eth1/rp_filter
# Habilitando repasse de pacote
#-------------------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
# Definicao de variaveis
#-------------------------------------------------
IPR=/sbin/ip
IPT=/sbin/iptables
LAN=192.168.0.0/24
#INTERFACES
#-------------------------------------------------
IFWAN=eth0
IFLAN=eth1
# APAGA TODAS AS REGRAS
#---------------------------------------------
$IPT -F
$IPT -t nat -F
$IPT -t mangle -F
# POLITICAS DE ACESSO
#----------------------------------------------
$IPT -P INPUT ACCEPT
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
#$IPT -P OUTPUT ACCEPT
# Aceita pacotes que ja estabelecerao conexao ( Statefull)
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#pacotes originados pelo firewall
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Aceitando pela interface interna
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
# Liberando ICMP para rede
$IPT -A INPUT -p icmp -i $IFLAN -s $LAN -j ACCEPT
$IPT -A OUTPUT -o $IFWAN -p icmp -m state --state NEW -j ACCEPT
$IPT -A FORWARD -p icmp -i $IFLAN -o $IFWAN -j ACCEPT
#
# Acesso ssh (firewall)
#------------------------------------------------
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 22 -j ACCEPT
#
# CONEXAO DE SAIDA ( Acesso da rede interna direto para Internet via proxy)
#---------------------------------------------------------------------
#consulta dns do firewall
$IPT -A INPUT -p udp -i $IFLAN -s $LAN --dport 53 -j ACCEPT
$IPT -A OUTPUT -p udp -s $LAN --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s $LAN --dport 67 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LAN --dport 53 -j ACCEPT
$IPT -A FORWARD -p tcp -s $LAN --dport 67 -j ACCEPT
#transferencia de zonas entre o firewall e o ad
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 53 -j ACCEPT
#dhcp
$IPT -A INPUT -p udp -i $IFLAN -s $LAN --dport 67 -j ACCEPT
$IPT -A INPUT -p tcp -i $IFLAN -s $LAN --dport 68 -j ACCEPT
#
# Acesso as servidores da DMZ pela Internet
#----------------------------------------------------------
$IPT -t nat -A PREROUTING -p tcp --dport 8080 -j DNAT --to-destination 192.168.0.4
#Libera https, imap, pop3, smtp, 587=smtp locaweb
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -m multiport --dport 53,80,8080,110,143,25,443,587 -j ACCEPT
#libera a lan pra ela mesmo
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -d $LAN -j ACCEPT
#libera a lan pra consultar o dns do firewall AQUI
$IPT -A FORWARD -p tcp -i $IFLAN -s $LAN -d $LAN -j ACCEPT
#redireciona a porta 80 para a 3128 do squid
$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -A INPUT -i $IFLAN -p tcp --dport 3128 -j ACCEPT
$IPT -A OUTPUT -p icmp -m state --state NEW -j ACCEPT
#----------------------------------------------------------------
# Mascaramento link
$IPT -t nat -A POSTROUTING -o $IFWAN -j MASQUERADE
....qual seria a solução?
