cara tive que bloquear uma maquina de acessar o MSN usei um script com a ajuda do google e um amigo meu:
http://www.sombra.br22.com/xoops/modules/newbb/viewtopic.php?topic_id=1&forum=2&post_id=2#forumpost2 publiquei meu script nesse site acima visite-o Em 17/02/06, master_<[EMAIL PROTECTED]> escreveu: > > Já tinha tentado de várias formas bloquear pelo squid e não tinha > conseguido.. aí resolvi ver outros tipos de bloqueio e consegui bloqueando > tudo de: > passport.com > msn.com > webmessenger > > Criei uma acl para bloquear o domínio inteiro: > acl proibidos dstdom_regex "/etc/squid/proibidos" > Coloquei nos arquivos as palavras a serem bloqueadas nas URL e pimba.. msn > nao funcionou mais hehehe > > Qualquer coisa .msn.com ou .passport.com nao entra.. agora o safado nao loga > mais hehe > > Apesar de já ter conseguido bloquear o msn, vou estudar a possibilidade de > dropar tudo de prerouting e ir liberando conforme a necessidade, > > Muito obrigado !! > > ----- Original Message ----- > > From: Daniel Picon > To: debian-user-portuguese@lists.debian.org > > Sent: Friday, February 17, 2006 8:36 AM > Subject: Re: Script de iptables ainda nao está bloqueando! > > > Fábio, por falta de uma, darei três sugestões: > > 1) Essa, se for possível, acho que é melhor... bloqueie sites usando o > squid. Instale o proxy e de uma lida na documentação que vc acha fácil na > net que fica fácil bloquear acesso a sites e, no caso, vc coloca bloqueando > os sites de login do msn. > 2) Caso não possa usar o proxy, vc deve bloquear o acesso ao site de login > do msn pela tabela NAT na chain PREROUTING... todo o tráfego interno da > rede eu bloqueio por aí... > 3) deixe como política padrão o DROP para o PREROUTING e apenas libere o que > achar converniente... acho que é mais fácil de fazer o firewall dessa forma. > > Caso não funcione, dê um retorno e entraremos em detalhes, mas acho que com > isso você vai conseguir o que quer, ok? > > Espero ter ajudado > > []´s > > Daniel > > > ----- Original Message ----- > From: [EMAIL PROTECTED] > To: debian-user-portuguese@lists.debian.org > Sent: Thursday, February 16, 2006 6:34 PM > Subject: Script de iptables ainda nao está bloqueando! > > > Fala galera, > postei há um tempo atrás para analisarem meu script de iptables.. aí fiz > algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás.. > eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de > FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. > > Vocês têm alguma sugestão? > > > Segue o script: > > > ##### Definição de Policiamento ##### > # Tabela filter > iptables -t filter -P INPUT DROP > iptables -t filter -P OUTPUT ACCEPT > iptables -t filter -P FORWARD DROP > # Tabela nat > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P OUTPUT ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > > ##### Ativamos o redirecionamento de pacotes (requerido para NAT) ##### > echo "1" >/proc/sys/net/ipv4/ip_forward > > ##### Abaixar o limite de conexoes simultaneas > echo "2048" > /proc/sys/net/ipv4/ip_conntrack_max > > ############################################################### > # Tabela filter # > ############################################################### > ##### Chain INPUT ##### > # Criamos um chain que será usado para tratar o tráfego vindo da Internet > iptables -N int-input > # Aceita todo o tráfego vindo do loopback e indo pro loopback > iptables -A INPUT -i lo -j ACCEPT > # Trafego restrito > REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 > 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 > 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57" > for ex_ip in $REDEINT > do > iptables -A INPUT -s $ex_ip -i eth0 -j ACCEPT > done > # Conexões vindas da interface eth1 são tratadas pelo chain int-input > iptables -A INPUT -i eth1 -j int-input > > # Outras conex sao bloqueadas > iptables -A INPUT -j DROP > > ##### Chain FORWARD #### > # Permite redirecionamento de conexões entre as interfaces locais > # especificadas abaixo. Qualquer tráfego vindo/indo para outras > # interfaces será bloqueado neste passo. > #ADICIONANDO MSN BLOCK.. > iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROP > iptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROP > iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROP > iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROP > iptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROP > iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROP > iptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROP > iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROP > iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT > iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT > iptables -A FORWARD -j DROP > > ##### Chain int-input #### > # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação > # O tráfego de pacotes icmp que superar este limite será bloqueado > # pela regra "...! ESTABLISHED,RELATED -j DROP" no final do > # chain int-input > iptables -A int-input -p icmp -m limit --limit 1/s -j ACCEPT > iptables -A int-input -p icmp -j ACCEPT > #aceitando trafego para algumas portas.. > iptables -A int-input -p tcp --dport 80 -j ACCEPT > iptables -A int-input -p tcp --dport 110 -j ACCEPT > iptables -A int-input -p tcp --dport 25 -j ACCEPT > iptables -A int-input -p tcp --dport 783 -j ACCEPT > iptables -A int-input -p tcp --dport 993 -j ACCEPT > iptables -A int-input -p tcp --dport 143 -j ACCEPT > iptables -A int-input -p tcp --dport 995 -j ACCEPT > > #iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT > > # Bloqueia qualquer tentativa de nova conexão de fora para esta máquina > iptables -A int-input -m state --state ! ESTABLISHED,RELATED -j DROP > > # Aceita outros tipos de trafego > iptables -A int-input -j ACCEPT > > > ####################################################### > # Tabela nat # > ####################################################### > > # Squid redirect > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 3128 > > # É feito masquerading dos outros serviços da rede interna indo para a > interface > # eth1 > # Ativando mascaramento para determinadas portas > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j > MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 110 > -j MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 25 -j > MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 3128 > -j ACCEPT > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j > MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j > ACCEPT > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport https > -j MASQUERADE > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 21 -j > MASQUERADE > > > Muito obrigadoo! -- Alcione Ferreira Sombra(r) 101080 [www.makebzimage.org] [www.sombra.br22.com]
