Re: (linux-br)regras de iptables

Mon, 19 Apr 2004 17:15:03 -0700 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

rafael.nery wrote:
>Ol�!
>Algu�m pode me ajudar com uma regra de
>iptables...
>Eu preciso bloquear acesso ao xmule,
>emule e kazaa para a rede toda, menos
>para os ips 192.168.1.201 a 209
>Como ficaria essa regra??

Algo do tipo:

iptables -N teste_p2p
iptables -A FORWARD -p tcp -i $IFACE_INTERNA--mmultiport --dports 1214,
$PORTA_XMULE -j teste_p2p
iptables -A teste_p2p -s 192.168.1.200 -j REJECT
iptables -A teste_p2p -s 192.168.1.200/29 -j ACCEPT
iptables -A teste_p2p -s 192.168.1.209 -j ACCEPT
iptables -A teste_p2p -j REJECT

(obviamente, $IFACE_INTERNA e $PORTA_XMULE devem estar corretamente 
acertada. E n�o h� uma quebra de linha entre o 1214 e o $PORTA_XMULE)

Por que h� regras especiais para o .200 e o .209? Porque voc� nos deu 
uma faixa de IPs esdr�xula. Se tivesse separado um bloco igual a uma 
sub-rede (por exemplo, do 200 ao 208), bastaria a regra do meio. Mas 
como o .200 faz parte da lista de rejei��es e o .209 faz parte da lista 
de aceita��es, s�o necess�rias regras � parte.

Outras coisas: as  conex�es s� funcionar�o se houver uma regra para a 
conex�o rec�proca, como por exemplo:
iptables -A FORWARD -o $IFACE_INTERNA -mstate --state 
ESTABLISHED,RELATED -j ACCEPT

Cabe lembrar tamb�m que a regra que eu dei acima de bloqueio funciona 
por portas. Algumas redes P2P s�o conhecidas por funcionar em qualquer 
porta, de modo que voc� se vir� obrigado a bloquear por IP do servidor.
- -- 
  Thiago Macieira  -  Registered Linux user #65028
   thiago (AT) macieira (DOT) info
    ICQ UIN: 1967141   PGP/GPG: 0x6EF45358; fingerprint:
    E067 918B B660 DBD1 105C  966C 33F5 F005 6EF4 5358
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)

iD8DBQFAhFqiM/XwBW70U1gRAuWaAJ0funnCJFv8ZuUx7tuKhEc3kg0CjACaAgUX
zNYmIKSRjjDYmeVDKDwWcK0=
=daNW
-----END PGP SIGNATURE-----
---------------------------------------------------------------------------
Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utiliza��o da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Responder a