Forums:
Hola muchachos buenas tardes, saben estoy con un dilema que hasta ahora no lo puedo solucionar. El problema es que tengo un script para el Proxy transparente y todo me va de maravillas, actualmente estoy administrando 220 equipos en una universidad
Entonces lo que quiero hacer es bloquear el Ares. Por ahí me dijieron que no se podia bloquear cuando estas haciendo NAT para el Proxy transparente no se si es cierto?
Bueno este es mi script que tengo: pero igual siguen bajando musica con el Ares….
/sbin/iptables -A FORWARD -s 10.0.0.2 -i eth1 -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.2 -i eth1 -p tcp --dport 443 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p tcp --dport 1863 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p udp --dport 1863 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p tcp --dport 143 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p udp --dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p udp --dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth1 -p udp --dport 143 -j ACCEPT
###DROP###
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth0 -p tcp --dport 1:65535 -j DROP
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth0 -p udp --dport 1:65535 -j DROP
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth0 -p tcp --dport 10000 -j DROP
/sbin/iptables -A FORWARD -s 10.0.0.0/24 -i eth0 -p tcp --dport 1723 -j DROP
eth0: 192.168.1.90=========Red Externa Internet
eth1: 10.0.0.40============Red Interna Lan
Distro CentOS 4.4
Si lo puedes hacer
Yo tenia el mismo problema, yo tengo un firewall con shorewall y desvio todo el tráfico http (puerto 80... entre otros) por el proxi squid haciendo proxi transparente. Hasta ahí todo bien, pero no podia bloquear los programas p2p. El problema es que tenia un falla en la configuración de mi firewall. Bueno la soluci{on es que cierres toda la salida de tu red interna hacia el internet, con eso bloqueas todas las conexiones p2p, el tráfico de internet lo envías por el proxi y vas habilitando la salida de tu red interna hacia el internet abriendo los puertos que vayas necesitando a los ip que lo necesiten.
!!!Aguante el Open Source!!!!!
SAludos
JOse
Aguante el Open Source!!!!
SAludos
JOse
En otras palabras....
Crea como política OUTPUT en tu firewall que dropee todo lo que vaya de la intranet hacia el internet (esto bloqueará todo, incluso los p2p), haces un forward de todo el tráfico http al puerto de tu proxi. Segun vayas necesitando abrir puertos para servicios como ftp, ssh, los habres en tu firewall.
SAludos
JOse
Aguante el Open Source!!!!
SAludos
JOse
bloquear ares
saludos jose, soy nuevo en este foro y novato en linux, estoy leyendo sobre este problema del ares, emule, etc y tengo el mismo problema. te comento tengo centos 4.4 uso firewall+proxy cache con iptables y squid. Yo uso:
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
Y voy cerrando lo que no necesito. Dime como hago para cerrar los puertos de ares, emule y kazaa. Tu dices que ponga:
iptables -P OUTPUT DROP
Pero con eso basta, o debo hacer algo mas. Otra pregunta no es mejor con squid?? gracias por tu ayuda soy de Lima Perú.
Pedro C.
Cita: Otra pregunta no es
[quote]
Otra pregunta no es mejor con squid??
[/quote]
No, squid es un proxy HTTP básicamente, si implementas proxy transparente, lo que controlas en la navegación en HTTP y nada más, nada que ver con los protocolos p2p, para eso de ley bloquear con reglas de iptables o usar QoS...
bye
:)
ya no creo q le sirva a nadie pero
La regla q debes poner en el firewall debes bloquear los puertos de ares desde el 10000 hasta el 65535 y tu actualmente estas bloqueando el 10000 y el 65535.
Saludos,
--
Ing. Juan Carlos Moreno A.
Un poquito tarde la
Un poquito tarde la respuesta, el post original es del 2006 ;)
Si alguien tiene el mismo
Si alguien tiene el mismo problema natea los puertos que necesties ejemplo:
#ftp
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 20 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 21 -j MASQUERADE
#dns
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 53 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p udp -m udp --dport 53 -j MASQUERADE
#ssh
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 22 -j MASQUERADE
#smtp
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 25 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p udp -m udp --dport 67 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p udp -m udp --dport 68 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 80 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p udp -m udp --dport 80 -j MASQUERADE
#paginas-seguras-https
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 143 -j MASQUERADE
#pop3
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 110 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 443 -j MASQUERADE
#hotmail-messenger
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 1863 -j MASQUERADE
#yahoo-msessenger
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 5050 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 5001 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 500 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p udp -m udp --dport 500 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 5100 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p udp -m udp --dport 5100 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p tcp -m tcp --dport 6891:6899 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -p udp -m udp --dport 6891:6899 -j MASQUERADE
NO NATEES COMO NORMALMENTE SE HACE
Vamos Ecuador, si se puede
yo logre bloquear lso p2p con ipcop
hola que tal a los que tienen problemas con los p2p y en especial con el ares pue sles cuento que yo logre bloquear el ares y cualquier otro p2p como emule.bearshare, bittorrent.limewire etec , etc , ok todo esto lo hice con el ipcop con el addon blockoutrafic que cuando lo habilitas por defecto te cierra todos los puertos y pues tienes que ir habriendo uno por uno los puertos necesarios veran yo lo tengo trabjando como tres meses y el ares y ningun otro p2p logra conectarse , lo que tienen que hacer simplemente aceptar los puertos (800squid) (domain 53) ,(https443). y (1863 msn)
todo esto lo hice con el blockouttrafic