Skype e Iptables

Iniciado por djskolman, 31 de Outubro de 2013, 19:26

tópico anterior - próximo tópico

djskolman

Boa Noite pessoal, será que eu alguem pode me ajudar. Estou apanhando um pouco com meu script do Iptables.

Acontece que eu quero bloquear o skype na empresa, mas quero que algum IPs seja liberado.

Hoje no meu script eu tenho uma lista de IPs que saem fora do squid e gostaria que esses mesmo IPs conseguisse usar o skype.

Então fiz algo do tipo:

iptables -N SKYPE
iptables -I FORWARD -m string --algo bm --string "skype.com" -j DROP
#iptables -A FORWARD -p tcp --dport 39856 -j REJECT
iptables -I FORWARD -s $REDE_INTERNA -j SKYPE

        for skp in ${ips[ @ ]} (eu coloque um espaço entre o [ e o @ pro forum não transformar em um simbolo)
        do
        iptables -I SKYPE -s $skp -j ACCEPT
        done

for i in `cat /etc/skype`;do

        iptables -A SKYPE -d $i -j DROP
        iptables -I FORWARD -s $i -j DROP
done

Onde os IPs está listando os ips liberado. Mas não libera. Ta bloqueando todo mundo.

Será que alguém pode me ajudar? Obrigado.

zekkerj

Mude a ordem de suas regras, coloque a regra que bloqueia todos depois do loop onde vc libera alguns.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

djskolman

Ficaria assim?

iptables -N SKYPE

        for skp in ${ips[ @ ]}
        do
        iptables -I SKYPE -s $skp -j ACCEPT
        done

iptables -I FORWARD -m string --algo bm --string "skype.com" -j DROP
iptables -A FORWARD -p tcp --dport 39856 -j REJECT
iptables -I FORWARD -s $REDE_INTERNA -j SKYPE

for i in `cat /etc/skype`;do

        iptables -A SKYPE -d $i -j DROP
        iptables -I FORWARD -s $i -j DROP
done

zekkerj

Sim. Inclusive, acredito que esse segundo loop seja desnecessário, uma vez que vc já bloqueia a string antes.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

djskolman

Como segundo Loop, você quer dizer isso?

for i in `cat /etc/skype`;do

        iptables -A SKYPE -d $i -j DROP
        iptables -I FORWARD -s $i -j DROP
done

Se for, nesse caso, ele restringe uma série de IPs do Skype que está no arquivo /etc/skype.

Será que não é necessario?

djskolman

Citação de: zekkerj online 01 de Novembro de 2013, 15:40
Sim. Inclusive, acredito que esse segundo loop seja desnecessário, uma vez que vc já bloqueia a string antes.

Obrigado pela dica Zekkerj. Eu consegui. Fui na tentativa e erro e acabei conseguindo dessa forma:

iptables -N SKYPE

        for skp in ${ips
  • }
            do
            iptables -I SKYPE -s $skp -j ACCEPT
            done

    iptables -I FORWARD -m string --algo bm --string "skype.com" -j DROP
    iptables -A FORWARD -p tcp --dport 39856 -j REJECT
    iptables -I FORWARD -s $REDE_INTERNA -j SKYPE

    for i in `cat /etc/skype`;do

            iptables -A SKYPE -d $i -j REJECT
    done