Ar Bridge, Bloqueo de puertos UDP  [INACTIVE]

Foro dedicado a Argento QoS, Argento Bridge y HDB.

Ar Bridge, Bloqueo de puertos UDP

Mensagempor renatoto » Ter Out 25, 2011 3:17 pm

Amigos.
Estuve buscando como bloquear puertos UDP y al no encontrarlo cree la siguiente regla.
Por fa quiero preguntar si es correcta la siguiente modificación realizada

| EDITAR BLOQUEO PUERTOS Y PROTOCOLOS ]
Código: Selecionar todos
#
#block_port_mac xx:xx:xx:xx:xx
#block_l7_ip worldofwarcraft 10.10.55.2
#block_l7_mac ares xx:xx:xx:xx:xx
#
block_l7 ares
block_l7 imesh
block_l7 gnutella
block_l7 edonkey
block_l7 directconnect
block_l7 bittorrent
block_port 135
block_port 136
block_port 137
block_port 138
block_port 139
block_port 445
block_port 1900
###puertos UDP####
block_port_udp 1900
block_port_udp 137
block_port_udp 138
block_port_udp 139
block_port_udp 445


en el archivo block agregue lo siguiente.(entrar por Win SCP)

Código: Selecionar todos
block_port() {
   
   port="$1"
   COMMAND="ebtables -A FORWARD -p ipv4 --ip-destination-port $port --ip-protocol TCP -j DROP" #--log-level info --log-ip --log-prefix EBFW
   echo "Bloqueando Puerto: $port"
   $COMMAND
   
}

#Agregado por renatoto#
block_port_udp() {
   
   port="$1"
   COMMAND="ebtables -A FORWARD -p ipv4 --ip-destination-port $port --ip-protocol UDP -j DROP" #--log-level info --log-ip --log-prefix EBFW
   echo "Bloqueando Puerto: $port"
   $COMMAND
   
}

block_port_ip() {
   
   ip="$2"
   port="$1"
   COMMAND="ebtables -A FORWARD -p ipv4 --ip-source $ip --ip-destination-port $port --ip-protocol TCP -j DROP" # --log-level info --log-ip --log-prefix EBFW
   echo "Bloqueando Puerto: $port para la ip: $ip"
   $COMMAND
   
}

block_port_mac() {

   mac="$2"
   port="$1"
   COMMAND="ebtables -A FORWARD -p ipv4 -s $mac --ip-destination-port $port --ip-protocol TCP -j DROP" # --log-level info --log-ip --log-prefix EBFW
   echo "Bloqueando Puerto: $port para la mac: $mac"
   $COMMAND
   
}


block_l7() {
   # $1= protocolo L7

   COMMAND1="iptables -t mangle -A POSTROUTING -m layer7 --l7proto $1 -j LOG --log-level info --log-prefix BLOCK_P2P"
   COMMAND2="iptables -t mangle -A POSTROUTING -m layer7 --l7proto $1 -j DROP"
   echo "Bloqueando protocolo $1 "
#   $COMMAND1
   $COMMAND2
}

permit_l7_ip() {
   ip="$2"
   COMMAND1="iptables -t mangle -A POSTROUTING -s $2 -m layer7 --l7proto $1 -j ACCEPT"
   echo "Permitiendo protocolo $1 para la ip: $ip"
   $COMMAND1

}

block_l7_ip() {
   # $1= protocolo L7
   ip="$2"
   COMMAND1="iptables -t mangle -A POSTROUTING -s $ip -m layer7 --l7proto $1 -j LOG --log-level info --log-prefix BLOCK_P2P"
   COMMAND2="iptables -t mangle -A POSTROUTING -s $ip -m layer7 --l7proto $1 -j DROP"
   echo "Bloqueando protocolo $1 para la ip: $ip"
   $COMMAND1
   $COMMAND2

}

block_l7_mac() {
   # $1= protocolo L7
   mac="$2"
   COMMAND1="iptables -t mangle -A POSTROUTING --match mac --mac-source $mac -m layer7 --l7proto $1 -j LOG --log-level info --log-prefix BLOCK_P2P"
   COMMAND2="iptables -t mangle -A POSTROUTING --match mac --mac-source $mac -m layer7 --l7proto $1 -j DROP"
   echo "Bloqueando protocolo $1 para la mac: $mac"
   $COMMAND1
   $COMMAND2
}



| Ver tabla de ebtables]
Código: Selecionar todos
Bridge table: filter

Bridge chain: INPUT, entries: 0, policy: ACCEPT

Bridge chain: FORWARD, entries: 297, policy: DROP
-p IPv4 --ip-proto tcp --ip-dport 135 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 136 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 137 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 138 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 139 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 445 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 1900 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto udp --ip-dport 1900 -j DROP , pcnt = 187 -- bcnt = 54727
-p IPv4 --ip-proto udp --ip-dport 137 -j DROP , pcnt = 360 -- bcnt = 28386
-p IPv4 --ip-proto udp --ip-dport 138 -j DROP , pcnt = 57 -- bcnt = 12430
-p IPv4 --ip-proto udp --ip-dport 139 -j DROP , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto udp --ip-dport 445 -j DROP , pcnt = 0 -- bcnt = 0
-p ARP -j ACCEPT , pcnt = 1099 -- bcnt = 50554
-p IPv4 --ip-proto udp --ip-dport 67 -j ACCEPT , pcnt = 19 -- bcnt = 6302
-p IPv4 --ip-proto udp --ip-dport 68 -j ACCEPT , pcnt = 17 -- bcnt = 5576
-p IPv4 --ip-proto udp --ip-dport 53 -j ACCEPT , pcnt = 1106 -- bcnt = 71534
-p IPv4 --ip-proto tcp --ip-dport 53 -j ACCEPT , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 80 -j ACCEPT , pcnt = 53621 -- bcnt = 15392157
-p IPv4 --ip-proto udp --ip-dport 80 -j ACCEPT , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto tcp --ip-dport 99 -j ACCEPT , pcnt = 0 -- bcnt = 0
-p IPv4 --ip-proto udp --ip-dport 99 -j ACCEPT , pcnt = 0 -- bcnt = 0


segun puedo entener por lo que se lee, esta bloqueando los puerto UDP agregados.

gracias por sus respuestas.

saludos
Renatoto
Avatar do usuário
renatoto
BFW Participative
 
Mensagens: 213
Registrado em: Seg Out 26, 2009 4:18 pm
Localização: Perú
BrazilFW Box: Srv 1 C2D 2.8Ghz, ram 4gb, hd 160gb
Srv 2 (Backup y administrativo) Dual Core 1.8ghz ram 2gb hd 500gb.
Vmware 7.1 con 2 ARQOS, 1 BFW 3.0.252 load balance, ARBR 2.0E

Re: Ar Bridge, Bloqueo de puertos UDP

Mensagempor renatoto » Dom Nov 13, 2011 8:28 pm

Amigos.

Debo comentar que despues de agregar los cambios y analizando la tabla de ebtables, el bridge bloquea correctamente los puertos UDP.
dancing

Espero sea de utilidad.

saludos
Renatoto
Avatar do usuário
renatoto
BFW Participative
 
Mensagens: 213
Registrado em: Seg Out 26, 2009 4:18 pm
Localização: Perú
BrazilFW Box: Srv 1 C2D 2.8Ghz, ram 4gb, hd 160gb
Srv 2 (Backup y administrativo) Dual Core 1.8ghz ram 2gb hd 500gb.
Vmware 7.1 con 2 ARQOS, 1 BFW 3.0.252 load balance, ARBR 2.0E


Voltar para Serie de add-ons Argento

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 1 visitante

cron