Ol�, ser� que alguem pode me ajudar para liberar a passagem do Kazaa
pelo Iptables?
Segue abaixo meu arquivo iptables (foi copiado do Guia Foca Linux):
##### Defini��o de Policiamento #####
# Tabela filter
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
# Tabela mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
##### Prote��o contra IP Spoofing #####
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done
##### Ativamos o redirecionamento de pacotes (requerido para NAT) #####
echo "1" >/proc/sys/net/ipv4/ip_forward
# O iptables define automaticamente o n�mero m�ximo de conex�es
simult�neas
# com base na mem�ria do sistema. Para 32MB = 2048, 64MB = 4096, 128MB =
8192,
# sendo que s�o usados 350 bytes de mem�ria residente para controlar
# cada conex�o.
# Quando este limite � excedido a seguinte mensagem � mostrada:
# "ip_conntrack: maximum limit of XXX entries exceed"
#
# Como temos uma rede simples, vamos abaixar este limite. Por outro lado
isto
# criar� uma certa limita��o de tr�fego para evitar a sobrecarga do
servidor.
echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max
###############################################################
# Tabela filter #
###############################################################
##### Chain INPUT #####
# Criamos um chain que ser� usado para tratar o tr�fego vindo da
Internet e
iptables -N ppp-input
# Aceita todo o tr�fego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT
# Todo tr�fego vindo da rede interna tamb�m � aceito
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT
# Conex�es vindas da interface ppp0 s�o tratadas pelo chain ppp-input
iptables -A INPUT -i ppp+ -j ppp-input
# Qualquer outra conex�o desconhecida � imediatamente registrada e
derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP
##### Chain FORWARD ####
# Permite redirecionamento de conex�es entre as interfaces locais
# especificadas abaixo. Qualquer tr�fego vindo/indo para outras
# interfaces ser� bloqueado neste passo
iptables -A FORWARD -d 192.168.0.0/24 -i ppp+ -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o ppp+ -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
##### Chain ppp-input ####
# Aceitamos todas as mensagens icmp vindas de ppp0 com certa limita��o
iptables -A ppp-input -p icmp -m limit --limit 2/s -j ACCEPT
# Primeiro aceitamos o tr�fego vindo da Internet para o servi�o www
(porta 80)
iptables -A ppp-input -p tcp --dport 80 -j ACCEPT
# A tentativa de acesso externo a estes servi�os ser�o registrados no
syslog
# do sistema e ser�o bloqueados pela �ltima regra abaixo.
iptables -A ppp-input -p tcp --dport 21 -j LOG --log-prefix "FIREWALL:
ftp "
iptables -A ppp-input -p tcp --dport 25 -j LOG --log-prefix "FIREWALL:
smtp "
iptables -A ppp-input -p udp --dport 53 -j LOG --log-prefix "FIREWALL:
dns "
iptables -A ppp-input -p tcp --dport 110 -j LOG --log-prefix "FIREWALL:
pop3 "
iptables -A ppp-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL:
identd "
iptables -A ppp-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL:
rpc"
iptables -A ppp-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL:
rpc"
iptables -A ppp-input -p tcp --dport 137:139 -j LOG --log-prefix
"FIREWALL: samba "
iptables -A ppp-input -p udp --dport 137:139 -j LOG --log-prefix
"FIREWALL: samba "
# Bloqueia qualquer tentativa de nova conex�o de fora para esta m�quina
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j LOG
--log-prefix "FIREWALL: ppp-in "
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tr�fego � aceito
iptables -A ppp-input -j ACCEPT
#######################################################
# Tabela nat #
#######################################################
##### Chain POSTROUTING #####
# Permite qualquer conex�o vinda com destino a lo e rede local para eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j ACCEPT
# N�o queremos que usu�rios tenham acesso direto a www e smtp da rede
externa, o
# squid e smtpd do firewall devem ser obrigatoriamente usados. Tamb�m
registramos
# as tentativas para monitorarmos qual m�quina est� tentando conectar-se
diretamente.
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -p tcp --dport
80 -j LOG --log-prefix "FIREWALL: SNAT-www "
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -p tcp --dport
25 -j LOG --log-prefix "FIREWALL: SNAT-smtp "
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -p tcp --dport
25 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -p tcp --dport
80 -j DROP
# � feito masquerading dos outros servi�os da rede interna indo para a
interface
# ppp0
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp+ -j MASQUERADE
# Qualquer outra origem de tr�fego desconhecida indo para eth0 (conex�es
vindas
# de ppp+) s�o bloqueadas aqui
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.0.0/24 -j LOG
--log-prefix "FIREWALL: SNAT unknown"
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.0.0/24 -j DROP
# Quando iniciamos uma conex�o ppp, obtermos um endere�o classe A
(10.x.x.x) e ap�s
# estabelecida a conex�o real, este endere�o � modificado. O tr�fego
indo para
# a interface ppp n�o dever� ser bloqueado. Os bloqueios ser�o feitos no
# chain INPUT da tabela filter
iptables -t nat -A POSTROUTING -o ppp+ -j ACCEPT
# Registra e bloqueia qualquer outro tipo de tr�fego desconhecido
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP
###############################################
# Tabela mangle #
###############################################
##### Chain OUTPUT #####
# Define m�nimo de espera para os servi�os ftp, telnet, irc e DNS, isto
# dar� uma melhor sensa��o de conex�o em tempo real e diminuir� o tempo
# de espera para conex�es que requerem resolu��o de nomes.
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 21 -j TOS --set-tos
0x10
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 23 -j TOS --set-tos
0x10
iptables -t mangle -A OUTPUT -o ppp+ -p tcp --dport 6665:6668 -j TOS
--set-tos 0x10
iptables -t mangle -A OUTPUT -o ppp+ -p udp --dport 53 -j TOS --set-tos
0x10
8-p
corte aqui para estragar seu monitor
---8<------------------------------------------------------------------
----
Voc� acha que reiniciar o computador � coisa normal?
Est� na hora de rever seus conceitos! Experimente Linux
____________________________________________________
.---. | |
|o_o| |Suntech Inform�tica - Maceio - AL |
|\./|_ |Redes - Ass. T�cnica - Consultoria|
// \ \ |mailto:[EMAIL PROTECTED] |
<| | ) |Registered User #141545 |
/'\_ _/`\ |Conectiva Linux 8 |
\___)=(___/ | |
_________________|__________________________________|
Assinantes em 03/10/2002: 2258
Mensagens recebidas desde 07/01/1999: 185418
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
