Re: Dúvida sobre iptables
Sim, mas não entendi o porquê da pergunta. []'s == Carlos Emir Mantovani Macedo Net Admin (19) 3256-4131 Infosoftware Consulting www.infosoftware.com.br == Só outra pergunta, Essa máquina onde está o firewall é o gateway das estações em que está fazendo o teste? []'s Henrique > O for está correto, pois não se consegue resolver DNS, por isso o > usuário não navega quando tenta uma url qualquer. Ele só vai coseguir se > colocar o ip. É isso que eu quero entender. > O formato do arquivo com os mac addressees é: > > mac_address descrição > > E isso eu testei, inclusive na mão. > Aguardo avaliação. > Obrigado. > > Seguem abaixo novamente as regras: > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Dúvida sobre iptables
Só outra pergunta, Essa máquina onde está o firewall é o gateway das estações em que está fazendo o teste? []'s Henrique > O for está correto, pois não se consegue resolver DNS, por isso o > usuário não navega quando tenta uma url qualquer. Ele só vai coseguir se > colocar o ip. É isso que eu quero entender. > O formato do arquivo com os mac addressees é: > > mac_address descrição > > E isso eu testei, inclusive na mão. > Aguardo avaliação. > Obrigado. > > Seguem abaixo novamente as regras: > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Dúvida sobre iptables
O for está correto, pois não se consegue resolver DNS, por isso o usuário não navega quando tenta uma url qualquer. Ele só vai coseguir se colocar o ip. É isso que eu quero entender. O formato do arquivo com os mac addressees é: mac_address descrição E isso eu testei, inclusive na mão. Aguardo avaliação. Obrigado. Seguem abaixo novamente as regras: #! /bin/bash IPTABLES="/sbin/iptables" IP=xxx.xxx.xxx.xxx # FLUSH EVERYTHING $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F FORWARD $IPTABLES -F OUTPUT $IPTABLES -F -t nat $IPTABLES -X # POLITICAS PADRAO $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT #mascaramento echo "Setando mascaramento..." echo 1 > /proc/sys/net/ipv4/ip_forward #$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE $IPTABLES -A POSTROUTING -t nat -o eth0 -j SNAT --to $IP #== #INPUT #== echo "Regra INPUT..." #ICMP $IPTABLES -A INPUT -p icmp -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 20:21 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 443 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 587 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 23 -j LOG $IPTABLES -A INPUT -p tcp --dport 23 -j DROP $IPTABLES -A INPUT -p udp --dport 23 -j LOG $IPTABLES -A INPUT -p udp --dport 23 -j DROP $IPTABLES -A INPUT -p tcp --dport 12345 -j LOG $IPTABLES -A INPUT -p tcp --dport 12345 -j DROP $IPTABLES -A INPUT -p udp --dport 12345 -j LOG $IPTABLES -A INPUT -p udp --dport 12345 -j DROP $IPTABLES -A INPUT -p tcp --dport 31337 -j LOG $IPTABLES -A INPUT -p tcp --dport 31337 -j DROP $IPTABLES -A INPUT -p udp --dport 31337 -j LOG $IPTABLES -A INPUT -p udp --dport 31337 -j DROP $IPTABLES -A INPUT -p tcp --dport 1023: -j ACCEPT $IPTABLES -A INPUT -p udp --dport 1023: -j ACCEPT #== #OUTPUT #== echo "Regra OUTPUT..." #$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #ICMP $IPTABLES -A OUTPUT -p icmp -j ACCEPT #== #FORWARD #== echo "Regra FORWARD..." #$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # ICMP $IPTABLES -A FORWARD -p icmp -j ACCEPT # ping of death $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Contra ataques Syn-flood $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT # Contra Port scanners avancados (nmap) # $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN,ACK,FIN,RST-m limit --limit 1/s -j ACCEPT #Existe, ainda, uma regra muito importante que nao eh extensao mas tambem pode ser utilizada como seguranca. Eh a protecao contra pacotes danificados ou suspeitos. $IPTABLES -A FORWARD -m unclean -j DROP $IPTABLES -A FORWARD -p tcp --dport 12345 -j LOG $IPTABLES -A FORWARD -p tcp --dport 12345 -j DROP $IPTABLES -A FORWARD -p udp --dport 12345 -j LOG $IPTABLES -A FORWARD -p udp --dport 12345 -j DROP $IPTABLES -A FORWARD -p tcp --dport 31337 -j LOG $IPTABLES -A FORWARD -p tcp --dport 31337 -j DROP $IPTABLES -A FORWARD -p udp --dport 31337 -j LOG $IPTABLES -A FORWARD -p udp --dport 31337 -j DROP # Mac Addresses permitidos for placa in `cat /root/firewall/mac.address | cut -f1 -d" "` do echo $placa $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP done == Carlos Emir Mantovani Macedo Net Admin (19) 3256-4131 Infosoftware Consulting www.infosoftware.com.br == Olá Emir, Concordo com o que o André disse, será que o problema não está nesse for que está usando para pegar o mac address? Já tentou colocar eles na mão para ver o que acontece? []'s Henrique > # Mac Addresses permitidos > for placa in `cat /root/firewall/mac.address | cut -f1 -d" "` > do > echo $placa > $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP > done -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Dúvida sobre iptables
Olá Emir, Concordo com o que o André disse, será que o problema não está nesse for que está usando para pegar o mac address? Já tentou colocar eles na mão para ver o que acontece? []'s Henrique > # Mac Addresses permitidos > for placa in `cat /root/firewall/mac.address | cut -f1 -d" "` > do > echo $placa > $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP > done -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Dúvida sobre iptables
On Mon, 2002-07-01 at 16:39, Carlos Emir M Macedo wrote: > Senhores, > > Fiz um conjunto de regras de iptables que bloqueiam o acesso www > de um determinado mac address. Até aí tudo bem, eu testava com qualquer > site e realmente o usuário não conseguia navegar. Acontece que eu resolvi > testar usando-se diretamente o ip de um site qualquer. Qual não foi minha > surpresa ao conseguir acessar a página, mesmo estando com o mac address > bloqueado nas regras do iptables. > Alguém poderia me explicar como e o porquê disto acontecer? Se > necessárias as regras, basta pedir. > Desde já agradeço. bem, isso e' teoricamente impossivel, se voce bloqueou pelo mac, e' simples, bloqueie qualquer sai'da para a porta 80 de um determinado mac... pronto! se nao funcionar foi falha na elaboracao da regra, pode estar certo disso... -- +-+ | Andre' Luiz de Oliveira | | Powered by GNU/Debian | +-+ | + [EMAIL PROTECTED] | | + [EMAIL PROTECTED] | +-+ signature.asc Description: This is a digitally signed message part
Re: Dúvida sobre iptables
Aqui estão as regras. Não posso bloquear por ip pq a empresa usa dhcp. []'s Emir #! /bin/bash IPTABLES="/sbin/iptables" IP=xxx.xxx.xxx.xxx # FLUSH EVERYTHING $IPTABLES -F $IPTABLES -F INPUT $IPTABLES -F FORWARD $IPTABLES -F OUTPUT $IPTABLES -F -t nat $IPTABLES -X # POLITICAS PADRAO $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -P FORWARD ACCEPT #mascaramento echo "Setando mascaramento..." echo 1 > /proc/sys/net/ipv4/ip_forward #$IPTABLES -t nat -A POSTROUTING -o ppp0 -j MASQUERADE $IPTABLES -A POSTROUTING -t nat -o eth0 -j SNAT --to $IP #== #INPUT #== echo "Regra INPUT..." #ICMP $IPTABLES -A INPUT -p icmp -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 20:21 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 53 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 80 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 110 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 443 -j ACCEPT $IPTABLES -A INPUT -p udp --dport 443 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 587 -j ACCEPT $IPTABLES -A INPUT -p tcp --dport 23 -j LOG $IPTABLES -A INPUT -p tcp --dport 23 -j DROP $IPTABLES -A INPUT -p udp --dport 23 -j LOG $IPTABLES -A INPUT -p udp --dport 23 -j DROP $IPTABLES -A INPUT -p tcp --dport 12345 -j LOG $IPTABLES -A INPUT -p tcp --dport 12345 -j DROP $IPTABLES -A INPUT -p udp --dport 12345 -j LOG $IPTABLES -A INPUT -p udp --dport 12345 -j DROP $IPTABLES -A INPUT -p tcp --dport 31337 -j LOG $IPTABLES -A INPUT -p tcp --dport 31337 -j DROP $IPTABLES -A INPUT -p udp --dport 31337 -j LOG $IPTABLES -A INPUT -p udp --dport 31337 -j DROP $IPTABLES -A INPUT -p tcp --dport 1023: -j ACCEPT $IPTABLES -A INPUT -p udp --dport 1023: -j ACCEPT #== #OUTPUT #== echo "Regra OUTPUT..." #$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #ICMP $IPTABLES -A OUTPUT -p icmp -j ACCEPT #== #FORWARD #== echo "Regra FORWARD..." #$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT # ICMP $IPTABLES -A FORWARD -p icmp -j ACCEPT # ping of death $IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Contra ataques Syn-flood $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT # Contra Port scanners avancados (nmap) # $IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN,ACK,FIN,RST-m limit --limit 1/s -j ACCEPT #Existe, ainda, uma regra muito importante que nao eh extensao mas tambem pode ser utilizada como seguranca. Eh a protecao contra pacotes danificados ou suspeitos. $IPTABLES -A FORWARD -m unclean -j DROP $IPTABLES -A FORWARD -p tcp --dport 12345 -j LOG $IPTABLES -A FORWARD -p tcp --dport 12345 -j DROP $IPTABLES -A FORWARD -p udp --dport 12345 -j LOG $IPTABLES -A FORWARD -p udp --dport 12345 -j DROP $IPTABLES -A FORWARD -p tcp --dport 31337 -j LOG $IPTABLES -A FORWARD -p tcp --dport 31337 -j DROP $IPTABLES -A FORWARD -p udp --dport 31337 -j LOG $IPTABLES -A FORWARD -p udp --dport 31337 -j DROP # Mac Addresses permitidos for placa in `cat /root/firewall/mac.address | cut -f1 -d" "` do echo $placa $IPTABLES -A FORWARD -p all -m mac --mac-source $placa -j DROP done == Carlos Emir Mantovani Macedo Net Admin (19) 3256-4131 Infosoftware Consulting www.infosoftware.com.br == Pq você não bloquei pelo IP? Passe suas regras para darmos uma olhada. []'s Henrique > Senhores, > > Fiz um conjunto de regras de iptables que bloqueiam o acesso www > de um determinado mac address. Até aí tudo bem, eu testava com qualquer > site e realmente o usuário não conseguia navegar. Acontece que eu resolvi > testar usando-se diretamente o ip de um site qualquer. Qual não foi minha > surpresa ao conseguir acessar a página, mesmo estando com o mac address > bloqueado nas regras do iptables. > Alguém poderia me explicar como e o porquê disto acontecer? Se > necessárias as regras, basta pedir. > Desde já agradeço. > []'s > > == > Carlos Emir Mantovani Macedo > Net Admin > (19) 3256-4131 > Infosoftware Consulting > www.infosoftware.com.br > == > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- To UNSUBSCRIBE, email to [EMAIL
Re: Dúvida sobre iptables
Pq você não bloquei pelo IP? Passe suas regras para darmos uma olhada. []'s Henrique > Senhores, > > Fiz um conjunto de regras de iptables que bloqueiam o acesso www > de um determinado mac address. Até aí tudo bem, eu testava com qualquer > site e realmente o usuário não conseguia navegar. Acontece que eu resolvi > testar usando-se diretamente o ip de um site qualquer. Qual não foi minha > surpresa ao conseguir acessar a página, mesmo estando com o mac address > bloqueado nas regras do iptables. > Alguém poderia me explicar como e o porquê disto acontecer? Se > necessárias as regras, basta pedir. > Desde já agradeço. > []'s > > == > Carlos Emir Mantovani Macedo > Net Admin > (19) 3256-4131 > Infosoftware Consulting > www.infosoftware.com.br > == > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]