Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Заблокировать файлообменные сети на шлюзе  (Прочитано 4469 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн saber

  • Автор темы
  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Добрый день. есть шлюз с маскарадом во внешку.

требуется запретить торренты дыцы и т.п.
iptables -A FORWARD -p tcp -m multiport --dports 6881,6882,6883,6884,6885,6886,6887,6888,6889,1214 -j REJECT
iptables -A FORWARD -p udp -m multiport --dports 6881,6882,6883,6884,6885,6886,6887,6888,6889,1214 -j REJECT
iptables -A FORWARD -p tcp -m multiport --dports 6346,6347 -j REJECT
iptables -A FORWARD -p udp -m multiport --dports 6346,6347 -j REJECT
iptables -A FORWARD -p tcp -m multiport --dports 4711,4665,4661,4672,4662,8080,9955 -j REJECT
iptables -A FORWARD -p udp -m multiport --dports 4711,4665,4661,4672,4662,8080,9955 -j REJECT
iptables -A FORWARD -p tcp --dport 4242:4299 -j REJECT
iptables -A FORWARD -p udp --dport 4242:4299 -j REJECT
iptables -A FORWARD -p tcp --dport 6881:6999 -j REJECT
iptables -A FORWARD -p udp --dport 6881:6999 -j REJECT
iptables -I FORWARD -p tcp --sport 6881:6889 -j REJECT
iptables -I FORWARD -p udp --sport 6881:6889 -j REJECT

Но торрент всёравно продолжает работать, постоит минуту 2 и бац начало качать
odmin4eg.ru - Мои шпаргалки по ubuntu

Гарри Кашпировский

  • Гость
Иди от обратного. Сначала запрети всем и вся, затем разрешай нужное.

Оффлайн saber

  • Автор темы
  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Запритетить всё сложно, я не знаю какие там внутри проги, банк-клиенты и прочая офисная лабудень.
odmin4eg.ru - Мои шпаргалки по ubuntu

Гарри Кашпировский

  • Гость
Посмотри вот на это http://ss.lg.ua/node/718
Возможно подойдёт.

Оффлайн sht0rm

  • Старожил
  • *
  • Сообщений: 3397
    • Просмотр профиля
ipp2p вещь хорошая, но уже не развивается и торренты с шифрованием не детектит.

Запритетить всё сложно, я не знаю какие там внутри проги, банк-клиенты и прочая офисная лабудень.

А придется узнать если хотите закрыть.
Как вариант, закрыть все откуда можно качать торрент файлы. Если сквид в прозрачном режиме поставить то заблочить всякие tracker, torrent, piratebay, tfile ..

Moжно конечно ядро с layer7 для iptables собрать.
« Последнее редактирование: 02 Июня 2010, 14:09:36 от sht0rm »

Оффлайн fitnessponchik

  • Любитель
  • *
  • Сообщений: 63
    • Просмотр профиля
Запретить торренты почти нельзя, т.к. они при работе используют всегда разные порты. Самое действенное это как раз запретить всё и разрешить только, то что необходимо.Банк-клиенты не проблема, если вы позвоните в банк, то они вам скажут на каких портах работают их клиенты.Если вы напишите подробнее о "и прочая офисная лабудень", то и на это можно будет сделать правила.

Оффлайн saber

  • Автор темы
  • Участник
  • *
  • Сообщений: 224
    • Просмотр профиля
    • Блог админа
Господа совет нужен.
Вроде всё верно и логично но ТОРРЕНТЫ продолжают качать!!!! :idiot2: :idiot2: :idiot2: :idiot2:

заморочился полноценным файрволом.

Вот мой файл iptables.up.rules

# Generated by iptables-save v1.3.8 on Tue Jun  8 14:44:34 2010
*nat
:PREROUTING ACCEPT [37743:2943226]
:POSTROUTING ACCEPT [3539:213716]
:OUTPUT ACCEPT [3355:201370]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o ppp0 -j MASQUERADE
COMMIT
# Completed on Tue Jun  8 14:44:34 2010
# Generated by iptables-save v1.3.8 on Tue Jun  8 14:44:34 2010
*mangle
:PREROUTING ACCEPT [316239:123979044]
:INPUT ACCEPT [171603:67611995]
:FORWARD ACCEPT [122210:54396159]
:OUTPUT ACCEPT [183323:91299655]
:POSTROUTING ACCEPT [305148:145666029]
COMMIT
# Completed on Tue Jun  8 14:44:34 2010
# Generated by iptables-save v1.3.8 on Tue Jun  8 14:44:34 2010
*filter
:INPUT DROP [17:2068]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:allowed - [0:0]
:bad_tcp_packets - [0:0]
:icmp_packets - [0:0]
:tcp_packets - [0:0]
:udp_packets - [0:0]
-A INPUT -p tcp -j bad_tcp_packets
-A INPUT -s 192.168.100.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -s 127.0.0.1 -i lo -j ACCEPT
-A INPUT -s 192.168.100.100 -i lo -j ACCEPT
-A INPUT -s 95.111.11.112 -i lo -j ACCEPT
-A INPUT -i eth0 -j ACCEPT
-A INPUT -i tun0 -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --sport 68 --dport 67 -j ACCEPT
-A INPUT -d 95.111.11.112 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets
-A INPUT -d 224.0.0.0/255.0.0.0 -i ppp0 -j DROP
-A INPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT INPUT packet died: " --log-level 7
-A FORWARD -p tcp -j bad_tcp_packets
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -j ACCEPT
-A FORWARD -i tun0 -j ACCEPT
-A FORWARD -i tun+ -j ACCEPT
-A FORWARD -i ppp0 -p tcp --dport 3389 -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT FORWARD packet died: " --log-level 7
-A OUTPUT -p tcp -j bad_tcp_packets
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 192.168.1.10 -j ACCEPT
-A OUTPUT -s 192.168.100.100 -j ACCEPT
-A OUTPUT -s 95.111.11.112 -j ACCEPT
-A OUTPUT -s 10.10.10.6 -j ACCEPT
-A OUTPUT -m limit --limit 3/min --limit-burst 3 -j LOG --log-prefix "IPT OUTPUT packet died: " --log-level 7
-A allowed -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j ACCEPT
-A allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A allowed -p tcp -j DROP
-A bad_tcp_packets -p tcp -m tcp --tcp-flags SYN,ACK SYN,ACK -m state --state NEW -j REJECT --reject-with tcp-reset
-A bad_tcp_packets -p tcp -m tcp ! --tcp-flags FIN,SYN,RST,ACK SYN -m state --state NEW -j DROP
-A icmp_packets -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_packets -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A tcp_packets -p tcp -m tcp --dport 20 -j allowed
-A tcp_packets -p tcp -m tcp --dport 21 -j allowed
-A tcp_packets -p tcp -m tcp --dport 5021 -j allowed
-A tcp_packets -p tcp -m tcp --dport 22 -j allowed
-A tcp_packets -p tcp -m tcp --dport 443 -j allowed
-A tcp_packets -p tcp -m tcp --dport 113 -j allowed
-A tcp_packets -p tcp -m tcp --dport 25 -j allowed
-A tcp_packets -p tcp -m tcp --dport 1024 -j allowed
-A tcp_packets -p tcp -m tcp --dport 1239 -j allowed
-A tcp_packets -p tcp -m tcp --dport 1240 -j allowed
-A tcp_packets -p tcp -m tcp --dport 5190 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3128 -j allowed
-A tcp_packets -p tcp -m tcp --dport 3389 -j allowed
-A tcp_packets -p tcp -m tcp --dport 10000 -j allowed
-A udp_packets -p udp -m udp --dport 53 -j ACCEPT
-A udp_packets -p udp -m udp --dport 123 -j ACCEPT
-A udp_packets -p udp -m udp --dport 2074 -j ACCEPT
-A udp_packets -p udp -m udp --dport 1194 -j ACCEPT
-A udp_packets -p udp -m udp --dport 4000 -j ACCEPT
-A udp_packets -d 95.111.11.112 -i ppp0 -p udp -m udp --dport 135:139 -j DROP
-A udp_packets -d 255.255.255.255 -i ppp0 -p udp -m udp --dport 67:68 -j DROP
COMMIT
# Completed on Tue Jun  8 14:44:34 2010


Пользователь решил продолжить мысль 10 Июня 2010, 07:33:19:
Сильно похоже на ошибку в ДНК. :2funny:

на проверочные правила падают только пакеты интерфейса ppp0
-A INPUT -i ppp0 -p tcp -j tcp_packets
-A INPUT -i ppp0 -p udp -j udp_packets
-A INPUT -i ppp0 -p icmp -j icmp_packets

« Последнее редактирование: 10 Июня 2010, 07:33:19 от saber »
odmin4eg.ru - Мои шпаргалки по ubuntu

 

Страница сгенерирована за 0.05 секунд. Запросов: 23.