Стоит линукс RH со сквидом на сервере. В iptables прописаны разрешения, господа знающие,
подскажите пож. как закрыть асю и казаа. Имеется следующее*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT#--------------------------- GENERIC RULES ------------------------------------
# allow localhost communication
-A INPUT -i lo -j ACCEPT# allow any connection from trusted network to firewall box
# $METACONF#2$ %\beth\d%(lan-if-name)%
-A INPUT -i eth1 -j ACCEPT# deny ICMP redirects (type 5) from untrusted networks
-A INPUT -p icmp -m icmp --icmp-type redirect -j DROP
-A FORWARD -p icmp -m icmp --icmp-type redirect -j DROP# allow any established connection
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT# ICMP echo-requests (ping)
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT# SSH
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT# DNS requests
-A INPUT -p udp -m udp --dport 53 -j ACCEPT# DNS zone transfers
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT# FTP
-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 20 -j ACCEPT# kill ICQ пробовал, не закрывает
#-D login.icq.com -m multiport --dport 443,5190 -j DROP#-------------------------------- LOGGING ------------------------------------
# special chain for logging
-N LOGIT
# don't log ident, HTTP, HTTPS
-A LOGIT -p tcp -m tcp --dport 113 -j RETURN
-A LOGIT -p tcp -m tcp --dport 80 -j RETURN
-A LOGIT -p tcp -m tcp --dport 443 -j RETURN
-A LOGIT -p tcp -m state --state NEW,INVALID -m limit --limit 1/m -j LOG# log denied packets
#-A INPUT -j LOGIT
-A FORWARD -j LOGIT
# reject denied connection
-A INPUT -m state --state NEW -j REJECT
-A FORWARD -m state --state NEW -j REJECTCOMMIT
########################## NAT & MASQUERADING #################################
*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT# masquerading
# $METACONF#2$ %\b(?:eth|ppp)\d%(inet-if-name)%
-A POSTROUTING -o eth0 -j MASQUERADECOMMIT
>Стоит линукс RH со сквидом на сервере. В iptables прописаны разрешения, господа
>знающие,
>подскажите пож. как закрыть асю и казаа. Имеется следующее
>
>*filter
>:INPUT DROP
>:FORWARD DROP
>:OUTPUT ACCEPT
>
>#--------------------------- GENERIC RULES ------------------------------------
>
># allow localhost communication
>-A INPUT -i lo -j ACCEPT
>
># allow any connection from trusted network to firewall box
># $METACONF#2$ %\beth\d%(lan-if-name)%
>-A INPUT -i eth1 -j ACCEPT
>
># deny ICMP redirects (type 5) from untrusted networks
>-A INPUT -p icmp -m icmp --icmp-type redirect -j DROP
>-A FORWARD -p icmp -m icmp --icmp-type redirect -j DROP
>
># allow any established connection
>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
># ICMP echo-requests (ping)
>-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
>
># SSH
>-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>
># DNS requests
>-A INPUT -p udp -m udp --dport 53 -j ACCEPT
>
># DNS zone transfers
>-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
>
># FTP
>-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 21 -j ACCEPT
>
>-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 20 -j ACCEPT
>
>
># ICQ пробовал добавить след правило, не закрывает, но отваливается почта :)
>#-D login.icq.com -m multiport --dport 443,5190 -j DROP
>
>#-------------------------------- LOGGING ------------------------------------
>
># special chain for logging
>-N LOGIT
># don't log ident, HTTP, HTTPS
>-A LOGIT -p tcp -m tcp --dport 113 -j RETURN
>-A LOGIT -p tcp -m tcp --dport 80 -j RETURN
>-A LOGIT -p tcp -m tcp --dport 443 -j RETURN
>-A LOGIT -p tcp -m state --state NEW,INVALID -m limit --limit 1/m
>-j LOG
>
># log denied packets
>#-A INPUT -j LOGIT
>-A FORWARD -j LOGIT
># reject denied connection
>-A INPUT -m state --state NEW -j REJECT
>-A FORWARD -m state --state NEW -j REJECT
>
>COMMIT
>
>########################## NAT & MASQUERADING #################################
>
>*nat
>:PREROUTING ACCEPT
>:POSTROUTING ACCEPT
>:OUTPUT ACCEPT
>
># masquerading
># $METACONF#2$ %\b(?:eth|ppp)\d%(inet-if-name)%
>-A POSTROUTING -o eth0 -j MASQUERADE
>
>COMMIT
>со сквидом
>-A INPUT -i eth1 -j ACCEPT
>-A POSTROUTING -o eth0 -j MASQUERADEСудя по всему, пользователи могут ломиться в аську и Казаа как через прокси-сервер, так и напрямую. Следовательно, закрывать надо в обоих местах.
>Стоит линукс RH со сквидом на сервере. В iptables прописаны разрешения, господа
>знающие,
>подскажите пож. как закрыть асю и казаа. Имеется следующее
>
>*filter
>:INPUT DROP
>:FORWARD DROP
>:OUTPUT ACCEPT
>
>#--------------------------- GENERIC RULES ------------------------------------
>
>
># allow any established connection
>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPTвот это правило и разрешает форвардить пакеты и ICQ в наружу
его нужно чуток усложнить (IMHO).-A FORWARD -m state --state ESTABLISHED,RELATED --dport !5190 -j ACCEPT
типа разрешить форвард кроме как на один из портов, они разные:) у ИСКу
ну и у сквида запретить обработку а то юзер может поставить в асе использовать прокси.
Это я как вариант предложил из твоих правил - попробуй.
Но суть, в том что ты разрешаеш форвардить все пакеты из локалки а нужно их чуток фильтровать:).>COMMIT
>
>########################## NAT & MASQUERADING #################################
>
>*nat
>:PREROUTING ACCEPT
>:POSTROUTING ACCEPT
>:OUTPUT ACCEPT
>
># masquerading
># $METACONF#2$ %\b(?:eth|ppp)\d%(inet-if-name)%
>-A POSTROUTING -o eth0 -j MASQUERADE
>
>COMMIT
>># allow any established connection
>>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>вот это правило и разрешает форвардить пакеты и ICQ в наружу
>его нужно чуток усложнить (IMHO).
>
>-A FORWARD -m state --state ESTABLISHED,RELATED --dport !5190 -j ACCEPT
>
>типа разрешить форвард кроме как на один из портов, они разные:) у
>ИСКуАська работает по всем портам ...
И по 22 тоже :)
Меняет юзер порт ручками на 22-й - и вперед, с песней :)
>
>Аська работает по всем портам ...
>И по 22 тоже :)
>Меняет юзер порт ручками на 22-й - и вперед, с песней :)
>знаем. это как вариант. можно аналогично дест-ип закрыть
Поробовал, та же история почта отваливается, а ася ходит. Как же это решить?
>подскажите пож. как закрыть асю и казаа.Создать список адресов и запретить к ним доступ ;)
>>подскажите пож. как закрыть асю и казаа.
>
>Создать список адресов и запретить к ним доступ ;)
Все не закроешь, можно когото попросить сделать форвард пакетов и повесить этот сервис на 80 порту, и я посмотрю как ты будешь банить если у тебя пользователей >100.Посмотри в сторону L7 patches for iptables, в нем есть модуль kaaza, ослик и тд
>Все не закроешь, можно когото попросить сделать форвард пакетов и повесить этот сервис на 80 порту, и я посмотрю как ты будешь банить если у тебя пользователей >100.
Да это уже не юзеры тогда, а хакеры или админы :) И с ними тока жёсткими мерами нужно бороться - поймал штраф или месяц без интернета.