Bloqueio de todos os sites / endereço IP, mas Google.se com iptables

0

Estou tentando bloquear todos os IPs, mas o Google.se. Não funciona (o site não exibe)

Aqui está o que eu escrevi:

#/bin/sh
echo "Flushing IPTables..."
sleep 1
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
echo "Done!"

echo "Setting Firewall..."
sleep 1
iptables -A INPUT -p tcp -m iprange --src-range 0.0.0.0-255.255.255.255 -j DROP
iptables -A OUTPUT -p tcp -m iprange --src-range 0.0.0.0-255.255.255.255 -j DROP

iptables -A FORWARD -i wlan0 -d www.google.se -p tcp --dport 80 --sport 1024:65355   -j ACCEPT
echo "Done!"

Obrigado.

    
por Marcus N 13.07.2013 / 04:08

1 resposta

2

Eu posso ver alguns problemas com o seu firewall, principalmente você parece estar deixando cair coisas na entrada e saída, mas ignorando o encaminhamento. Assim, tudo na máquina local será bloqueado, mas nada nas máquinas atrás do firewall.

Você não sabia se estava querendo bloquear o tráfego que entrava / saía do dispositivo em que as regras do firewall estão sendo executadas ou se está querendo bloquear algo por trás do firewall. Da mesma forma, você não informou se deseja bloquear o tráfego de entrada ou de saída (ou terá o mesmo efeito aparente durante a navegação na Web, mas implicações de segurança diferentes)

Se você estiver querendo bloquear os itens sendo encaminhados (como está implícito na última linha do script), e não estiver preocupado com o acesso da caixa real fazendo o firewall (e os padrões estão definidos como ACCEPT conforme seu exemplo ):

iptables -A FORWARD -j DROP
iptables -I FORWARD -i wlan0 -d www.google.se -p tcp --dport 80 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Deve funcionar, desde que os clientes usem um servidor DNS local e consigam resolver www.google.se - E IMPORTANTE (mas provavelmente uma suposição inválida). O servidor de nomes sempre resolve www.google.se para o mesmo endereço IP .

A primeira linha diz "Se o tráfego está passando por essa caixa e eu não sei sobre isso, não permita o tráfego passar". A segunda linha, que é inserida (por isso, leia antes da linha acima) diz que permite solicitações de saída para www.google.se A terceira linha diz "Se fizermos uma conexão com sucesso ao IP, podemos permitir que ele fale conosco".

    
por 13.07.2013 / 05:36