Re: Script de iptables ainda nao está bloqueando!

[Alcione Ferreira]

cara tive que bloquear uma maquina de acessar o MSN usei um script com
a ajuda do google e um amigo meu:

http://www.sombra.br22.com/xoops/modules/newbb/viewtopic.php?topic_id=1forum=2post_id=2#forumpost2

publiquei meu script nesse site acima visite-o


Em 17/02/06, master_[EMAIL PROTECTED] escreveu:

 Já tinha tentado de várias formas bloquear pelo squid e não tinha
 conseguido.. aí resolvi ver outros tipos de bloqueio e consegui bloqueando
 tudo de:
 passport.com
 msn.com
 webmessenger

 Criei uma acl para bloquear o domínio inteiro:
 acl proibidos dstdom_regex /etc/squid/proibidos
 Coloquei nos arquivos as palavras a serem bloqueadas nas URL e pimba.. msn
 nao funcionou mais hehehe

 Qualquer coisa .msn.com ou .passport.com nao entra.. agora o safado nao loga
 mais hehe

 Apesar de já ter conseguido bloquear o msn, vou estudar a possibilidade de
 dropar tudo de prerouting e ir liberando conforme a necessidade,

 Muito obrigado !!

 - Original Message -

 From: Daniel Picon
 To: debian-user-portuguese@lists.debian.org

 Sent: Friday, February 17, 2006 8:36 AM
 Subject: Re: Script de iptables ainda nao está bloqueando!


 Fábio, por falta de uma, darei três sugestões:

 1) Essa, se for possível, acho que é melhor... bloqueie sites usando o
 squid. Instale o proxy e de uma lida na documentação que vc acha fácil na
 net que fica fácil bloquear acesso a sites e, no caso, vc coloca bloqueando
 os sites de login do msn.
 2) Caso não possa usar o proxy, vc deve bloquear o acesso ao site de login
 do msn pela tabela NAT  na chain PREROUTING... todo o tráfego interno da
 rede eu bloqueio por aí...
 3) deixe como política padrão o DROP para o PREROUTING e apenas libere o que
 achar converniente... acho que é mais fácil de fazer o firewall dessa forma.

 Caso não funcione, dê um retorno e entraremos em detalhes, mas acho que com
 isso você vai conseguir o que quer, ok?

 Espero ter ajudado

 []´s

 Daniel


 - Original Message -
 From: [EMAIL PROTECTED]
 To: debian-user-portuguese@lists.debian.org
 Sent: Thursday, February 16, 2006 6:34 PM
 Subject: Script de iptables ainda nao está bloqueando!


 Fala galera,
 postei há um tempo atrás para analisarem meu script de iptables.. aí fiz
 algumas alteraçoes mas mesmo assim a porcaria do msn ainda entra.. aliás..
 eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a parte de
 FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA.

 Vocês têm alguma sugestão?


 Segue o script:


 # Definição de Policiamento #
 # Tabela filter
 iptables -t filter -P INPUT DROP
 iptables -t filter -P OUTPUT ACCEPT
 iptables -t filter -P FORWARD DROP
 # Tabela nat
 iptables -t nat -P PREROUTING ACCEPT
 iptables -t nat -P OUTPUT ACCEPT
 iptables -t nat -P POSTROUTING ACCEPT


 # Ativamos o redirecionamento de pacotes (requerido para NAT) #
 echo 1 /proc/sys/net/ipv4/ip_forward

 # Abaixar o limite de conexoes simultaneas
 echo 2048  /proc/sys/net/ipv4/ip_conntrack_max

 ###
 #  Tabela filter  #
 ###
 # Chain INPUT #
 # Criamos um chain que será usado para tratar o tráfego vindo da Internet
 iptables -N int-input
 # Aceita todo o tráfego vindo do loopback e indo pro loopback
 iptables -A INPUT -i lo -j ACCEPT
 # Trafego restrito
 REDEINT=192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6
 192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13
 192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57
 for ex_ip in $REDEINT
 do
 iptables -A INPUT -s $ex_ip -i eth0 -j ACCEPT
 done
 # Conexões vindas da interface eth1 são tratadas pelo chain int-input
 iptables -A INPUT -i eth1 -j int-input

 # Outras conex sao bloqueadas
 iptables -A INPUT -j DROP

 # Chain FORWARD 
 # Permite redirecionamento de conexões entre as interfaces locais
 # especificadas abaixo. Qualquer tráfego vindo/indo para outras
 # interfaces será bloqueado neste passo.
 #ADICIONANDO MSN BLOCK..
 iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j DROP
 iptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j DROP
 iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j DROP
 iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j DROP
 iptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j DROP
 iptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j DROP
 iptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j DROP
 iptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j DROP
 iptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
 iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT
 iptables -A FORWARD -j DROP

 # Chain int-input 
 # Aceitamos todas as mensagens icmp vindas de eth1 com certa limitação
 # O tráfego de pacotes icmp que superar este limite será bloqueado
 # pela regra ...! ESTABLISHED

Re: Script de iptables ainda nao está bloqueando!

[Daniel Picon]

Fábio, por falta de uma, 
dareitrêssugestões:

1) Essa, se for possível, acho que é melhor... 
bloqueie sites usando o squid. Instaleo proxy e de uma lida na 
documentação que vc acha fácil na net que fica fácil bloquear acesso a sites e, 
no caso, vc coloca bloqueando os sites de login do msn.
2) Caso não possa usar o proxy, vc deve bloquear o 
acesso ao site de login do msn pela tabela NAT na chain PREROUTING... todo 
o tráfego interno da rede eu bloqueio por aí... 
3) deixe como política padrão o DROP para o 
PREROUTING e apenas libere o que achar converniente... acho que é mais fácil de 
fazer o firewall dessa forma.

Caso não funcione, dê um retorno e entraremos em 
detalhes, mas acho que com isso você vai conseguir o que quer, ok?

Espero ter ajudado 

[]´s

Daniel


  - Original Message - 
  From: 
  [EMAIL PROTECTED] 
  To: debian-user-portuguese@lists.debian.org 
  
  Sent: Thursday, February 16, 2006 6:34 
  PM
  Subject: Script de iptables ainda nao 
  está bloqueando!
  
  Fala galera,
  postei há um tempo atrás para analisarem meu 
  script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do 
  msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei 
  inverter a parte de FORWARD, primeiro aceitando tudo depois dropando esses 
  ips.. e NADA. 
  
  Vocês têm alguma sugestão? 
  
  
  Segue o script:
  
  
  # Definição de Policiamento ## Tabela 
  filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT 
  ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t 
  nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t 
  nat -P POSTROUTING ACCEPT
  
  # Ativamos o redirecionamento de pacotes (requerido para NAT) 
  #echo "1" /proc/sys/net/ipv4/ip_forward
  
  # Abaixar o limite de conexoes simultaneasecho "2048"  
  /proc/sys/net/ipv4/ip_conntrack_max
  
   
  Tabela 
  filter 
  # 
  Chain INPUT ## Criamos um chain que será usado para tratar o tráfego 
  vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo 
  do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# 
  Trafego restrito 
  REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 
  192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 
  192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip 
  in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone 
  # Conexões vindas da interface eth1 são tratadas pelo chain 
  int-inputiptables -A INPUT -i eth1 -j int-input
  
  # Outras conex sao bloqueadasiptables -A INPUT -j DROP
  
  # Chain FORWARD # Permite redirecionamento de conexões entre 
  as interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo 
  para outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN 
  BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j 
  DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j 
  DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j 
  DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j 
  DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j 
  DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j 
  DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j 
  DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j 
  DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j 
  ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j 
  ACCEPTiptables -A FORWARD -j DROP
  
  # Chain int-input # Aceitamos todas as mensagens icmp vindas 
  de eth1 com certa limitação# O tráfego de pacotes icmp que superar este 
  limite será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no 
  final do # chain int-inputiptables -A int-input -p icmp -m limit 
  --limit 1/s -j ACCEPTiptables -A int-input -p icmp -j 
  ACCEPT #aceitando trafego para algumas 
  portas..iptables -A int-input -p tcp --dport 80 -j ACCEPTiptables -A 
  int-input -p tcp --dport 110 -j ACCEPTiptables -A int-input -p tcp --dport 
  25 -j ACCEPTiptables -A int-input -p tcp --dport 783 -j ACCEPTiptables 
  -A int-input -p tcp --dport 993 -j ACCEPTiptables -A int-input -p tcp 
  --dport 143 -j ACCEPTiptables -A int-input -p tcp --dport 995 -j 
  ACCEPT
  
  #iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT
  
  # Bloqueia qualquer tentativa de nova conexão de fora para esta 
  máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j 
  DROP
  
  # Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT
  
   
  Tabela 
  nat 
  # 
  Squid redirectiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j 

Re: Script de iptables ainda nao está bloqueando!

[master_]

Já tinha tentado de várias formas bloquear pelo 
squid e não tinha conseguido.. aí resolvi ver outros tipos de bloqueio e 
consegui bloqueando tudo de:
passport.com
msn.com
webmessenger

Criei uma acl para bloquear o domínio 
inteiro:
acl proibidos dstdom_regex 
"/etc/squid/proibidos"
Coloquei nos arquivos as palavras a serem 
bloqueadas nas URL e pimba.. msn nao funcionou mais hehehe

Qualquer coisa .msn.com ou .passport.com nao 
entra.. agora o safado nao loga mais hehe

Apesar de já ter conseguido bloquear o msn, vou 
estudar a possibilidade de dropar tudo de prerouting e ir liberando conforme a 
necessidade,

Muito obrigado !! 

- Original Message - 

  From: 
  Daniel Picon 
  
  To: debian-user-portuguese@lists.debian.org 
  
  Sent: Friday, February 17, 2006 8:36 
  AM
  Subject: Re: Script de iptables ainda nao 
  está bloqueando!
  
  Fábio, por falta de uma, 
  dareitrêssugestões:
  
  1) Essa, se for possível, acho que é melhor... 
  bloqueie sites usando o squid. Instaleo proxy e de uma lida na 
  documentação que vc acha fácil na net que fica fácil bloquear acesso a sites 
  e, no caso, vc coloca bloqueando os sites de login do msn.
  2) Caso não possa usar o proxy, vc deve bloquear 
  o acesso ao site de login do msn pela tabela NAT na chain PREROUTING... 
  todo o tráfego interno da rede eu bloqueio por aí... 
  3) deixe como política padrão o DROP para o 
  PREROUTING e apenas libere o que achar converniente... acho que é mais fácil 
  de fazer o firewall dessa forma.
  
  Caso não funcione, dê um retorno e entraremos em 
  detalhes, mas acho que com isso você vai conseguir o que quer, 
ok?
  
  Espero ter ajudado 
  
  []´s
  
  Daniel
  
  
- Original Message - 
From: 
[EMAIL PROTECTED] 
To: debian-user-portuguese@lists.debian.org 

Sent: Thursday, February 16, 2006 6:34 
PM
    Subject: Script de iptables ainda nao 
está bloqueando!

Fala galera,
postei há um tempo atrás para analisarem meu 
script de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do 
msn ainda entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já 
tentei inverter a parte de FORWARD, primeiro aceitando tudo depois dropando 
esses ips.. e NADA. 

Vocês têm alguma sugestão? 


Segue o script:


# Definição de Policiamento ## 
Tabela filteriptables -t filter -P INPUT DROPiptables -t filter -P 
OUTPUT ACCEPTiptables -t filter -P FORWARD DROP# Tabela 
natiptables -t nat -P PREROUTING ACCEPTiptables -t nat -P OUTPUT 
ACCEPTiptables -t nat -P POSTROUTING ACCEPT

# Ativamos o redirecionamento de pacotes (requerido para NAT) 
#echo "1" /proc/sys/net/ipv4/ip_forward

# Abaixar o limite de conexoes simultaneasecho "2048"  
/proc/sys/net/ipv4/ip_conntrack_max

 
Tabela 
filter 
# 
Chain INPUT ## Criamos um chain que será usado para tratar o tráfego 
vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo 
do loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# 
Trafego restrito 
REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 
192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 
192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for 
ex_ip in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j 
ACCEPTdone # Conexões vindas da interface eth1 são tratadas pelo 
chain int-inputiptables -A INPUT -i eth1 -j int-input

# Outras conex sao bloqueadasiptables -A INPUT -j DROP

# Chain FORWARD # Permite redirecionamento de conexões 
entre as interfaces locais# especificadas abaixo. Qualquer tráfego 
vindo/indo para outras# interfaces será bloqueado neste 
passo.#ADICIONANDO MSN BLOCK..iptables -A FORWARD -s 192.168.0.0/24 
-d 12.130.60.4 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 
64.14.123.138 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 
65.54.194.118 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 
207.46.216.61 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 
212.187.244.16 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 
65.54.239.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 
207.6.176.0/24 -j DROPiptables -A FORWARD -s 192.168.0.0/24 -d 
207.46.5.0/28 -j DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o 
eth0 -j ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j 
ACCEPTiptables -A FORWARD -j DROP

# Chain int-input # Aceitamos todas as mensagens icmp 
vindas de eth1 com certa limitação# O tráfego de pacotes icmp que 
superar este limite será bloqueado# pela regra "...! ESTABLISHED,RELATED 
-

Script de iptables ainda nao está bloqueando!

[fabio]

Fala galera,
postei há um tempo atrás para analisarem meu script 
de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda 
entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a 
parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. 


Vocês têm alguma sugestão? 


Segue o script:


# Definição de Policiamento ## Tabela 
filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT 
ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat 
-P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P 
POSTROUTING ACCEPT

# Ativamos o redirecionamento de pacotes (requerido para NAT) 
#echo "1" /proc/sys/net/ipv4/ip_forward

# Abaixar o limite de conexoes simultaneasecho "2048"  
/proc/sys/net/ipv4/ip_conntrack_max

 
Tabela 
filter 
# 
Chain INPUT ## Criamos um chain que será usado para tratar o tráfego 
vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do 
loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego 
restrito 
REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 
192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 
192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip 
in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # 
Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables 
-A INPUT -i eth1 -j int-input

# Outras conex sao bloqueadasiptables -A INPUT -j DROP

# Chain FORWARD # Permite redirecionamento de conexões entre as 
interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para 
outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN 
BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j 
DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j 
ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j 
ACCEPTiptables -A FORWARD -j DROP

# Chain int-input # Aceitamos todas as mensagens icmp vindas de 
eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite 
será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do 
# chain int-inputiptables -A int-input -p icmp -m limit --limit 1/s -j 
ACCEPTiptables -A int-input -p icmp -j ACCEPT 
#aceitando trafego para algumas portas..iptables -A int-input -p tcp 
--dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j 
ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPTiptables -A 
int-input -p tcp --dport 783 -j ACCEPTiptables -A int-input -p tcp --dport 
993 -j ACCEPTiptables -A int-input -p tcp --dport 143 -j ACCEPTiptables 
-A int-input -p tcp --dport 995 -j ACCEPT

#iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT

# Bloqueia qualquer tentativa de nova conexão de fora para esta 
máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j 
DROP

# Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT

 
Tabela 
nat 
# 
Squid redirectiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j 
REDIRECT --to-port 3128

# É feito masquerading dos outros serviços da rede interna indo para a 
interface # eth1 # Ativando mascaramento para determinadas portas 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j 
MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp 
--dport 110 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 
0/0 -p tcp --dport 25 -j MASQUERADEiptables -t nat -A POSTROUTING -s 
192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPTiptables -t nat -A 
POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADEiptables 
-t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j 
ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 
https -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 
-p tcp --dport 21 -j MASQUERADE


Muito obrigadoo!

Script de iptables ainda nao está bloqueando!

[master_]

Fala galera,
postei há um tempo atrás para analisarem meu script 
de iptables.. aí fiz algumas alteraçoes mas mesmo assim a porcaria do msn ainda 
entra.. aliás.. eu consigo pingar os ips que eu bloquiei.. Já tentei inverter a 
parte de FORWARD, primeiro aceitando tudo depois dropando esses ips.. e NADA. 


Vocês têm alguma sugestão? 


Segue o script:


# Definição de Policiamento ## Tabela 
filteriptables -t filter -P INPUT DROPiptables -t filter -P OUTPUT 
ACCEPTiptables -t filter -P FORWARD DROP# Tabela natiptables -t nat 
-P PREROUTING ACCEPTiptables -t nat -P OUTPUT ACCEPTiptables -t nat -P 
POSTROUTING ACCEPT

# Ativamos o redirecionamento de pacotes (requerido para NAT) 
#echo "1" /proc/sys/net/ipv4/ip_forward

# Abaixar o limite de conexoes simultaneasecho "2048"  
/proc/sys/net/ipv4/ip_conntrack_max

 
Tabela 
filter 
# 
Chain INPUT ## Criamos um chain que será usado para tratar o tráfego 
vindo da Internet iptables -N int-input# Aceita todo o tráfego vindo do 
loopback e indo pro loopbackiptables -A INPUT -i lo -j ACCEPT# Trafego 
restrito 
REDEINT="192.168.0.2 192.168.0.3 192.168.0.4 192.168.0.5 192.168.0.6 
192.168.0.8 192.168.0.9 192.168.0.10 192.168.0.11 192.168.0.12 192.168.0.13 
192.168.0.14 192.168.0.15 192.168.0.20 192.168.0.50 192.168.0.57"for ex_ip 
in $REDEINTdoiptables -A INPUT -s $ex_ip -i eth0 -j ACCEPTdone # 
Conexões vindas da interface eth1 são tratadas pelo chain int-inputiptables 
-A INPUT -i eth1 -j int-input

# Outras conex sao bloqueadasiptables -A INPUT -j DROP

# Chain FORWARD # Permite redirecionamento de conexões entre as 
interfaces locais# especificadas abaixo. Qualquer tráfego vindo/indo para 
outras# interfaces será bloqueado neste passo.#ADICIONANDO MSN 
BLOCK..iptables -A FORWARD -s 192.168.0.0/24 -d 12.130.60.4 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 64.14.123.138 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.194.118 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.216.61 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 212.187.244.16 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 65.54.239.0/24 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.6.176.0/24 -j 
DROPiptables -A FORWARD -s 192.168.0.0/24 -d 207.46.5.0/28 -j 
DROPiptables -A FORWARD -d 192.168.0.0/24 -i eth1 -o eth0 -j 
ACCEPTiptables -A FORWARD -s 192.168.0.0/24 -i eth0 -o eth1 -j 
ACCEPTiptables -A FORWARD -j DROP

# Chain int-input # Aceitamos todas as mensagens icmp vindas de 
eth1 com certa limitação# O tráfego de pacotes icmp que superar este limite 
será bloqueado# pela regra "...! ESTABLISHED,RELATED -j DROP" no final do 
# chain int-inputiptables -A int-input -p icmp -m limit --limit 1/s -j 
ACCEPTiptables -A int-input -p icmp -j ACCEPT 
#aceitando trafego para algumas portas..iptables -A int-input -p tcp 
--dport 80 -j ACCEPTiptables -A int-input -p tcp --dport 110 -j 
ACCEPTiptables -A int-input -p tcp --dport 25 -j ACCEPTiptables -A 
int-input -p tcp --dport 783 -j ACCEPTiptables -A int-input -p tcp --dport 
993 -j ACCEPTiptables -A int-input -p tcp --dport 143 -j ACCEPTiptables 
-A int-input -p tcp --dport 995 -j ACCEPT

#iptables -A int-input -d 192.168.0.2 -p tcp --dport 1433 -j ACCEPT

# Bloqueia qualquer tentativa de nova conexão de fora para esta 
máquinaiptables -A int-input -m state --state ! ESTABLISHED,RELATED -j 
DROP

# Aceita outros tipos de trafegoiptables -A int-input -j ACCEPT

 
Tabela 
nat 
# 
Squid redirectiptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j 
REDIRECT --to-port 3128

# É feito masquerading dos outros serviços da rede interna indo para a 
interface # eth1 # Ativando mascaramento para determinadas portas 
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p icmp -j 
MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp 
--dport 110 -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 
0/0 -p tcp --dport 25 -j MASQUERADEiptables -t nat -A POSTROUTING -s 
192.168.0.0/24 -d 0/0 -p tcp --dport 3128 -j ACCEPTiptables -t nat -A 
POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j MASQUERADEiptables 
-t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p udp --dport 53 -j 
ACCEPTiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp --dport 
https -j MASQUERADEiptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 
-p tcp --dport 21 -j MASQUERADE


Muito obrigadoo!