Trzepak.pl


Nowy temat  Odpowiedz w temacie
Autor Wiadomość
Post: pt, 20 lip 2018 14:05:16 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 20 lip 2018 13:55:50
Posty: 4
Witam
Czy w czasach Web-2.0 mogę w sieci lan dla konktretnego IP zablokować strony www i przepuścić kilka? (regułki iptables czy innym programem?)


Na górę
Post: pt, 20 lip 2018 19:26:04 
Odpowiedz z cytatem
Offline
Moderator
Moderator
Awatar użytkownika

Rejestracja: czw, 30 maja 2013 20:58:37
Posty: 3066
Lokalizacja: Wrocław
Spróbuj https://www.howtoforge.com/how-to-set-u ... -centos5.1


Na górę
Post: sob, 21 lip 2018 8:21:52 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 20 lip 2018 13:55:50
Posty: 4
A dlaczego nie chce mi zadziałać regułka na blokadę w iptables. Oczywiście wp.pl to tylko przykład.

#!/bin/sh

# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
iptables -t mangle -F
iptables -t mangle -X

# Blokada przed atakiem DOS Teardrop
iptables -A INPUT -p UDP -f -j DROP
# Blokada przed atakiem DOS Jolt
iptables -A INPUT -p ICMP -f -j DROP
# Ochrona przed atakami typu Smurf
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Wlaczamy ochrone przed komunikacja ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlacza logowanie dziwnych pakietow (spoofed. source routed. redirects)
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
# Nie akceptujemy datagramu IP z opcja "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
# Zabezpieczenie przed powodzia pakietów SYN (ang. Syn-flood)
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Skaner portow Furtive
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# ustawienie domyslnej polityki
iptables -P INPUT DROP #input -strumien wchodzacy; drop-blokada
iptables -P FORWARD DROP #forward -pakiety przechodzace miedzy interfejsami
iptables -P OUTPUT ACCEPT #output -wychodzace pakiety przepuszczamy

# lo - nie wiem czy to potrzebne bo i bez tego tez dziala
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED


# udostepnianie internetu w sieci lokalnej MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT


###############################################################
####################### blokada www dla ip ###############

iptables -A FORWARD -s 192.168.2.61 -p tcp --dport 80 -j DROP
iptables -A FORWARD -s 192.168.2.61 -d http://www.wp.pl -j ACCEPT



# www - 80
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

# https
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

# DHCP - potrzebne jesli chcemy dhcp
iptables -A INPUT -p tcp --dport 67 -j ACCEPT
iptables -A INPUT -p udp --dport 67 -j ACCEPT


################################################################
####################### SQUID #######################

# otwarcie portu 8080
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

# 3128
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT

# squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


Na górę
Post: pt, 27 lip 2018 23:07:10 
Odpowiedz z cytatem
Offline
Obsesyjny prozaik
Obsesyjny prozaik

Rejestracja: ndz, 27 lip 2014 13:37:16
Posty: 1269
Na początek - bez "http" w regulach......
Dwa - używasz squida? W dzisiejszych czasach? Przydaje się tylko w bardzo specyficznych przypadkach


Na górę
Post: wt, 31 lip 2018 10:49:42 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 20 lip 2018 13:55:50
Posty: 4
Ok, bez "http" też próbowałem a squid działał jak nie było za dużo stron po https.
Wróćmy do pytania które zadałem na początku.


Na górę
Post: śr, 01 sie 2018 23:50:29 
Odpowiedz z cytatem
Offline
Czytelnik
Czytelnik

Rejestracja: pn, 10 cze 2013 9:00:41
Posty: 116
Lokalizacja: Rzeszów / Warszawa
Żeby blokować https, musiałbyś rozszywać ruch na firewallu... ewentualnie możesz po prostu DNS-em dla konkretnych domen ustawić 127.0.0.1 i pozamiatane ;)
WP nie zadziała właśnie przez https - ma ustawioną politykę STS i przerzucania ruchu na ssl :)


Na górę
Post: czw, 02 sie 2018 1:44:01 
Odpowiedz z cytatem
Offline
Mistrz pióra
Mistrz pióra
Awatar użytkownika

Rejestracja: pn, 12 sty 2009 1:52:04
Posty: 2493
pozatym -A to masz dodanie za kolejnością.
Jak masz match na -dport 80 -j DROP to kolejnej reguły (accept) już żre
Zmień kolejność, albo zamiast -A daj -I - wtedy dodaje na początku łancucha

Jeszcze wszcześniej masz -s 192.168.blelble -j ACCEPT - to w zasadzie wszysztkie następne reguły są w dupe wsadzić

_________________
... gdy pijemy pod banderą Morskich Opowieści


Na górę
Post: czw, 02 sie 2018 8:24:31 
Odpowiedz z cytatem
Offline
Żółtodziób
Żółtodziób

Rejestracja: pt, 20 lip 2018 13:55:50
Posty: 4
Z tego co zrozumiałem to:

#!/bin/sh

# wlaczenie w kernelu forwardowania
echo 1 > /proc/sys/net/ipv4/ip_forward

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
#iptables -t mangle -F
#iptables -t mangle -X

# Blokada przed atakiem DOS Teardrop
iptables -A INPUT -p UDP -f -j DROP
# Blokada przed atakiem DOS Jolt
iptables -A INPUT -p ICMP -f -j DROP
# Ochrona przed atakami typu Smurf
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Wlaczamy ochrone przed komunikacja ICMP error
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Wlacza logowanie dziwnych pakietow (spoofed. source routed. redirects)
echo "1" > /proc/sys/net/ipv4/conf/all/log_martians
# Nie akceptujemy datagramu IP z opcja "source route"
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route
# Zabezpieczenie przed powodzia pakietów SYN (ang. Syn-flood)
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
# Skaner portow Furtive
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Ping of death
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# ustawienie domyslnej polityki
iptables -P INPUT DROP #input -strumien wchodzacy; drop-blokada
iptables -P FORWARD DROP #forward -pakiety przechodzace miedzy interfejsami
iptables -P OUTPUT ACCEPT #output -wychodzace pakiety przepuszczamy

# lo - nie wiem czy to potrzebne bo i bez tego tez dziala
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

# utrzymanie polaczen nawiazanych
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

###############################################################
####################### blokada www dla ip ###############

iptables -A FORWARD -s 192.168.2.61 -p tcp --dport 80 -j DROP
iptables -A FORWARD -s 192.168.2.61 -d http://www.wp.pl -j ACCEPT


# udostepnianie internetu w sieci lokalnej MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE
iptables -A FORWARD -s 192.168.2.0/24 -j ACCEPT


# www - 80
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

# https
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT

# DHCP - potrzebne jesli chcemy dhcp
iptables -A INPUT -p tcp --dport 67 -j ACCEPT
iptables -A INPUT -p udp --dport 67 -j ACCEPT


################################################################
####################### SQUID #######################

# otwarcie portu 8080
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT

# 3128
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 3128 -j ACCEPT

# squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


Na górę
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat  Odpowiedz w temacie


Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
Dzisiaj jest wt, 20 kwie 2021 5:49:34

Strefa czasowa UTC+02:00

Moderatorzy: Administratorzy, Moderatorzy

Nakarm glodne dziecko - wejdz na strone www.Pajacyk.pl


Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
SubSilver2 modified for Trzepak.pl by Colir
Polski pakiet językowy dostarcza phpBB.pl