upotreba iptables

2

upotreba iptables

offline
  • Pridružio: 26 Jan 2006
  • Poruke: 232

sad cu da gnjavim jos malo posto sam dozvolio da mi idu samo na adresu rutera 192.168.56.1 kako da filtriram korisnike da ne mogu da koriste na internetu na primer torrent?



Registruj se da bi učestvovao u diskusiji. Registrovanim korisnicima se NE prikazuju reklame unutar poruka.
offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

gogi100 ::sad cu da gnjavim jos malo posto sam dozvolio da mi idu samo na adresu rutera 192.168.56.1 kako da filtriram korisnike da ne mogu da koriste na internetu na primer torrent?
to nije moguće (ili recimo , nije lako moguće )
za to se koristi l7 filter na freebsd-u , ali kućni ruteri nemaju dovoljno procesorske snage da
obave ovakve zahtevnije funkcije filtriranja.

(gornji iptables redovi, na primer zahtevaju vrlo malo cpu snage Wink )

Mogao bi da se blokira onaj port, 6881 ali ni on nije konstantan , dok i bez njega
funkcioniše p2p , čak ako su svi portovi blokirani u dolazu.

najbolja opcija je da se isključi UPNP na samom ruteru i da donekle oteža
tim programima posao

Ziveli



offline
  • bocke  Male
  • Moderator foruma
  • Glavni moderator Linux foruma
  • Veliki Pingvin
  • Guru
  • Pridružio: 16 Dec 2005
  • Poruke: 12152
  • Gde živiš: Južni pol

Napisano: 20 Apr 2011 14:00

Morao bi da filtriraš specifični port (ili portove) koje koriste torrent aplikacije. Međutim postoji mogućnost da oni zaobiđu zabranu navođenjem nekog drugog porta (većina torent aplikacija ima ovu opciju). Zato je bolje zabraniti sav saobraćaj jednim pravilom, a zatim dodatnim pravilima dozvoliti saobraćaj samo za protokole ili portove koje želiš da omogućiš.

Ono što je bitno je da se pravila primenjuju po tome kako su navedena. Opcija '-I' postavlja pravilo na vrh liste. Tako ono gore i funkcioniše.

Sa opcijom '-I' pravilo u svakoj sledećoj komandi se postavlja na vrh liste pravila. Tako ovo:
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.56.0/24 -j DROP
iptables -I FORWARD -s 192.168.1.0/24 -d 192.168.56.1 -j ACCEPT


u listi pravila u stvari čini da poslednje ukucana komanda bude na vrhu i prva se izvršava. Kako to logički izgleda?

Ako je paket stigao sa adrese u opsegu 192.168.1.1-192.168.1.254 i destinacija je 192.168.56.1, prihvati paket. Ako nije, pređi na drugo pravilo. Drugo pravilo: Ako je paket stigao sa adrese u opsegu 192.168.1.1-192.168.1.254 i destinacija je u opsegu 192.168.56.1-192.168.56.254, odbaci paket.

Možemo napisati skript koji bi radio ovo što tebi treba, ali bi prvo morali da utvrdimo bar koja vrsta i verzija Linuxa na ruteru i kako su postavljene početne vrednosti firewalla. Pre toga je neophodno da definišeš čemu te mašine moraju imati pristup (file serveri, štampači, web, ftp, ssh, remote desktop, itd) i portove koje ti servisi koriste.

Dopuna: 20 Apr 2011 14:03

FarscapeFan ::to nije moguće (ili recimo , nije lako moguće )

Osim ako se blokiraju svi portovi osim onih neophodnih. Pretpostavljam da je to mali broj portova. Wink

offline
  • Pridružio: 30 Dec 2007
  • Poruke: 4759
  • Gde živiš: Niš

bocke ::


Osim ako se blokiraju svi portovi osim onih neophodnih. Pretpostavljam da je to mali broj portova, tako da mislim da nije nešto posebno procesorski zahtevno. Wink


ali vidi, ti govoriš o tome da se blokiraju i odlazni portovi (u izlazu - output ) Wink
jel tako ?
(dok p2p mislim da mu ne smeta previše ako su svi dolazni portovi blokirani ,
malo je manja brzina skidanja ,ili puno manja )

tako sam jednom blokirao i odlazne portove , i za svaku novu aplikaciju
sam morao da redefinišem , pustim audio online stream -a on neće Embarassed

offline
  • bocke  Male
  • Moderator foruma
  • Glavni moderator Linux foruma
  • Veliki Pingvin
  • Guru
  • Pridružio: 16 Dec 2005
  • Poruke: 12152
  • Gde živiš: Južni pol

Napisano: 20 Apr 2011 14:19

Ja bih to sve stavio na FORWARD lance. Blokiraš sav nepoželjan saobraćaj ka drugom ruteru i miran si.

Dopuna: 20 Apr 2011 14:50

Doduše, moj predlog ima manu. Ne vrši se filtriranje paketa na Layer 7 nivou. Tako da je teorijski moguće proterati nepoželjan application level protokol kroz bilo koji dozvoljeni port, napr: port 80 (www).

Ko je trenutno na forumu
 

Ukupno su 579 korisnika na forumu :: 56 registrovanih, 9 sakrivenih i 514 gosta   ::   [ Administrator ] [ Supermoderator ] [ Moderator ] :: Detaljnije

Najviše korisnika na forumu ikad bilo je 1567 - dana 15 Jul 2016 20:18

Korisnici koji su trenutno na forumu:
Korisnici trenutno na forumu: aca018, amaterSRB, ante mpt, babaroga, babble, Bahuss, Bane san, bbelic, Blue, BSD2, captaingox, Darko Matuško, dekao, deks2, dobri covek, doklevise, Drug pukovnik, dtrivun, Dzoni Stek, filiphr, FOX, gasa97, HrcAk47, Jester, Kaplar, kolateralnasteta, lukikapula, MB120mm, Mikulino, Miroslav.Cvejic, Mlad major, mladja.95, mongolac2, nenad812, NenadG, play4fun, powSrb, ray ban11, Ričard, sakota79, Sale.S, shaja1, slonic_tonic, srdic.vlada, styg, Trpe Grozni, vasa.93, vathra, Viceroy2, Vlada1389, vladom6, Warhawk, Wisdomseeker, yrraf, zlaya011, |_MeD_|