Покажи Публикации - Twain
* Виж публикациите на потр. | Виж темите на потр. | Виж прикачените файлове на потр
Страници: [1]
1  Сигурност / Системна Сигурност / Блокиране на facebook -: May 24, 2012, 16:28
Код
GeSHi (Bash):
  1. echo block facebook
  2. echo rule 5
  3. iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 443 -j DROP
  4. iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 443 -j DROP
  5. iptables -I FORWARD -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 443 -j DROP
  6. iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.144.0-66.220.159.255 --dport 80 -j DROP
  7. iptables -I FORWARD -p tcp -m iprange --dst-range 69.63.176.0-69.63.191.255 --dport 80 -j DROP
  8. iptables -I FORWARD -p tcp -m iprange --dst-range 204.15.20.0-204.15.23.255 --dport 80 -j DROP
  9.  
  10. iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.158.0-66.220.158.255 --dport 80 -j DROP
  11. iptables -I FORWARD -p tcp -m iprange --dst-range 69.171.247.0-69.171.247.255 --dport 80 -j DROP
  12. iptables -I FORWARD -p tcp -m iprange --dst-range 66.220.158.0-66.220.158.255 --dport 443 -j DROP
  13. iptables -I FORWARD -p tcp -m iprange --dst-range 69.171.247.0-69.171.247.255 --dport 443 -j DROP


Ако някой има готов скрипт за блокиране на други подобни, моля ;) да поства тук


Цитат
Oops! Google Chrome could not connect to http://www.facebook.com
Try reloading: www.­facebook.­com
Additional suggestions:
Access a cached copy of www.­facebook.­com
Search on Google:
2  Linux секция за начинаещи / Настройка на програми / Re: iptables + ddwrt -: May 17, 2012, 22:57
Бихте ли ми помогнали за следния скрипт: Iptables и параноична настройка на firewall

В момента това са правилата, по-долу. Искам пак да има PREROUTING и да може да ползвам торент + web и само аз да влизам remote (port 22) в рутера, да не може отвън.

*raw
:PREROUTING ACCEPT [7407:2539485]
:OUTPUT ACCEPT [4582:1964890]
COMMIT
# Completed on Thu Jan  1 00:12:00 1970
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:12:00 1970
*nat
:PREROUTING ACCEPT [753:121755]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [1:71]
-A PREROUTING -d 30.04.191.6 -p icmp -j DNAT --to-destination 194.168.1.1
-A PREROUTING -d 30.04.191.6 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A POSTROUTING -o eth1 -j SNAT --to-source 30.04.191.6
-A POSTROUTING -o br0 -m pkttype --pkt-type broadcast -j RETURN
-A POSTROUTING -s 194.168.1.0/255.255.255.0 -d 194.168.1.0/255.255.255.0 -o br0 -j MASQUERADE
COMMIT
# Completed on Thu Jan  1 00:12:00 1970
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:12:00 1970
*mangle
:PREROUTING ACCEPT [7264:2517283]
:INPUT ACCEPT [4615:453915]
:FORWARD ACCEPT [2778:2083934]
:OUTPUT ACCEPT [4591:1965162]
:POSTROUTING ACCEPT [7375:4051048]
COMMIT
# Completed on Thu Jan  1 00:12:00 1970
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:12:00 1970
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4600:1966230]
:advgrp_1 - [0:0]
:advgrp_10 - [0:0]
:advgrp_2 - [0:0]
:advgrp_3 - [0:0]
:advgrp_4 - [0:0]
:advgrp_5 - [0:0]
:advgrp_6 - [0:0]
:advgrp_7 - [0:0]
:advgrp_8 - [0:0]
:advgrp_9 - [0:0]
:grp_1 - [0:0]
:grp_10 - [0:0]
:grp_2 - [0:0]
:grp_3 - [0:0]
:grp_4 - [0:0]
:grp_5 - [0:0]
:grp_6 - [0:0]
:grp_7 - [0:0]
:grp_8 - [0:0]
:grp_9 - [0:0]
:lan2wan - [0:0]
:logaccept - [0:0]
:logdrop - [0:0]
:logreject - [0:0]
:trigger_out - [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i eth1 -p udp -m udp --dport 520 -j DROP
-A INPUT -i br0 -p udp -m udp --dport 520 -j DROP
-A INPUT -p udp -m udp --dport 520 -j ACCEPT
-A INPUT -p ipv6 -j ACCEPT
-A INPUT -i eth1 -p icmp -j DROP
-A INPUT -p igmp -j DROP
-A INPUT -i eth1 -p udp -m udp --dport 5060 -j ACCEPT
-A INPUT -i lo -m state --state NEW -j ACCEPT
-A INPUT -i br0 -m state --state NEW -j logaccept
-A INPUT -j DROP
-A FORWARD -i br0 -o br0 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
-A FORWARD -i br0 -o eth1 -p tcp -m tcp -m webstr --webstr 8 -j REJECT --reject-with tcp-reset
-A FORWARD -j lan2wan
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -o eth1 -p tcp -m tcp --dport 1723 -j DROP
-A FORWARD -o eth1 -p udp -m udp --dport 1701 -j DROP
-A FORWARD -o eth1 -p udp -m udp --dport 500 -j DROP
-A FORWARD -i eth1 -o br0 -j TRIGGER --trigger-proto --trigger-match 0-0 --trigger-relate 0-0
-A FORWARD -i br0 -j trigger_out
-A FORWARD -i br0 -m state --state NEW -j ACCEPT
-A FORWARD -j DROP
-A logaccept -j ACCEPT
-A logdrop -j DROP
-A logreject -p tcp -m tcp -j REJECT --reject-with tcp-reset
COMMIT
# Completed on Thu Jan  1 00:12:00 1970


Това, какво е?
-A POSTROUTING -o br0 -m pkttype --pkt-type broadcast -j RETURN
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p udp -m udp --dport 520 -j ACCEPT
3  Linux секция за начинаещи / Настройка на програми / Re: iptables + ddwrt -: Apr 23, 2012, 18:36
Цитат на: Neo2SHYAlien в Apr 22, 2012, 23:19
Първо dd-wrt не ползва aapche ;) Второ в gui-то има част за стартиращи скриптове както и за допълнителни правила в iptables, по добре там ги направи нещата вместо да мажеш с неща които не са ти съвсем ясни



допълнителни правила в iptables...  Може ли да бъдеш по-конкретен?
4  Linux секция за начинаещи / Настройка на програми / Re: iptables + ddwrt -: Apr 22, 2012, 23:10
Цитат на: Neo2SHYAlien в Apr 22, 2012, 19:58
смени -j DENY с -j DROP
iptables targets

Като добавя правилата не мога да рестартирам iptables. Незнам как.
Aко рестартирам операционата система се зарежда default правилата, които незнам къде са и не мога да ги променя освен през web интерфейса, който е доста ограничен спрямо възможностите на linux. Макар, че съпоставен с другите "firmwares" на рутери за по 50 лева има много повече настройки.
5  Linux секция за начинаещи / Настройка на програми / Re: iptables + ddwrt -: Apr 22, 2012, 22:47
Това с командите върши работа, но искам да правя промените през ssh. Даже мисля да спря apache ;)
Освен това целта на цялото занятие, да се направи автоматичен инсталиращ скрипт, така че да се ползва и от други хора. После ще го постна във форума и на ddwrt.

До къде стигнах

1. Първо правя скрпита в usb-то
Код
GeSHi (Bash):
  1. /mnt/sda_part1/bin/iptables-save > /mnt/sda_part1/etc/firewall.conf

2. Направих S02iptables стартиращ скрипт

Код
GeSHi (Bash):
  1. vi /tmp/mnt/sda_part1/etc/init.d/vi S02iptables

add next two line in S02iptables
Код
GeSHi (Bash):
  1. #!/bin/sh /etc/rc.common
  2. iptables-restore < /mnt/sda_part1/etc/firewall.conf

Код
GeSHi (Bash):
  1. chmod +x /tmp/mnt/sda_part1/etc/init.d/S02iptables

3. Сега трябва с cron да го стартирам да се изпълнява, след рестарт. Нещо обаче не се получава
6  Linux секция за начинаещи / Настройка на програми / iptables + ddwrt -: Apr 22, 2012, 17:39
защо не мога да блокирам порт 17668 ? Ето какво правя и не става.

логвам се като root

1. Монтирам си usb на /mnt/sda_part1/
2. Инсталирам optware в usb-то (това са допълнителни команди към linux dd-wrt)
3. После правя commit командата, защото с commit не става
Код:
ln -s /tmp/mnt/sda_part1/usr/sbin/iptables /mnt/sda_part1/bin/iptables-save

4. За всеки случей и това
Код:
export PATH=/bin:/usr/bin:/sbin:/usr/sbin:/mnt/sda_part1/sbin:/mnt/sda_part1/bin:/mnt/sda_part1/usr/sbin:/mnt/sda_part1/usr/bin:/jffs/sbin:/jffs/bin:/jffs/usr/sbin:/jffs/usr/bin:/mmc/sbin:/mmc/bin:/mmc/usr/sbin:/mmc/usr/bin:/opt/sbin:/opt/bin:/opt/usr/sbin:/opt/usr/bin

5. тук добавя правилата и рестартирам

Код:

iptables -A OUTPUT -p all --dport 17668 -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY
iptables -A INPUT -p all --dport 17668 -s 0.0.0.0/0 -d 0.0.0.0/0 -j DENY

/mnt/sda_part1/bin/iptables-save

iptables -L -n -v -x

reboot

пак си работи този порт и през него минава трафик и т.н.



root@B:~# /mnt/sda_part1/bin/iptables-save
# Generated by iptables-save v1.3.7 on Thu Jan  1 00:25:16 1970
Страници: [1]