The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"Закрыть ICQ и Kazaa в iptables"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"Закрыть ICQ и Kazaa в iptables"  
Сообщение от germes1973 (ok) on 27-Сен-06, 18:32 
Стоит линукс RH со сквидом на сервере. В iptables прописаны разрешения, господа знающие,
подскажите пож. как закрыть асю и казаа. Имеется следующее

*filter
:INPUT DROP
:FORWARD DROP
:OUTPUT ACCEPT

#--------------------------- GENERIC RULES ------------------------------------

# allow localhost communication
-A INPUT -i lo -j ACCEPT

# allow any connection from trusted network to firewall box
# $METACONF#2$ %\beth\d%(lan-if-name)%
-A INPUT -i eth1 -j ACCEPT

# deny ICMP redirects (type 5) from untrusted networks
-A INPUT -p icmp -m icmp --icmp-type redirect -j DROP
-A FORWARD -p icmp -m icmp --icmp-type redirect -j DROP

# allow any established connection
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# ICMP echo-requests (ping)
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT

# SSH
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT

# DNS requests
-A INPUT -p udp -m udp --dport 53 -j ACCEPT

# DNS zone transfers
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT

# FTP
-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 20 -j ACCEPT

# kill ICQ пробовал, не закрывает
#-D login.icq.com -m multiport --dport 443,5190 -j DROP

#-------------------------------- LOGGING ------------------------------------

# special chain for logging
-N LOGIT
# don't log ident, HTTP, HTTPS
-A LOGIT -p tcp -m tcp --dport 113 -j RETURN
-A LOGIT -p tcp -m tcp --dport 80 -j RETURN
-A LOGIT -p tcp -m tcp --dport 443 -j RETURN
-A LOGIT -p tcp -m state --state NEW,INVALID -m limit --limit 1/m -j LOG

# log denied packets
#-A INPUT -j LOGIT
-A FORWARD -j LOGIT
# reject denied connection
-A INPUT -m state --state NEW -j REJECT
-A FORWARD -m state --state NEW -j REJECT

COMMIT

########################## NAT & MASQUERADING #################################

*nat
:PREROUTING ACCEPT
:POSTROUTING ACCEPT
:OUTPUT ACCEPT

# masquerading
# $METACONF#2$ %\b(?:eth|ppp)\d%(inet-if-name)%
-A POSTROUTING -o eth0 -j MASQUERADE

COMMIT

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от germes1973 (ok) on 27-Сен-06, 18:46 
>Стоит линукс RH со сквидом на сервере. В iptables прописаны разрешения, господа
>знающие,
>подскажите пож. как закрыть асю и казаа. Имеется следующее
>
>*filter
>:INPUT DROP
>:FORWARD DROP
>:OUTPUT ACCEPT
>
>#--------------------------- GENERIC RULES ------------------------------------
>
># allow localhost communication
>-A INPUT -i lo -j ACCEPT
>
># allow any connection from trusted network to firewall box
># $METACONF#2$ %\beth\d%(lan-if-name)%
>-A INPUT -i eth1 -j ACCEPT
>
># deny ICMP redirects (type 5) from untrusted networks
>-A INPUT -p icmp -m icmp --icmp-type redirect -j DROP
>-A FORWARD -p icmp -m icmp --icmp-type redirect -j DROP
>
># allow any established connection
>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
># ICMP echo-requests (ping)
>-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
>
># SSH
>-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
>
># DNS requests
>-A INPUT -p udp -m udp --dport 53 -j ACCEPT
>
># DNS zone transfers
>-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
>
># FTP
>-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 21 -j ACCEPT
>
>-A INPUT -p tcp -m tcp -s 192.168.2.46/24 --dport 20 -j ACCEPT
>
>
># ICQ пробовал добавить след правило, не закрывает, но отваливается почта :)
>#-D login.icq.com -m multiport --dport 443,5190 -j DROP
>
>#-------------------------------- LOGGING ------------------------------------
>
># special chain for logging
>-N LOGIT
># don't log ident, HTTP, HTTPS
>-A LOGIT -p tcp -m tcp --dport 113 -j RETURN
>-A LOGIT -p tcp -m tcp --dport 80 -j RETURN
>-A LOGIT -p tcp -m tcp --dport 443 -j RETURN
>-A LOGIT -p tcp -m state --state NEW,INVALID -m limit --limit 1/m
>-j LOG
>
># log denied packets
>#-A INPUT -j LOGIT
>-A FORWARD -j LOGIT
># reject denied connection
>-A INPUT -m state --state NEW -j REJECT
>-A FORWARD -m state --state NEW -j REJECT
>
>COMMIT
>
>########################## NAT & MASQUERADING #################################
>
>*nat
>:PREROUTING ACCEPT
>:POSTROUTING ACCEPT
>:OUTPUT ACCEPT
>
># masquerading
># $METACONF#2$ %\b(?:eth|ppp)\d%(inet-if-name)%
>-A POSTROUTING -o eth0 -j MASQUERADE
>
>COMMIT


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от Эдмон (ok) on 28-Сен-06, 00:03 
>со сквидом
>-A INPUT -i eth1 -j ACCEPT
>-A POSTROUTING -o eth0 -j MASQUERADE

Судя по всему, пользователи могут ломиться в аську и Казаа как через прокси-сервер, так и напрямую. Следовательно, закрывать надо в обоих местах.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от ZoolK email(ok) on 28-Сен-06, 12:23 
>Стоит линукс RH со сквидом на сервере. В iptables прописаны разрешения, господа
>знающие,
>подскажите пож. как закрыть асю и казаа. Имеется следующее
>
>*filter
>:INPUT DROP
>:FORWARD DROP
>:OUTPUT ACCEPT
>
>#--------------------------- GENERIC RULES ------------------------------------
>
>
># allow any established connection
>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

вот это правило и разрешает форвардить пакеты и ICQ в наружу
его нужно чуток усложнить (IMHO).

-A FORWARD -m state --state ESTABLISHED,RELATED --dport !5190 -j ACCEPT

типа разрешить форвард кроме как на один из портов, они разные:) у ИСКу
ну и у сквида запретить обработку а то юзер может поставить в асе использовать прокси.
Это я как вариант предложил из твоих правил - попробуй.
Но суть, в том что ты разрешаеш форвардить все пакеты из локалки а нужно их чуток фильтровать:).

>COMMIT
>
>########################## NAT & MASQUERADING #################################
>
>*nat
>:PREROUTING ACCEPT
>:POSTROUTING ACCEPT
>:OUTPUT ACCEPT
>
># masquerading
># $METACONF#2$ %\b(?:eth|ppp)\d%(inet-if-name)%
>-A POSTROUTING -o eth0 -j MASQUERADE
>
>COMMIT


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от Golub Mikhail on 28-Сен-06, 12:40 
>># allow any established connection
>>-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>>-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
>вот это правило и разрешает форвардить пакеты и ICQ в наружу
>его нужно чуток усложнить (IMHO).
>
>-A FORWARD -m state --state ESTABLISHED,RELATED --dport !5190 -j ACCEPT
>
>типа разрешить форвард кроме как на один из портов, они разные:) у
>ИСКу

Аська работает по всем портам ...
И по 22 тоже :)
Меняет юзер порт ручками на 22-й - и вперед, с песней :)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от ZoolK email(ok) on 28-Сен-06, 12:45 

>
>Аська работает по всем портам ...
>И по 22 тоже :)
>Меняет юзер порт ручками на 22-й - и вперед, с песней :)
>

знаем. это как вариант. можно аналогично дест-ип закрыть

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от germes1973 (ok) on 28-Сен-06, 19:06 
Поробовал, та же история почта отваливается, а ася ходит. Как же это решить?
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от Serjant (??) on 28-Сен-06, 13:00 
>подскажите пож. как закрыть асю и казаа.

Создать  список адресов и запретить к ним доступ ;)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от Den (??) on 28-Сен-06, 13:15 
>>подскажите пож. как закрыть асю и казаа.
>
>Создать  список адресов и запретить к ним доступ ;)


Все не закроешь, можно когото попросить сделать форвард пакетов и повесить этот сервис на 80 порту, и я посмотрю как ты будешь банить если у тебя пользователей >100.

Посмотри в сторону L7 patches for iptables, в нем есть модуль kaaza, ослик  и тд

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "Закрыть ICQ и Kazaa в iptables"  
Сообщение от Serjant (??) on 28-Сен-06, 17:06 
>Все не закроешь, можно когото попросить сделать форвард пакетов и повесить этот сервис на 80 порту, и я посмотрю как ты будешь банить если у тебя пользователей >100.
Да это уже не юзеры тогда, а хакеры или админы :) И с ними тока жёсткими мерами нужно бороться - поймал штраф или месяц без интернета.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру