Tag Archives: p2p

BLOQUEO DE P2P CON IPTABLES

Con esto estamos diciendo que en nuestro proxy transparente sólo tendra salida ciertos puertos, como el 80(http), 53(dns), 443(https)..etc, y los demás van a estar bloqueados, como el p2p, que usan los puertos del 1025 a 65535.
Tengamos en cuenta que estamos haciendo uso de un squid transparente, para mas info vea la instalación y configuración de squid en ubuntu
Las siguientes lineas, se guardan en un archivo “proxy_rules.sh” en “/etc/init.d/” :

la LAN es: 192.0.2.0/24 y su puerta de enlace es 192.0.2.1(en la interfaz eth1 del proxy) y su salida a internet es atraves del ip: 192.168.1.191(de la interfaz eth0 del proxy).


LAN="192.0.2.0/24"
PROXY_IP="192.168.1.191"
WAN="eth0"
LAN_I="eth1"

iptables -t nat -A PREROUTING -i $LAN_I -p tcp --dport 80 -j DNAT --to $PROXY_IP:3128
iptables -t nat -A PREROUTING -i $WAN -p tcp --dport 80 -j REDIRECT --to-port 3128
#HTTP
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p tcp --dport 80 -j SNAT --to $PROXY_IP
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p udp --dport 80 -j SNAT --to $PROXY_IP
#DNS
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p udp --dport 53 -j SNAT --to $PROXY_IP
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p tcp --dport 53 -j SNAT --to $PROXY_IP
#SSH
#ICMP
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p icmp -j SNAT --to $PROXY_IP
#HTTPS
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p tcp --dport 443 -j SNAT --to $PROXY_IP
#POP3
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p tcp --dport 995 -j SNAT --to $PROXY_IP
#MSN
iptables -t nat -A POSTROUTING -o $WAN -s $LAN -p tcp --dport 1863 -j SNAT --to $PROXY_IP
#ATAQUES DDOS
iptables -t nat -N SYN-FLOOD
iptables -t nat -A SYN-FLOOD -m limit --limit 12/s --limit-burst 24 -j RETURN
iptables -t nat -A SYN-FLOOD -j DROP
#
iptables -t nat -A PREROUTING -i $WAN -d $PROXY_IP -p tcp --syn -j SYN-FLOOD 
echo 1 > /proc/sys/net/ipv4/ip_forward

Luego le damos permisos de ejecución:

chmod +x proxy_rules.sh

Luego editamos el archivo “/etc/init.d/rc.local” y le agregamos al inicio:

cd /etc/init.d
./proxy_rules.sh

Con esto las reglas iptables se cargan automáticamente cada vez que se reinicie el proxy.

saludos.