Dúvidas com iptables!

lidyon · 28-03-2005, 17:06

Olá pessoal, eu gostaria de saber qual comando eu devo usar para bloquear as portas do msn-messenger do IRC e do ICQ, impedindo o uso de qualquer cliente que utilize esses protocolos; bem como o comando para liberá-las depois. De antemão agradeço!

FMC · 28-03-2005, 18:12

iptables -A INPUT -p tcp --dport <NÚMERO da porta> -j DROP

Esta é uma forma.

Falow!

EDITANDO:

Para tirar:
iptables -D INPUT -p tcp --dport <NÚMERO da porta> -j DROP

lidyon · 28-03-2005, 20:08

Valeu ae FMC, vou tentar aqui . Aliás , esse número da porta é o número da porta do servidor (e não a local) não é!?

FMC · 28-03-2005, 21:53

Ups, acho que seria melhor bloquear no output, assim o programa nem consegue se comunicar inicialmente com o servidor:
iptables -A OUTPUT -p tcp --dport 3000 -j DROP

Falow!

lidyon · 28-03-2005, 22:19

Aahhahahhhha, muito fera FMC, deu certinho, os programas não conseguem se comunicar com o servidor! Valeu ..... ahahhahahaha :twisted: :twisted: :twisted:

FMC · 28-03-2005, 22:55

Que maldade tirar o MSN, ICQ e IRC do seu irmão e da sua mãe na sua rede de casa! hahaha

Que bom que funcionou.

Não se esqueça de colocar as regras num script de inicialização para não perder tudo ao rebootar a máquina.

Falow!

lidyon · 28-03-2005, 23:55

Citação:

Postado Originalmente por FMC

Não se esqueça de colocar as regras num script de inicialização para não perder tudo ao rebootar a máquina.

era isso que eu já ia perguntar... eu pensava que as regras eram persistentes, mas elas se perdem a cada sessão, não é?

FMC · 29-03-2005, 0:33

Elas se perdem no reboot.

Você precisa encontrar os scripts de inicializaćão da sua distro e colocar nele, se não num volta!

Falow!

zerocow · 29-03-2005, 2:45

Aproveitando!

como eu libero o azureus, amule, limewire e o aMSN?

pois fora esses, eu acredito que o resto eu consigo configurar numa boa! pois eu já pesquisei aki no forum e não tinah nada falando sobre libera-los, mas oq não faltava era bloquea-los!

pois eu pretendo o sequinte!

eu queria fechar TODAS as portas (para recebimento), e dps liberar as que eu uso!

mas sem saber as portas dos programas acima fika dificil né!

é isso! eu queria liberar as portas do azureus, amule, limewire, aMSN. que o resto eu tenho certeza que posso me virar tranquilo!

FMC · 29-03-2005, 14:20

Então muda a política padrão para DROP e depois vai liberando.

iptables -P OUTPUT DROP
iptables -P INPUT DROP
Desta forma está tudo bloqueado.

Então vai liberando as portas que quer:
iptables -A INPUT -p tcp --dport NN -j ACCEPT # para entrada
iptables -A OUTPUT -p tcp --dport NN -j ACCEPT # para saída

E por ai vai...

Basicamente é isso.

Para saber as portas basta entrar no programa e dar uma fuçadinha!

Falow.

lidyon · 29-03-2005, 14:38

Outra dúvida, essa é sobre aquele maldito Emessenger, aquele "web-based msn client", como faço para bloquear o acesso ao protocolo msn se esta porcaria dribla o firewall? pois a conexão com o servidor de msn é feita pelo EMessenger num servidor externo e só a interface repassada para o PC do usuário do serviço. O pior é que há inúmeras páginas oferecendo esse serviço e eu iria levar uma era até bloquear todas elas. Tem como eu bloquear a conexão com o servidor do msn mesmo que tenha sido feita indiretamente?

jqueiroz · 29-03-2005, 17:16

Só uma lembrança: se não me engano, o ICQ usa UDP e TCP, há que verificar se é necessário bloquear os dois, OK?

Citação:

Outra dúvida, essa é sobre aquele maldito Emessenger, aquele "web-based msn client", como faço para bloquear o acesso ao protocolo msn se esta porcaria dribla o firewall? pois a conexão com o servidor de msn é feita pelo EMessenger num servidor externo e só a interface repassada para o PC do usuário do serviço. O pior é que há inúmeras páginas oferecendo esse serviço e eu iria levar uma era até bloquear todas elas. Tem como eu bloquear a conexão com o servidor do msn mesmo que tenha sido feita indiretamente?

Duas formas: a fácil é instalar o Squid (bloqueando o acesso em ACLs), e colocar o acesso em modo de proxy transparente;

a difícil (porém mais eficiente) é usar um patch para o Iptables que permite que a detecção seja feita a partir de uma string, o que permite que vc detecte a URL do MSN no IPTables.

FMC · 29-03-2005, 17:23

jqueiroz, o bloqueio de strings consome um processamento absurdo, não acho que possa ser considerado uma opção, é absurdo o que ele faz... hehe

Geralmente estes sites que oferecem serviços de MSN e ICQ tentando burlar segurança acabam tendo de usar uma porta qualquer para comunicar as mudanças de eventos, se a política padrão for drop estas portas já estarão bloqueadas, isto é, não vai funcionar. Não sei ao certo como funcionam estes serviços, mas acho que mudando a política para drop já vai resolver boa parte destas chatices.

Falow!

lidyon · 29-03-2005, 17:25

Citação:

Postado Originalmente por jqueiroz

a difícil (porém mais eficiente) é usar um patch para o Iptables que permite que a detecção seja feita a partir de uma string, o que permite que vc detecte a URL do MSN no IPTables.

E onde posso achar ese patch, vc pode me indicar como devo proceder? Grato!

jqueiroz · 29-03-2005, 17:36

Citação:

o bloqueio de strings consome um processamento absurdo, não acho que possa ser considerado uma opção, é absurdo o que ele faz... hehe

Com certeza... mas isso não foi feito pra ser usado indiscriminadamente. É solução pra um ou dois problemas específicos.

Citação:

Geralmente estes sites que oferecem serviços de MSN e ICQ tentando burlar segurança acabam tendo de usar uma porta qualquer para comunicar as mudanças de eventos, se a política padrão for drop estas portas já estarão bloqueadas, isto é, não vai funcionar. Não sei ao certo como funcionam estes serviços, mas acho que mudando a política para drop já vai resolver boa parte destas chatices.

Contra-exemplo: ICQ2GO. Meu acesso à internet é totalmente bloqueado, a única forma de saída é passando pelos proxies de acesso. E o IC2GO funciona.

Citação:

E onde posso achar ese patch, vc pode me indicar como devo proceder? Grato!

Hum, essa é a forma difícil, não quer tentar a fácil primeiro???

lidyon · 29-03-2005, 17:47

jqueiroz Vc falou aquele lance de squid como proxy transparente e ACLs... me pareceu mais dificil que utilizar um patch em um programa. Como funciona o lance que vc falou, das ACLs?grato!

FMC como assim política padrão drop? eu devo bloquear todas as portas em OUTPUT com DROP e depois liberar só algumas determiknadas portas, é isso?grato!

FMC · 29-03-2005, 18:11

lidyon, não é apenas um patch num programa, é um patch para o kernel em sí! hehe

A política padrão é o que será feito por padrão com os pacotes, o padrão é ACCEPT, isto é, nenhum bloqueio. Se você mudar a política padrão para DROP nenhum pacote será aceito a não ser que esteja explicitamente configurado para que ele possa entrar.

Cuidado, ao mudar a política padrão para drop tudo irá parar de funcionar, inclusive há a possibilidade de aplicativos locais pifarem, é necessário estudar corretamente o que será liberado, criar as regras e posteriormente aplica-las de uma vez só.

Falow!

lidyon · 29-03-2005, 19:01

Citação:

Postado Originalmente por FMC

lidyon, não é apenas um patch num programa, é um patch para o kernel em sí! hehe

Bem, então no caso acho que não haverá problemas, pois já sou acostumado a aplicar patches no kernel, parece menos perigoso do que mudar a política padrão para DROP... Mas tipo assim, qual é o patch que eu devo aplicar? onde posso encontrá-lo? grato!

jqueiroz · 30-03-2005, 12:06

Citação:

parece menos perigoso do que mudar a política padrão para DROP...

Não há risco nenhum nisso. Aliás, se vc faz:

Citação:

iptables -P INPUT ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -j DROP

você está fazendo rigorosamente a mesma coisa que se fizesse:

Citação:

iptables -P INPUT DROP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

A única coisa que a política "DROP" faz é acrescentar um DROP incondicional no fim das regras.

lidyon · 01-04-2005, 14:37

Olha só o que eu fiz:

Código:

iptables -P INPUT DROP
iptables -A INPUT -p tcp --sport 80 -j ACCEPT
iptables -A INPUT -p udp --sport 80 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p udp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p udp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -j ACCEPT
iptables -A INPUT -p udp --sport 110 -j ACCEPT

Só que o problema é que parece que essas portas não são liberadas, pois não dá pra conectar em site algum, recerber ou mandar e mails muito menos... o que eu fiz de errado (tentei o mesmo para OUTPUT com --dport ao invés de --sport, mas os resultados são os mesmos)???? grato

28-03-2005, 17:06	#1 (permalink)
lidyon GeeK Registrado em: Dec 2003 Localização: Midland Mensagens: 2.042 Reputação: 20	Dúvidas com iptables! Olá pessoal, eu gostaria de saber qual comando eu devo usar para bloquear as portas do msn-messenger do IRC e do ICQ, impedindo o uso de qualquer cliente que utilize esses protocolos; bem como o comando para liberá-las depois. De antemão agradeço! __________________ Slackware GNU/Linux 13.0 Linux User #372970 # cd /Brasil/Congresso # rm -f ./Camara/* ./Senado/* # echo "yuhuuuuuuuuu"

28-03-2005, 18:12	#2 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 30	iptables -A INPUT -p tcp --dport <NÚMERO da porta> -j DROP Esta é uma forma. Falow! EDITANDO: Para tirar: iptables -D INPUT -p tcp --dport <NÚMERO da porta> -j DROP __________________ FMC = Fábio Magalhães Catunda

28-03-2005, 20:08	#3 (permalink)
lidyon GeeK Registrado em: Dec 2003 Localização: Midland Mensagens: 2.042 Reputação: 20	Valeu ae FMC, vou tentar aqui . Aliás , esse número da porta é o número da porta do servidor (e não a local) não é!? __________________ Slackware GNU/Linux 13.0 Linux User #372970 # cd /Brasil/Congresso # rm -f ./Camara/* ./Senado/* # echo "yuhuuuuuuuuu"

28-03-2005, 21:53	#4 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 30	Ups, acho que seria melhor bloquear no output, assim o programa nem consegue se comunicar inicialmente com o servidor: iptables -A OUTPUT -p tcp --dport 3000 -j DROP Falow! __________________ FMC = Fábio Magalhães Catunda

28-03-2005, 22:19	#5 (permalink)
lidyon GeeK Registrado em: Dec 2003 Localização: Midland Mensagens: 2.042 Reputação: 20	Aahhahahhhha, muito fera FMC, deu certinho, os programas não conseguem se comunicar com o servidor! Valeu ..... ahahhahahaha :twisted: :twisted: :twisted: __________________ Slackware GNU/Linux 13.0 Linux User #372970 # cd /Brasil/Congresso # rm -f ./Camara/* ./Senado/* # echo "yuhuuuuuuuuu"

		FórumGdH > GNU-Linux, FreeBSD e Software Livre > Outros Assuntos GNU-Linux, FreeBSD e Software Livre
Dúvidas com iptables!

1. Dúvida sobre regra do iptables 2. Dúvidas sobre Zenwalk 3. Iptables - dúvidas de funcionamento de um script.	4. Duvidas sobre o IPTABLES 5. Duvidas sobre o iptables
Mais resultados? Use nossa pesquisa.

28-03-2005, 22:55	#6 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 30	Que maldade tirar o MSN, ICQ e IRC do seu irmão e da sua mãe na sua rede de casa! hahaha Que bom que funcionou. Não se esqueça de colocar as regras num script de inicialização para não perder tudo ao rebootar a máquina. Falow! __________________ FMC = Fábio Magalhães Catunda

29-03-2005, 0:33	#8 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 30	Elas se perdem no reboot. Você precisa encontrar os scripts de inicializaćão da sua distro e colocar nele, se não num volta! Falow! __________________ FMC = Fábio Magalhães Catunda

29-03-2005, 2:45	#9 (permalink)
zerocow Tô em todas Registrado em: Apr 2004 Idade: 24 Mensagens: 1.655 Reputação: 97	Aproveitando! como eu libero o azureus, amule, limewire e o aMSN? pois fora esses, eu acredito que o resto eu consigo configurar numa boa! pois eu já pesquisei aki no forum e não tinah nada falando sobre libera-los, mas oq não faltava era bloquea-los! pois eu pretendo o sequinte! eu queria fechar TODAS as portas (para recebimento), e dps liberar as que eu uso! mas sem saber as portas dos programas acima fika dificil né! é isso! eu queria liberar as portas do azureus, amule, limewire, aMSN. que o resto eu tenho certeza que posso me virar tranquilo! __________________ Apenas Quem Reinventou a Roda, Sabe o porque dela ser Redonda - DevilF Registered User: 449204

29-03-2005, 14:20	#10 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 30	Então muda a política padrão para DROP e depois vai liberando. iptables -P OUTPUT DROP iptables -P INPUT DROP Desta forma está tudo bloqueado. Então vai liberando as portas que quer: iptables -A INPUT -p tcp --dport NN -j ACCEPT # para entrada iptables -A OUTPUT -p tcp --dport NN -j ACCEPT # para saída E por ai vai... Basicamente é isso. Para saber as portas basta entrar no programa e dar uma fuçadinha! Falow. __________________ FMC = Fábio Magalhães Catunda

29-03-2005, 14:38	#11 (permalink)
lidyon GeeK Registrado em: Dec 2003 Localização: Midland Mensagens: 2.042 Reputação: 20	Outra dúvida, essa é sobre aquele maldito Emessenger, aquele "web-based msn client", como faço para bloquear o acesso ao protocolo msn se esta porcaria dribla o firewall? pois a conexão com o servidor de msn é feita pelo EMessenger num servidor externo e só a interface repassada para o PC do usuário do serviço. O pior é que há inúmeras páginas oferecendo esse serviço e eu iria levar uma era até bloquear todas elas. Tem como eu bloquear a conexão com o servidor do msn mesmo que tenha sido feita indiretamente? __________________ Slackware GNU/Linux 13.0 Linux User #372970 # cd /Brasil/Congresso # rm -f ./Camara/* ./Senado/* # echo "yuhuuuuuuuuu"

29-03-2005, 17:23	#13 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 30	jqueiroz, o bloqueio de strings consome um processamento absurdo, não acho que possa ser considerado uma opção, é absurdo o que ele faz... hehe Geralmente estes sites que oferecem serviços de MSN e ICQ tentando burlar segurança acabam tendo de usar uma porta qualquer para comunicar as mudanças de eventos, se a política padrão for drop estas portas já estarão bloqueadas, isto é, não vai funcionar. Não sei ao certo como funcionam estes serviços, mas acho que mudando a política para drop já vai resolver boa parte destas chatices. Falow! __________________ FMC = Fábio Magalhães Catunda

29-03-2005, 17:47	#16 (permalink)
lidyon GeeK Registrado em: Dec 2003 Localização: Midland Mensagens: 2.042 Reputação: 20	jqueiroz Vc falou aquele lance de squid como proxy transparente e ACLs... me pareceu mais dificil que utilizar um patch em um programa. Como funciona o lance que vc falou, das ACLs?grato! FMC como assim política padrão drop? eu devo bloquear todas as portas em OUTPUT com DROP e depois liberar só algumas determiknadas portas, é isso?grato! __________________ Slackware GNU/Linux 13.0 Linux User #372970 # cd /Brasil/Congresso # rm -f ./Camara/* ./Senado/* # echo "yuhuuuuuuuuu"

29-03-2005, 18:11	#17 (permalink)
FMC Zumbi Registrado em: Apr 2002 Localização: São Paulo Capital Mensagens: 8.321 Reputação: 30	lidyon, não é apenas um patch num programa, é um patch para o kernel em sí! hehe A política padrão é o que será feito por padrão com os pacotes, o padrão é ACCEPT, isto é, nenhum bloqueio. Se você mudar a política padrão para DROP nenhum pacote será aceito a não ser que esteja explicitamente configurado para que ele possa entrar. Cuidado, ao mudar a política padrão para drop tudo irá parar de funcionar, inclusive há a possibilidade de aplicativos locais pifarem, é necessário estudar corretamente o que será liberado, criar as regras e posteriormente aplica-las de uma vez só. Falow! __________________ FMC = Fábio Magalhães Catunda

01-04-2005, 14:37	#20 (permalink)
lidyon GeeK Registrado em: Dec 2003 Localização: Midland Mensagens: 2.042 Reputação: 20	Olha só o que eu fiz: Código: iptables -P INPUT DROP iptables -A INPUT -p tcp --sport 80 -j ACCEPT iptables -A INPUT -p udp --sport 80 -j ACCEPT iptables -A INPUT -p tcp --sport 21 -j ACCEPT iptables -A INPUT -p udp --sport 21 -j ACCEPT iptables -A INPUT -p tcp --sport 25 -j ACCEPT iptables -A INPUT -p udp --sport 25 -j ACCEPT iptables -A INPUT -p tcp --sport 110 -j ACCEPT iptables -A INPUT -p udp --sport 110 -j ACCEPT Só que o problema é que parece que essas portas não são liberadas, pois não dá pra conectar em site algum, recerber ou mandar e mails muito menos... o que eu fiz de errado (tentei o mesmo para OUTPUT com --dport ao invés de --sport, mas os resultados são os mesmos)???? grato __________________ Slackware GNU/Linux 13.0 Linux User #372970 # cd /Brasil/Congresso # rm -f ./Camara/* ./Senado/* # echo "yuhuuuuuuuuu"

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail