Iptables - bloquear todos os sites com exceção de apenas um

jdlucena
(usa Outra)

Enviado em 01/02/2016 - 13:54h

[BrazilFW 2.31x - Iptables v1.3.4]

Olá, pessoal!

Estou querendo bloquear o acesso de todos os sites da máquina 10.10.1.100 e deixar apenas um site (ig.com.br) liberado, porém não estou conseguindo com o código abaixo:

iptables -I FORWARD -s 10.10.1.100 ! -d 54.208.0.0/15 -j DROP

Com esse código, era pra bloquear todos os pacotes exceto do servidor do IG (54.208.0.0/15), porém não está bloqueando!

Alguma solução?

Buckminster
(usa Debian)

Enviado em 01/02/2016 - 15:31h

O Iptables está em um servidor à parte ou está em uma das máquinas que estão na regra?

Caso estiver em uma máquina à parte, tente bloquear a entrada e a saída:

iptables -I FORWARD -s 10.10.1.100 ! -d 54.208.0.0/15 -j DROP
iptables -I FORWARD -d 10.10.1.100 ! -s 54.208.0.0/15 -j DROP

E tenha atenção também na ordem de colocação dessas regras, de repente tenha uma outra regra atrapalhando essas.

Como estão tuas políticas padrões?

Mas aconselho a fazer isso pelo Squid, caso tu tiver um na rede.

jdlucena
(usa Outra)

Enviado em 01/02/2016 - 17:08h

O Iptables está no BrazilFW (10.10.1.1)

Quando utilizo essa regra, ele bloqueia tudo, não consigo acessar nem o site do IG.

Tentei bloquear tudo para essa máquina (10.10.1.100)
iptables -I INPUT -s 10.10.1.100 -j DROP

e depois fazer a liberação apenas do site do IG
iptables -I INPUT -s 10.10.1.100 -d 54.208.0.0/15 -j ACCEPT

mas também não funcionou!

Sim, as minhas regras tem apenas isso:

iptables -F

iptables -I FORWARD -s 10.10.1.100 ! -d 54.208.0.0/15 -j DROP

Buckminster
(usa Debian)

Enviado em 01/02/2016 - 17:59h

Falha minha, é assim:

iptables -I FORWARD -s 10.10.1.100 -d ! 54.208.0.0/15 -j DROP
iptables -I FORWARD -d 10.10.1.100 -s ! 54.208.0.0/15 -j DROP

jdlucena
(usa Outra)

Enviado em 02/02/2016 - 14:28h

Também não funcionou... não bloqueia nada!

Quero bloquear todos os sites para determinado computador deixando apenas um site disponível para acesso.

Buckminster
(usa Debian)

Enviado em 02/02/2016 - 19:32h

Tente assim:

iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT

iptables -I FORWARD -s 10.10.1.100 -d ! 54.208.0.0/15 -j DROP
iptables -I FORWARD -d 10.10.1.100 -s ! 54.208.0.0/15 -j DROP

Mas veja bem, a política padrão para a chain FORWARD está como DROP (iptables -P FORWARD DROP), ou seja, irá bloquear todo tráfego que passa pela máquina onde está o firewall com exceção dos pacotes que vem para o firewall.
Caso tu quer liberar o tráfego para as demais máquinas coloque ela como ACCEPT, mas daí a rede ficará desprotegida.
As políticas padrões vem como padrão todas ACCEPT.

INPUT - bloqueia/libera pacotes que entram com destino ao próprio servidor.
OUTPUT - bloqueia/libera pacotes que saem do próprio servidor.
FORWARD - bloqueia/libera pacotes que passam pelo servidor.

https://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras

jdlucena
(usa Outra)

Enviado em 04/02/2016 - 14:45h

Certo, vou testar e posto o resultado!

Estou querendo entender essa linha do código:

iptables -A INPUT -i lo -j ACCEPT

-i: interface de entrada
lo: ???

Valeu!

Buckminster
(usa Debian)

Enviado em 04/02/2016 - 15:37h

iptables -A INPUT -i lo -j ACCEPT <<< essa linha libera a interface de entrada para a própria máquina.

lo - loopback