ATENÇÃO A PARTIR DO KERNEL 2.4....... NÃO SE USA MAIS O IPCHAIM. FOI SUSBSTITUIDO PELO IPTABLES VEJA NESTE DIRETÓRIO iptables.txt http://ldp-br.conectiva.com.br/comofazer/IPCHAINS.tar.gz ****************************************************** ****************************************************** ****************************************************** ****************************************************** De: Alex Teixeira Para: linux-br Assunto: Re: (linux-br) Amarrar Conexao pelo MAC com IPCHAINS Data: 29 Jan 2003 13:48:02 -0200 Uma solução simples seria tu usar o comando arp, e fixando como estatica a entrada dele na tabela: arp -s 10.14.81.55 XX:XX:XX:XX XX;XX:XX:XX = MAC Assim se ele trocar o IP não navegará... T+ Alex Teixeira ****************************************************** De: Elias Andrade - Suporte=?iso-8859-1?Q?_t=E9cnico?= - Litoral On Line Para: Danilo Vasconcelos Cc: linux-br Assunto: RE: (linux-br) Amarrar Conexao pelo MAC com IPCHAINS Data: 29 Jan 2003 17:02:30 -0200 Me corrijam se estiver errado, mas quando faço regras no ipchains, usando um ip, se adiciono mascara no final ele libera toda a rede. Pela linha abaixo, você está utilizando mascara, sendo que não seria necessário. Vamos ver: Liberar um host apenas ( Certo ): /sbin/ipchains -A forward -s 192.168.1.2 -d 0/0 -j MASQ Liberar toda uma rede ( Certo) : /sbin/ipchains -A forward -s 192.168.1.0/255.255.255.0 -d 0/0 -j MASQ Errado, porque ele entende que a mascara apos liberará toda a rede ( ao menos acontece comigo ) /sbin/ipchains -A forward -s 192.168.1.2/255.255.255.0 -d 0/0 -j MASQ Não sei se consegui ser claro, mas resumindo, a linha de ipchains que você passou se encaixaria na linha errada indicada acima. Libere cada máquina, sem necessidade de especificar marcara. Em 29-Jan-2003 Você escreveu: -> Negrada, -> -> Estou com o seguinte problema: Tenho vários clientes que acessam -> a internet pelo meu servidor linux (coyote em disquete) com ipchains. Uso a -> seguinte linha para barrar/liberar o acesso aos computadores: -> -> # /sbin/ipchains -l -A forward -j MASQ -s 10.1.14.81/32 -d 0.0.0.0/0 -> -> Só que o pessoal tá ficando "esperto" demais, e quando eu -> bloqueio um ip, o "féla" pega e fica mudando o ip da máquina dele para um ip -> que esteja liberado, causando assim conflito na minha rede. -> -> Solução: Amarrar a conexão pelo MAC da placa com IPCHAINS. Já -> fiz alguns testes mas não estou conseguindo montar a linha de comando -> corretamente. -> -> ¿¿¿ Alguém pode me ajudar??? ****************************************************** De: Jorge Luiz de Paula Martins Filho Para: Danilo Vasconcelos Cc: linux-br Assunto: Re: (linux-br) Amarrar Conexao pelo MAC com IPCHAINS Data: 29 Jan 2003 14:27:18 -0200 On Wednesday 29 January 2003 08:49, you wrote: > Solução: Amarrar a conexão pelo MAC da placa com IPCHAINS. Já > fiz alguns testes mas não estou conseguindo montar a linha de comando > corretamente. > > ¿¿¿ Alguém pode me ajudar??? Ola Danilo. Ha um tempo atras consegui resolver este problema com a ajuda dos colegas da lista. A URL da solucao postada aqui na lista eh a seguinte. http://linux-br.conectiva.com.br/arquivo/2001/03/msg02601.html Tah tudo bem explicadinho. ;-) Tenta la. ****************************************************** De: Alexandre Chaves Fonseca Para: Danilo Vasconcelos , linux-br Assunto: Re: (linux-br) Amarrar Conexao pelo MAC com IPCHAINS Data: 29 Jan 2003 13:49:26 -0200 acredito que seja mais facil amarrar os ips aos mac, independente das regras do ipchains.. use: (como exemplo) arp -s 10.1.14.81 12:12:32:fd:32:fd faça isso para todos os ips de sua rede..... com isso os caras NAO conseguem mais usar ip de outro...... PS: conflito ainda vai existir, mas os caras vao perceber que nao vao sair pela internet (pois o linux NAO vai enchergar a maquina com outro ip diferente ao forçado na tabela do arp), desencanando de mudar o ip (a nao ser que queiram derrubar o colega ao lado forçando o mesmo ip....... ahuahuah !) falow, alexandre ----- Original Message ----- From: "Danilo Vasconcelos" To: "linux-br" Sent: Wednesday, 29 January, 2003 08:49 Subject: (linux-br) Amarrar Conexao pelo MAC com IPCHAINS Negrada, Estou com o seguinte problema: Tenho vários clientes que acessam a internet pelo meu servidor linux (coyote em disquete) com ipchains. Uso a seguinte linha para barrar/liberar o acesso aos computadores: # /sbin/ipchains -l -A forward -j MASQ -s 10.1.14.81/32 -d 0.0.0.0/0 Só que o pessoal tá ficando "esperto" demais, e quando eu bloqueio um ip, o "féla" pega e fica mudando o ip da máquina dele para um ip que esteja liberado, causando assim conflito na minha rede. Solução: Amarrar a conexão pelo MAC da placa com IPCHAINS. Já fiz alguns testes mas não estou conseguindo montar a linha de comando corretamente. ****************************************************** De: Marcus Lima Responder-a: Marcus Lima Para: Danilo Vasconcelos , linux-br Assunto: Re: (linux-br) Amarrar Conexao pelo MAC com IPCHAINS Data: 29 Jan 2003 13:45:02 -0200 No ipchains não existe... Use iptables. - Marcus Lima. ****************************************************** Documentação em português: http://ldp-br.conectiva.com.br/documentos/comofazer/html/IPCHAINS/IPCHAINS-HOWTO.txt ****************************************************** PROXI TRANSPARENTE acrescente no final de rc.local que está em /etc ipchains -A forward -j MASQ echo 1 > /proc/sys/net/ipv4/ip_forward ****************************************************** Ipchains + script ( http://sites.uol.com.br/olinux/firewall.html ) Muito bom por sinal ! para ver quais estao abertas ipchains -L e de uma interpretada nas regras... para ver as que estao "ouvindo" netstat -a ****************************************************** pois eh o squid nao trabalha com o protocolo pop3. tenta esta: ipchains -P forward -DENY ipchains -A forward -i ppp0 -J MASQ echo -1> /proc/sys/net/ipv4/ip_forward duvidas: man ipchains. ou ipchains -A forward -j MASQ //libera todas as portas inclusive pop3 ****************************************************** Criei o arquivo rc.firewall conforme descrito abaixo: #!/bin/bash # rc.firewall script # ********************** Route Section ********************** # ************************* Modules ************************* /sbin/depmod -a /sbin/modprobe ip_masq_portfw /sbin/modprobe ip_masq_ftp /sbin/modprobe ip_masq_raudio /sbin/modprobe ip_masq_icq # ************************** Rules ************************** echo "1" > /proc/sys/net/ipv4/ip_forward ipchains -M -S 7200 10 60 ipchains -P forward DENY ipchains -A forward -s 192.168.1.2/255.255.255.0 -j MASQ ****************************************************** Olá Ernani, ernani wrote: <-- SNIP --> > Eu utilizei o comando ipmasqadm com os seguintes parametros: > #ipmasqadm portfw -a -P tcp -L [ip_valido] 1024 -R [ip_interno] 1024 > > Quando eu digito: > #ipmasqadm portfw -ln > Da' a seguinte saida: > #prot localaddr rediraddr lport rport pcnt pref > #TCP [ip_valido] [ip_interno] 1024 1024 10 10 OK, tudo certo. > Para testar eu estou digitando: > #telnet [ip_interno] 1024 > Funciona bem > #telnet [ip_valido] 1024 > Restorna erro de conexao Sem dúvida, o módulo portfw do ipmasqadm faz exatamente o que o nome diz: portfwd (port forwarding - redirecionamento de porta), ou seja, recebe uma conexão _externa_ na porta X e redireciona para outra máquina em uma porta Y (onde X pode ser igual Y). A regra acima funciona mais ou menos da mesma forma que o ipchains: Suponha três máquinas em rede: A ------- B ------- C No ipchains o princípio é o seguinte: - um pacote originado na máquina A com destino a máquina B passa pela "chain" INPUT; - um pacote originado na máquina B com destino a máquina C passa pela "chain" OUTPUT; - um pacote originado na máquina A com destino a máquina C passa pelas "chains" INPUT, FORWARD e OUTPUT; - um pacote originado na máquina B com destino a máquina B passa pela "chain" INPUT; Concluindo, no ipmasqadm o módulo portfw só funciona quando o pacote atravessa a regra OUTPUT. Ou seja, para verificar se está funcionando vc precisa fazer a requisição em uma máquina diferente da que está executando o portforwarding, caso contrário a requisição é feita para ela mesma. > Verifiquei com o 'netstat -ln' se ja existia algum servico > usando a porta 1024, nao nao existe: Isso é irrelevante, vc pode ter o serviço sendo executado na máquina q funcionaria do mesmo jeito. Um exemplo prático: Internet -----+ firewall +---- servidor | | eth0 eth1 O servidor tem IP inválido (192.168.0.2) O firewall tem: - eth0 200.200.200.1 - eth0:0 200.200.200.2 - eth1 192.168.0.1 Vc executa o sshd em ambos na porta 22. No firewall vc configura o ipmasqadm da seguinte forma: ipmasqadm portfw -a -P tcp -L 200.200.200.2 22 -R 192.168.0.2 22 E agora conecta a partir da internet: ssh 200.200.200.1 (cai no firewall) ssh 200.200.200.2 (redireciona p/ o servidor interno 192.168.0.2) > OFF-TOPIC: Antingamente havia na pagina inicial da lista linux-br, um > mecanismo de busca no historico onde eu digitava o assundo e ele me > retornava uma pagina de resposta. Onde esta' agora esse mecanismo? Acho que está fora do ar. ****************************************************** ****************************************************** ****************************************************** > Como configurar o ipchains e o ipfwadm para bloquear acessos pela porta > tcp 80 (http) Para bloquear o uso da porta 80 na minha rede, eu coloquei: ipchains -P forward DENY ipchains -A forward -s 192.168.1.0/24 --dport 80 -p tcp -j DENY ipchains -A forward -s 192.168.1.0/24 -j MASQ Assim, nenhum usuário da minha rede pode ficar navegando, a menos que utilize o proxy, o qual fica em outra porta. ****************************************************** Kernel 2.2xxx Pequeno Exemplo #Limpando ipchains antigos ipchains -P input ACCEPT ipchains -P output ACCEPT ipchains -P forward ACCEPT ipchains -F #Fechando tudo ipchains -P input REJECT ipchains -P output REJECT ipchains -P forward REJECT #Abrindo telnet e ssh ipchains -A input -p tcp -s endereçodasuarede/24 -d endereçodasuamaquina 22 -j ACCEPT ipchains -A input -p tcp -s endereçodasuarede/24 -d endereçodasuamaquina23 -j ACCEPT ipchains -A output -p tcp -s endereçodasuamaquina 22 -d endereçodasuarede/24 -j ACCEPT ipchains -A output -p tcp -s endereçodasuamaquina 23 -d endereçodasuarede/24 -j ACCEPT para os demais , é so repetir o comando e mudar a porta ex: porta 80 www ipchains -A input -p tcp -s endereçodasuarede/24 -d endereçodasuamaquina 80 -j ACCEPT ipchains -A output -p tcp -s endereçodasuamaquina 80 -d endereçodasuarede/24 -j ACCEPT aconselho vc a ler o how-to do ipchains Olá Eu sou um usuário relativamente novo do CL 4, e estou tentando configurar um firewall. Mas ele dá erro com as regras q eu coloco e diz não encontrar o ipchains. Como devo configurar corretamente o meu firewall e quais pacotes devo instalar? Estou acesando a internet via acesso discado ao meu provedor. ****************************************************** ****************************************************** bloquear ping ipchains -A output -p icmp -s localhost 8 -d 0.0.0.0/24 0 -j REJECT ipchains -A input -p icmp -s localhost 8 -d 0.0.0.0/24 0 -j REJECT ****************************************************** bloquear ping Vai ai a resposta pra minha propria pergunta, se interessar a alguem. > vá para: > /proc/sys/net/ipv4 > > digite: echo "1" > icmp_echo_ignore_all > > OBS: isto é para RedHat. > ****************************************************** ****************************************************** Bem, assim como eu estava, muitos podem estar com problemas com relação a masq de ip e firewall, entao fiz um resumo dos meus estudos e aqui está para a comunidade do linux-br. Se tiver algo incorreto, por favor me avisem, terei prazer em corrigir-me! ----------- Ipchains: Ferramenta utilizada para fazer o Firewall do linux. Sintaxe: # ipchains -[OPC1] [OPC2] -p [PROTOCOLOS] -s [REDE_ORIGEM/MASK] -d [REDE_DESTINO/MASQ] [OPC3] -j [OPC4] Detalhes: [OPC1] As opçoes do ipchains: -N => Criar um novo chain -X => Deletar um chain vazio -P => Alterar o policiamente de um chain embutido -L => Listar as regras em um chain -F => Transportar (Flush) as regras fora do chain -resumindo: reseta tudo:)} -Z => Zerar os contadores de pacote e byte em todas as regras no chain -A => Adiciona uma nova regra no chain -I => Insere uma nova regra na mesma posição no chain -R => Substitui uma regra na mesma posição no chain -D => Deleta uma regra na mesma posição no chain [OPC2] São as opçoes para entrada, saída ou forward de dados: input output forward [PROTOCOLOS] Protocolos que acompanham o IP: tcp udp icmp all ou 0 Obs.: all serve para todos os tipos de protocolo. [REDE_ORIGEM/MASK] Rede de origem dos dados, seguido pela sua maskara de rede. ex.: 192.168.1.0/255.255.255.0 ou 192.168.1.0/24 ^^ bits [REDE_DESTINO/MASK Rede de destinos dos dados, seguido pela sua maskara de rede. [OPC3] Porta IP São muitas de 0 a 65535 [OPC4] Aceita entrada, não aceita entrada, masquara IP ACCEPT DENY MASQ Obs.: Em maiúscula Para usar IP-MASQ, use: # echo 1 > /proc/sys/net/ipv4/ip_forward # ipchains -I forward 1 -s SUAREDEIP/MASK -d 0.0.0.0/0 -j MASQ Porém perceba que você está usando a política padrão de acesso do Linux, para barrar ou conceder intrade e saída de pacotes, você precisa fazer modificações na lista de ipchains (firewall). Para mostrar a lista atual use: # ipchains -L Última observação: Para abrir uma porta para transferencia de pacotes, você tem que usar tanto a opção de input quanto a de output. Ex.: Você é o adm de um domínio linux.com.br, e deseja abrir para o mundo,o acesso ao FTP da mesma, sua rede é 200.200.200.0 e mascara de subrede 255.255.255.0 então vamos lá: # ipchains -i input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -j ACCEPT # ipchains -i output -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -j ACCEPT Assim todos acessam e terao libre passagem sobre o porta de ftp de sua estacao. O inverso não é verdadeiro, portanto para bloquear uma porta não é necessário fechar a entrada e saída da porta, pois, supondo que você feche a sáida de dados por uma porta .. quem fez a solicitação não terá o retorno da sua máquina ... afinal, você barrou a saída!! :) Vc pode especificar a inteface que você quer usar com a opcao -i também, mas não o -i do ínicio e sim entre o -p e o -s e -s e o -d Ex.: # ipchain -i input -p tcp -i eth0 -s 0.0.0.0/0 -i ppp0 -d 0.0.0.0/0 mysql -j DENY ----------- Espero ter ajudado ... fui realmente a fundo no assunto, se precisar de alguma informação, estamos aí! :) Kleber Rodrigues klebersr@brfree.com.br ****************************************************** A partir do kernel 2.2.x a ferramenta nao eh mas ipfwadm e ipchains se tem alguma duvida como usa-lo va em www.olinux.com.br na parte de seguranca la tem tudo esplicado. > > Instalei o conectiva 5 e não tenho o ipfwadm ...... qual o pacote que > instalo ? PRECISO DELE !!!!! ;-) ****************************************************** ****************************************************** ****************************************************** ****************************************************** ****************************************************** ****************************************************** ****************************************************** ****************************************************** Subject: (linux-br) desmacaramento com ipchains Fala pessoal; Bem, assim como eu estava, muitos podem estar com problemas com relação a masq de ip e firewall, entao fiz um resumo dos meus estudos e aqui está para a comunidade do linux-br. Se tiver algo incorreto, por favor me avisem, terei prazer em corrigir-me! ----------- Ipchains: Ferramenta utilizada para fazer o Firewall do linux. Sintaxe: # ipchains -[OPC1] [OPC2] -p [PROTOCOLOS] -s [REDE_ORIGEM/MASK] -d [REDE_DESTINO/MASQ] [OPC3] -j [OPC4] Detalhes: [OPC1] As opçoes do ipchains: -N => Criar um novo chain -X => Deletar um chain vazio -P => Alterar o policiamente de um chain embutido -L => Listar as regras em um chain -F => Transportar (Flush) as regras fora do chain -resumindo: reseta tudo:)} -Z => Zerar os contadores de pacote e byte em todas as regras no chain -A => Adiciona uma nova regra no chain -I => Insere uma nova regra na mesma posição no chain -R => Substitui uma regra na mesma posição no chain -D => Deleta uma regra na mesma posição no chain [OPC2] São as opçoes para entrada, saída ou forward de dados: input output forward [PROTOCOLOS] Protocolos que acompanham o IP: tcp udp icmp all ou 0 Obs.: all serve para todos os tipos de protocolo. [REDE_ORIGEM/MASK] Rede de origem dos dados, seguido pela sua maskara de rede. ex.: 192.168.1.0/255.255.255.0 ou 192.168.1.0/24 ^^ bits [REDE_DESTINO/MASK Rede de destinos dos dados, seguido pela sua maskara de rede. [OPC3] Porta IP São muitas de 0 a 65535 [OPC4] Aceita entrada, não aceita entrada, masquara IP ACCEPT DENY MASQ Obs.: Em maiúscula Para usar IP-MASQ, use: # echo 1 > /proc/sys/net/ipv4/ip_forward # ipchains -I forward 1 -s SUAREDEIP/MASK -d 0.0.0.0/0 -j MASQ Porém perceba que você está usando a política padrão de acesso do Linux, para barrar ou conceder intrade e saída de pacotes, você precisa fazer modificações na lista de ipchains (firewall). Para mostrar a lista atual use: # ipchains -L Última observação: Para abrir uma porta para transferencia de pacotes, você tem que usar tanto a opção de input quanto a de output. Ex.: Você é o adm de um domínio linux.com.br, e deseja abrir para o mundo,o acesso ao FTP da mesma, sua rede é 200.200.200.0 e mascara de subrede 255.255.255.0 então vamos lá: # ipchains -i input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -j ACCEPT # ipchains -i output -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -j ACCEPT Assim todos acessam e terao libre passagem sobre o porta de ftp de sua estacao. O inverso não é verdadeiro, portanto para bloquear uma porta não é necessário fechar a entrada e saída da porta, pois, supondo que você feche a sáida de dados por uma porta .. quem fez a solicitação não terá o retorno da sua máquina ... afinal, você barrou a saída!! :) Vc pode especificar a inteface que você quer usar com a opcao -i também, mas não o -i do ínicio e sim entre o -p e o -s e -s e o -d Ex.: # ipchain -i input -p tcp -i eth0 -s 0.0.0.0/0 -i ppp0 -d 0.0.0.0/0 mysql -j DENY ----------- Espero ter ajudado ... fui realmente a fundo no assunto, se precisar de alguma informação, estamos aí! :) Kleber Rodrigues klebersr@brfree.com.br ****************************************************** Claudir, > #!/bin/bash > /sbin/modprobe ip_masq_ftp > /sbin/modprobe ip_masq_raudio > /sbin/modprobe ip_masq_irc > /sbin/modprobe ip_masq_cuseeme Hmmm... Faltou o Quake. :)) > /sbin/ipchains -A forward -p UDP -s 192.168.0.0/24 -j MASQ > /sbin/ipchains -A forward -p TCP -s 192.168.0.0/24 -j MASQ > No caso acima nao funciona o ping, mas o resto funciona legal /sbin/ipchains -A forward -p ICMP -s 192.168.0.0/24 -j MASQ Acho que depois disto deve funcionar... :) ****************************************************** > Eu gostaria de saber se é possivel..compartilhar uma linha de telefone > para 5 computadores acessar a net.... > tipo assim: uma rede com 5 terminal burro..e um apenas ter acesso...e > liberar..para os outros...micros... > Se tiver jeito por favor me Ajudem É URGENTE...... Como terminais burro eu naum sei, mas para vc compartilhar a conexão com a internet, em um server linux, faça o seguinte: *- abilite FORWARD_IPV4=TRUE no seu arquivo /etc/sysconfig/network *- re-start a rede: ./network stop ; network start (em /etc/rc.d/init.d *- basicamente, digite: ipchains -A forward -j MASQ -s 192.168.1.0/24 -d 0.0.0.0/0 Onde o n. IP eh o IP da rede que mantém a conexão com a Internet. Agora, nas estações vc inclui a rota: route add -net 0.0.0.0 netmask 0.0.0.0 gw 192.168.1.1 (IP da máquina q mantém a conexão com a Internet) ****************************************************** > Eu gostaria de ter 5 maquinas linux...com o slack..7 e mais 5 com win 98 > e um PIII 450 com slack 7 para controlar..a rede.....Mas eu ñ tenho > muito conhecimento em redes... :( > Apenas uso linux.... > É pq eu to montando um negocio...dai eu precisaria..de uma rede ... > que uma maquina..teria poder de controlar todas as outras...e > compartilhar a net...com elas.. > E queria saber sobre a velocidade....da net.Ela fica muito menor ? > > Me falem sobre como eu fazer este tipo de rede em linux...no win eu > do um jeito...mas em linux..eu ñ sei como..nem iniciar...este > trabalho... > tipo de programa..a usar..que placa de rede é mais facil de configurar > em linux..pq tem algumas ..que é um trampo..... > eu ja tenho algun conhecimento em linux..eu ja uso acho que a 2..3 > anos.. > Mas nesta parte eu ainda ñ tinha mexido...pq eu nunca tinha precisado.. > mas agora to fudido...preciso mas ñ sei mexer... > > obrigado por terem me respondido...pq ..eu to é ferrado...ñ sei como > fazer...isso com pouco tempo..que eu tenho.. Se você não tem muita experiência e está com pressa, faça a coisa mais simples, depois você melhora quando tiver mais calma. Aquie está o que creio seja a receita mais simples: 1) Configure o seu servidor PIII/450 com Linux na rede, com os serviços de rede que quiser, incluindo o NIS. Abra nele contas para todos os usuários, incluindo áreas de home, que podem ser pequenas, só para as configs. 2) Faça uma pequena rede local com o servidor e os seus vários clientes Linux ou Windows, usando os endereços privados da Internet. Trata-se de uma faixa de endereços reservada para redes privadas, que não são diretamente visíveis de fora (acho que é 192.algo.*.*, olhe por aí...) 3) Coloque X11 e NIS nos clientes Linux: o usuário entra no cliente, abre o display com "xhost +", faz um telnet ou rlogin no servidor, lá seta a variável DISPLAY para ser o do cliente e de lá acessa a Internet, com a janela do browser aberta no display do cliente. 4) Coloque algum emulador de X11 e um aplicativo telnet nos clientes Windows e faça essencialmente a mesma coisa a partir deles. Ou, melhor ainda e mais barato, coloque Linux nestes clientes também, se precisar com boot duplo junto com o Windows. ---------------------------------------------------------------- Jorge L. deLyra, Associate Professor of Physics The University of Sao Paulo, IFUSP-DFMA For more information: finger delyra@latt.if.usp.br ---------------------------------------------------------------- ****************************************************** É melhor usar o IPCHAINS fechando TODAS as conexoes e abrir somente para os protocolos conhecidos : 80 - Para a Galera navegar HTTP (se bem que é melhor vc instalar um PROXY , squid por exemplo) 21 - FTP 53 - BIND (?) 22 - SSH ... opa ... nao esqueca do ping-da-morte ... he he he ICMP etc etc Usando o squid vc pode fazer bloqueio pelo conteudo da pagina (sexo , piratarias, chats, etc ) Abracos Flaviao > > Olá, tenho um servidor linux usando o Ip Masquerade para o "repasse" > > da internet para as estações. O problema é que tem um pessoal na rede > > que esta usando o Napster e coisas do estilo, que deixa a internet > > muuuito lenta. (...) > > Procure por um programa chamado IPTraf, você vai poder ver o que rola > na rede. Mas se vocvê precisar ser mais direto recorra ao Ethereal, > deixe-o capturando os pacotes da rede, abra uma sessão do Napster e > depois veja no log de captura qual foi. ****************************************************** A nao ser que voce queira realmente proxy, de uma olhada em http://members.home.net/ipmasq/ http://members.home.net/ipmasq/ipmasq-HOWTO-1.82.html ****************************************************** ****************************************************** Bem, assim como eu estava, muitos podem estar com problemas com relação a masq de ip e firewall, entao fiz um resumo dos meus estudos e aqui está para a comunidade do linux-br. Se tiver algo incorreto, por favor me avisem, terei prazer em corrigir-me! ----------- Ipchains: Ferramenta utilizada para fazer o Firewall do linux. Sintaxe: # ipchains -[OPC1] [OPC2] -p [PROTOCOLOS] -s [REDE_ORIGEM/MASK] -d [REDE_DESTINO/MASQ] [OPC3] -j [OPC4] Detalhes: [OPC1] As opçoes do ipchains: -N => Criar um novo chain -X => Deletar um chain vazio -P => Alterar o policiamente de um chain embutido -L => Listar as regras em um chain -F => Transportar (Flush) as regras fora do chain -resumindo: reseta tudo:)} -Z => Zerar os contadores de pacote e byte em todas as regras no chain -A => Adiciona uma nova regra no chain -I => Insere uma nova regra na mesma posição no chain -R => Substitui uma regra na mesma posição no chain -D => Deleta uma regra na mesma posição no chain [OPC2] São as opçoes para entrada, saída ou forward de dados: input output forward [PROTOCOLOS] Protocolos que acompanham o IP: tcp udp icmp all ou 0 Obs.: all serve para todos os tipos de protocolo. [REDE_ORIGEM/MASK] Rede de origem dos dados, seguido pela sua maskara de rede. ex.: 192.168.1.0/255.255.255.0 ou 192.168.1.0/24 ^^ bits [REDE_DESTINO/MASK Rede de destinos dos dados, seguido pela sua maskara de rede. [OPC3] Porta IP São muitas de 0 a 65535 [OPC4] Aceita entrada, não aceita entrada, masquara IP ACCEPT DENY MASQ Obs.: Em maiúscula Para usar IP-MASQ, use: # echo 1 > /proc/sys/net/ipv4/ip_forward # ipchains -I forward 1 -s SUAREDEIP/MASK -d 0.0.0.0/0 -j MASQ Porém perceba que você está usando a política padrão de acesso do Linux, para barrar ou conceder intrade e saída de pacotes, você precisa fazer modificações na lista de ipchains (firewall). Para mostrar a lista atual use: # ipchains -L Última observação: Para abrir uma porta para transferencia de pacotes, você tem que usar tanto a opção de input quanto a de output. Ex.: Você é o adm de um domínio linux.com.br, e deseja abrir para o mundo,o acesso ao FTP da mesma, sua rede é 200.200.200.0 e mascara de subrede 255.255.255.0 então vamos lá: # ipchains -i input -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -j ACCEPT # ipchains -i output -p tcp -s 0.0.0.0/0 -d 0.0.0.0/0 ftp -j ACCEPT Assim todos acessam e terao libre passagem sobre o porta de ftp de sua estacao. O inverso não é verdadeiro, portanto para bloquear uma porta não é necessário fechar a entrada e saída da porta, pois, supondo que você feche a sáida de dados por uma porta .. quem fez a solicitação não terá o retorno da sua máquina ... afinal, você barrou a saída!! :) Vc pode especificar a inteface que você quer usar com a opcao -i também, mas não o -i do ínicio e sim entre o -p e o -s e -s e o -d Ex.: # ipchain -i input -p tcp -i eth0 -s 0.0.0.0/0 -i ppp0 -d 0.0.0.0/0 mysql -j DENY ----------- Espero ter ajudado ... fui realmente a fundo no assunto, se precisar de alguma informação, estamos aí! :) Kleber Rodrigues klebersr@brfree.com.br Subject: Re: (linux-br) FireWall > Ola Edson, > > Aqui eh o Edison, > > bele ,, > > eu posso ajuda-lo se quiser ? > > [ ]'s > Edison Figueira Junior > > "Edson Q. Santos" wrote: > > > Pessoal, alguem sabe onde consigo apostila ou outra coisa sobre instalacao > > de firewall > > tenho um linux conectiva 4.0 > > > > Valeu > > ****************************************************** Tem um prontinho e muito bom p/ IPCHAINS !!!! http://sites.uol.com.br/olinux/firewall.html Subject: [ano2001] Script para um firewal, Presiso de ajuda!!!!! ****************************************************** Procure por um prog que se chama pmfirewall, lá na freshmeat (www.freshmeat.com). Este programa te ajuda a configurar o fw... Subject: [ano2001] Preciso de ajuda para configurar meu firewall!!!!SOCORRO!!!!! > > Esta é para os gurus do firewall, eu queria que vc´s me ajudassem no > seguinte: > --tenho um roteador com duas subredes,então são tres interfaces de rede > eth0(para a rede 01), eth1(rede 02), wan0(link via radio) > -As duas redes podem acessar a internet > -A rede 02 tem que acessar a rede 01 > -A rede 01 NÃO pode acessar a rede 02 > -Da internet podem me acessar apenas para mail, ftp e www a rede01 > -A rede 02 NÃO pode ser acessada de forma alguma. > > Sei que isto é basico, mas eu estou com muitas dificuldades para > implementar isto aqui na empresa, já li muitos howto´s(inclusive o > ipchains, acho q sou burro mesmo) e todos dizem sempre a mesma coisa, e > eu não entendo direito.....não gosto muito de pedir ajuda, mas eu já > estou ficando desesperado. ****************************************************** Cara vê se este exemplo te ajuda. serviço FTP. comandos ipchains: ipchains -A forward MASQ -p tcp -s 0.0.0.0./0 -d 10.0.10/24 80 -j ACCEPT -l -A= Para adicionar um serviço. -p tcp= tipo do serviço (FTP) 0.0.0.0/0= permissão para o mundo OU quem vc queira. (vc deverá efetuar um cáculo de IP-MASCARAMENTO p/ ver qual é a liberação) 10.0.10/24=mascara origem (ou IP origem) /24 significa qtde de bits. 80= porta do serviço (FTP) -j ACCEPT= aceitar o serviço. -l= opcional, apenas para incluir no messages para você controlar o que está acontecendo. > > Mudamos o IP do servidor, e estamos tendo problemas para alguns > acessos, pois, nem todas as tabelas de DNS das outras redes foram > atualizadas. > > O q eu quero é o seguinte, quando alguem tentar acessar > nossodominio.com.br, e cair no xxx.xxx.xxx.1, ele redirecione para > xxx.xxx.xxx.19. > > Creio q seja feito com o ipforward ou ipchains... ****************************************************** ****************************************************** ****************************************************** Tente: a maquina 198.0.0.15 nao pode pingar a minha maquina 198.0.0.1 ipchains -A input -p icmp -s 198.0.0.15 --icmp-type echo-reply -d 98.0.0.1 -j DENY ipchains -A input -p icmp -s 198.0.0.15 --icmp-type echo-request -d 198.0.0.1 -j DENY Assunto: (linux-br) Ipchains, regra simples........... > um exemplo simples de como: > bloquear o ping para apenas uma maquina em minha maquina > por exemplo > a maquina 198.0.0.15 nao pode pingar a minha maquina 198.0.0.1 > soh peco esse exemplo ****************************************************** De: Jorge Godoy Para: Evandro Silva Cc: Linux BR Assunto: Re: (linux-br) Ipchains Data: 06 Mar 2003 08:43:24 -0300 "Evandro Silva" writes: > Como bloquear todas as portas com o Ipchains e deixar apenas as portas > padrões (80, 21, 23..) liberadas. Insira regras com REJECT. A documentação explica e há alguns HOWTOs no site da LDP (http://tldp.org) que têm informações também. ****************************************************** De: Sthenley Macedo Responder-a: sthenley@bit1.com.br Para: linux-br@bazar.conectiva.com.br Assunto: (linux-br) RE: Bloquear ICQ/MSN Data: 15 Apr 2003 01:57:56 -0300 Olá! > Alguem saberia me dizer como faço para bloquear o ICQ e o > MSN, eu uso o Ipchains e Squid. Tente: # ICQ ipchains -A input -s login.icq.com -d 192.168.2.0/24 -p TCP -j DENY ipchains -A output -s 0/0 -d login.icq.com -p TCP -j DENY # MSN ipchains -A input -p TCP -b --sport 1863 -j DENY ipchains -A input -b -d 192.168.2.0/24 -j DENY Sem não consegue autenticar nem precisaria bloquear portas. Note que eu assumi sua rede interna como 192.168.2.0/24 para efeito de exemplo. Ajuste para algo apropriado ao seu caso, claro. E já que foi o ICQ e MSN... # UOL ipchains -A input -p tcp -s 192.168.2.0/24 -d batepapo.uol.com.br 80 -j DENY # IRC ipchains -A input -p tcp -s 192.168.2.0/24 -d 0/0 6665:7000 -j REJECT # AIM ipchains -A input -b --sport 5190 -j DENY ipchains -A input -b -s login.oscar.aol.com -j DENY # YAHOO ipchains -A input -b -d cs.yahoo.com -j DENY ipchains -A input -b -d scsa.yahoo.com -j DENY Virtualmente, -- ****************************************************** ****************************************************** ****************************************************** ****************************************************** ******************************************************