Bloquear maquina local acessar IP Externo

clebermano
(usa Ubuntu)

Enviado em 27/10/2023 - 16:32h

Boa tarde pessoal,
Tenho uma maquina Linux Unbuntu, e preciso fazer um teste de bloqueio de DNS, para testar conectividade externa.
Atualmente cliente tem 2 endereços IP configurados para DNS.
Preciso bloquear um de cada vez nesta maquina local, e após o bloqueio, verificar se a conectividade dela ativa por meio deste IP.

Seria mais ou menos assim :
DNS configurado nesta estação
DNS Primário :10.10.10.1
DNS Secundário : 10.10.10.2

Ping da estação local no IP 10.10.10.1 -> Resposta OK.
Bloqueio do DNS 10.10.10.1
Ping da estação local no IP 10.10.10.1 -> Resposta bloqueada.

Pesquisei na internet, mas somente encontrei bloqueio externo para a estão local( interno), eu preciso do contrário, cortar a conectividade do interno para externo.

Desde já agradeço.

Buckminster
(usa Debian)

Enviado em 27/10/2023 - 18:43h

Porque não usa o firewall?


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

clebermano
(usa Ubuntu)

Enviado em 28/10/2023 - 09:47h

Bom dia,
Seria apenas um teste rápido pontual na estação do cliente, a infra é dele.
Por isso queria fazer este bloqueio pontual, pois apos este bloqueio ja seria desconfigurado e eu nao preciso alterar nada na estrutura dele.

leandropscardua
(usa Ubuntu)

Enviado em 28/10/2023 - 09:49h

Não foi a pergunta, mas vc consegue testar os endereços de dns usando o comando nslookup ou dig. Daí vc escolhe quem vai resolver a requisição.

clebermano
(usa Ubuntu)

Enviado em 28/10/2023 - 10:00h

Ah blz, desculpe se não entendi a pergunta anterior, não conheço muito o linux.
Mas da maneira que você informou utilizando este comando, eu conseguiria bloquear o acesso ao ip que eu desejo ?
Por exemplo, o IP do DNS é 10.10.10.10. eu não conseguiria pinga-lo nem comunicar com ele, utilizando a estação linux ?

Carlos_Cunha
(usa Linux Mint)

Enviado em 28/10/2023 - 15:14h

Use Firewall, em uma linha/comando vc faz o bloqueio, depois faça seu teste e depois remove o bloqueio.
Simples e facil


#-------------------------------------------------------------------------------------#
"Falar é fácil, me mostre o código." - Linus Torvalds
#-------------------------------------------------------------------------------------#

clebermano
(usa Ubuntu)

Enviado em 30/10/2023 - 09:51h

Bom dia,
Poderia me passar a sintaxe do comando?
Como informei, não sou especialista Linux, só trabalhamos com um sistema que já vem em uma distribuição pronta.

Buckminster
(usa Debian)

Enviado em 30/10/2023 - 10:39h

EXecute o comando abaixo para ver se o firewall está ativo:

$ sudo ufw status

Status: active <<< deverá aparecer algo assim

Caso contrário:
$ sudo apt-get install ufw
$ sudo ufw enable

Para bloquear um IP específico:
$ sudo ufw deny from 10.10.10.1 to any
$ sudo ufw reload

Para permitir troque deny por allow e reload de novo.
Ou para voltar às confs originais:
$ sudo ufw reset

https://www.vultr.com/docs/how-to-configure-uncomplicated-firewall-ufw-on-ubuntu-20-04/?utm_source=p...

https://rodolfo-andrade.blogspot.com/2017/12/como-bloquear-icmp-request-ex-ping-no.html#:~:text=impo....


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

clebermano
(usa Ubuntu)

Enviado em 30/10/2023 - 11:24h

Bom dia,
Salvo se não fiz nada de errado, ainda continua pingando o DNS 8.8.8.8, após a digitação dos comandos.
Não deveria ser bloqueado?
Imagem em anexo.

Buckminster
(usa Debian)

Enviado em 30/10/2023 - 11:53h

No caso o ping para a máquina 8.8.8.8 (DNS público do Google) só pode ser bloqueado no servidor do Google.
Qual é o propósito do que tu está querendo fazer?

Mas vamos lá.
Modifique a linha abaixo no arquivo /etc/ufw/sysctl.conf de 1 para 0:

net/ipv4/icmp_echo_ignore_all=0

No arquivo /etc/ufw/before.rules comente toda linha que tiver -p icmp --icmp-type.
Acrescente as linhas abaixo no arquivo:
-A ufw-before-input -p icmp --icmp-type echo-request -s 8.8.8.8 -m state --state ESTABLISHED -j DROP
-A ufw-before-forward -p icmp --icmp-type echo-request -s 8.8.8.8 -m state --state ESTABLISHED -j DROP

Salve e saia do arquivo e reload e teste.


_________________________________________________________
Always listen the Buck!
Enquanto o cursor estiver pulsando, há vida!

msoliver
(usa Debian)

Enviado em 01/11/2023 - 17:12h

Não entendi direito, mas . . .
Se a intenção é que determinado pc "não acesse a internet",
remova os "gateways" desse pc.

______________________________________________________________________

Importante:

lynx --dump https://www.vivaolinux.com.br/termos-de-uso/ | sed -nr '/^[ ]+Se/,/dou.$/p'

______________________________________________________________________

Nota de esclarecimento:

O comando: ACIMA, faz parte da minha assinatura.

Att.: Marcelo Oliver

______________________________________________________________________