BFW Firewall & Router

[Daniel - RJ]

Senhores,

Minha rede interna esta da seguinte forma :

10.105.241.1 até 126.

Como faço pra bloquear o acesso dos IP'S 70 ate 126 pelo webadmin.

é muito trabalhoso e fica pesado eu criar uma regra para cada IP.

Tem como fazer isso, restringindo do ip 70 até o 125.

Esse bloqueio e para que os donos dos ip's acima nao acessem a porta 80.

Grato.

Daniel

[Marcos Do Vale]

Daniel:

/etc/rc.d/rc.local
iptables –t nat –N block
iptables –t nat –A PREROUTING –j block
iptables –t nat –A block –s 10.105.241.1-10.105.241.125 –i eth0 –p tcp –dport 80 –j DROP
iptables –t nat –A PREROUTING –s 192.168.0.0/24 –i eth0 –p tcp –dport 80 –j ACCEPT

[Claudio Roberto Cussuol]

Pelo webadmin:
O Marcos Do Valeu deu a pista:
Tente colocar isso:
10.105.241.70-10.105.241.126
no campo source adress da regra.

[Daniel - RJ]

Fiz, mas deu o erro abaixo.

Alguma outra dica ?

Grato.

Configuring firewall rules...
iptables v1.2.9: host/network `10.105.241.61-10.105.241.125' not found Try `iptables -h' or 'iptables --help' for more information. Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...

[carlos-rj]

Eu tambem tenho esse problema.

Carlos

[Claudio Roberto Cussuol]

O coyote não reconhece uma lista de ips desta forma:
10.105.241.61-10.105.241.125'

Será necessário bloquear usando uma mascara de subrede tipo 10.105.241.61/28 (isso é só um exemplo)

Ou simplesmente criar uma regra destas para cada ip.

[Daniel - RJ]

entao como faço para bloquear os IP's do 61 até o 125 ?

usando o WEBADMIN.

Nao entendi como funciona a regra acima.

Grato.

Daniel

[Marcos Do Vale]

"O coyote não reconhece uma lista de ips desta forma:
10.105.241.61-10.105.241.125' "
O Claudio está certo ... peço desculpas ....

"Nao entendi como funciona a regra acima."
Vamos tentar de novo ...

/etc/rc.d/rc.local
iptables –t nat –N block #Cria uma chain de nome "block"
iptables –t nat –A PREROUTING –j block #Adiciona a nova chain como 'alvo' da chain PREROUTING na tabela nat
iptables –t nat –A block –s numero.do.ip.a.ser.bloqueado1 –i eth0 –p tcp –dport 80 –j DROP #Bloqueia o ip1 de navegar
iptables –t nat –A block –s numero.do.ip.a.ser.bloqueado2 –i eth0 –p tcp –dport 80 –j DROP #Bloqueia o ip2 de navegar
iptables –t nat –A PREROUTING –s 192.168.0.0/24 –i eth0 –p tcp –dport 80 –j ACCEPT #Liberar a navegação para o resto

"é muito trabalhoso e fica pesado eu criar uma regra para cada IP"
É possível criar um script shell ... bom trabalho. :-)

Obs.: Se onde está DROP for colocado ACCEPT e vice-versa a regra funciona ao contrário, ou seja, só ira permitir a navegação para determinado ip.
Nota: Foi testado e funciona ...

Marcos

[Daniel - RJ]

Marcos,

Desculpe, sou meio cabeçudo..... mas aonde coloco isso no webadmin ?

Eu preciso bloquear acesso(PORT80) aos IP's do numero 62 ate o 125 usando o webadmin.

hOJE já tenho bloqueado ( configurado ) no webadmin os IP's 06 até o 18, só que é uma regra para cada IP. preciso bloquear agora os numero 62 ate 125, visto que alguns espertinhos mudam o IP da maquina para poderem navegar.

Grato.

Daniel - RJ

ip's => 10.105.241.62 ate 10.105.241.125

[Marcus Vinicius - BR]

Daniel,

Para evitar q o usuario mude o ip, tente habilitar o DHCP server do CL com reserva de ip, o q é isso, reservar ip é atribuir um certo ip para uma maquina apartir do endereço fisico (MAC) localizado na NIC chamado MAC Adress, conforme as maquinas pegam o ip da faixa q vc criou no DHCP vc vai reservando aquele ip para jah atribuido para os determinados MAC das maquinas, isso diminui o risco do usuario alterar o ip... sugiro q vc coloque politicas de segurança nas maquinas do tipo esconder certas configurações do painel de controle do windows....