[AJUDA] Bloqueando sub-redes por script ou linha de comando
-
Boa tarde,
Estou querendo mudar o meu firewall, atualmente uso CentOS com iptables, e utilizo um shell script que é imprescindível funcionar no pfsense:
# carrega modulos necessarios modprobe ip_tables modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_conntrack_ftp modprobe ip_conntrack iptables -F iptables -X iptables -Z #limpa as regras de nat na memoria se tiver iptables -t nat -F iptables -t nat -X iptables -t nat -Z #limpa as mangle iptables -t mangle -F iptables -t mangle -X iptables -t mangle -Z S=$(mysql -h 200.xxx.xxx.xxx -u rede -p -e "select * from xxe_lab" xxe) # a procura retornou algum registro ?! [ "$S" ] || { echo "Registro não encontrado";exit; } # colocar um TAB como IFS IFS="$(echo -e '\t')" # Apagamos a primeira linha, pois ela contém o nome dos campos S=$(echo "$S" | sed '1d') echo "$S" | while read id_lab descricao_lab ip_inicio_lab ip_fim_lab drop_lab;do if [ $drop_lab = '1' ];then for ((i=$ip_inicio_lab; i <= $ip_fim_lab; i++)) do # echo "$i xxx" iptables -A FORWARD -d 10.80.2.$i -s 200.xxx.xxx.xxx/24 -j ACCEPT iptables -A FORWARD -s 10.80.2.$i -d 200.xxx.xxx.xxx/24 -j ACCEPT iptables -A FORWARD -d 10.80.2.$i -s 10.80.1.134 -j ACCEPT iptables -A FORWARD -s 10.80.2.$i -d 10.80.1.134 -j ACCEPT iptables -A FORWARD -d 10.80.2.$i -j DROP iptables -A FORWARD -s 10.80.2.$i -j DROP iptables -A INPUT -p tcp --dport 3128 -s 10.80.2.$i -j DROP done fi done
basicamente ele se conecta em um banco de dados e verifica se a tabela drop_labs está =1 a cada minuto pelo crontab aí ele dropa as conexões dos laboratórios para ninguém navegar.
Eu já instalei o mysql-client no pfsense pra procurar a tabela, porém não achei ainda nenhum comando que se equivale ao iptables. Tentei utilizar o easyrule porém a cada 1 minuto ele fica adicionando as mesmas regras causando um overload e não existe comando para deletar estas regras.Alguém teria alguma idéia para me ajudar a resolver este problema? Obrigado
EDIT1: Talvez usando SQUID?
-
Olá, poderia explicar melhor a necessidade e funcionalidade desse script, pois não entendi bem.
Você tem uma lista de IP que precisa bloquear por determinado tempo ou por horário? -
Boa tarde,
Estou querendo mudar o meu firewall, atualmente uso CentOS com iptables, e utilizo um shell script que é imprescindível funcionar no pfsense:
# carrega modulos necessarios modprobe ip_tables modprobe iptable_nat modprobe ip_nat_ftp modprobe ip_conntrack_ftp modprobe ip_conntrack iptables -F iptables -X iptables -Z #limpa as regras de nat na memoria se tiver iptables -t nat -F iptables -t nat -X iptables -t nat -Z #limpa as mangle iptables -t mangle -F iptables -t mangle -X iptables -t mangle -Z S=$(mysql -h 200.xxx.xxx.xxx -u rede -plaB#08 -e "select * from xxe_lab" xxe) # a procura retornou algum registro ?! [ "$S" ] || { echo "Registro não encontrado";exit; } # colocar um TAB como IFS IFS="$(echo -e '\t')" # Apagamos a primeira linha, pois ela contém o nome dos campos S=$(echo "$S" | sed '1d') echo "$S" | while read id_lab descricao_lab ip_inicio_lab ip_fim_lab drop_lab;do if [ $drop_lab = '1' ];then for ((i=$ip_inicio_lab; i <= $ip_fim_lab; i++)) do # echo "$i xxx" iptables -A FORWARD -d 10.80.2.$i -s 200.xxx.xxx.xxx/24 -j ACCEPT iptables -A FORWARD -s 10.80.2.$i -d 200.xxx.xxx.xxx/24 -j ACCEPT iptables -A FORWARD -d 10.80.2.$i -s 10.80.1.134 -j ACCEPT iptables -A FORWARD -s 10.80.2.$i -d 10.80.1.134 -j ACCEPT iptables -A FORWARD -d 10.80.2.$i -j DROP iptables -A FORWARD -s 10.80.2.$i -j DROP iptables -A INPUT -p tcp --dport 3128 -s 10.80.2.$i -j DROP done fi done
basicamente ele se conecta em um banco de dados e verifica se a tabela drop_labs está =1 a cada minuto pelo crontab aí ele dropa as conexões dos laboratórios para ninguém navegar.
Eu já instalei o mysql-client no pfsense pra procurar a tabela, porém não achei ainda nenhum comando que se equivale ao iptables. Tentei utilizar o easyrule porém a cada 1 minuto ele fica adicionando as mesmas regras causando um overload e não existe comando para deletar estas regras.Alguém teria alguma idéia para me ajudar a resolver este problema? Obrigado
EDIT1: Talvez usando SQUID?
cria o arquivo no /etc/nomedoarquivo
OBS: lembre de iniciar com : #!/usr/local/bin/php -f
chmod +x /etc/nomedoarquivo
instala cron (Packet)
coloca la
*/1
Usuário : root
no comando coloca
/etc/nomedoarquivo -
Olá, poderia explicar melhor a necessidade e funcionalidade desse script, pois não entendi bem.
Você tem uma lista de IP que precisa bloquear por determinado tempo ou por horário?Opa! Então, nós temos dois laboratórios aqui em uma escola, quando o professor precisa bloquear a internet, ele acessa um site e faz o bloqueio por lá, o site por sua vez altera o valor da tabela block_labs=0 para block_labs=1. Então o script faz a consulta nessa tabela a cada 1 minuto. Eu precisaria implementar esse script no pfsense porém sem o iptables.
-
@JuniorAndrade:
cria o arquivo no /etc/nomedoarquivo
OBS: lembre de iniciar com : #!/usr/local/bin/php -f
chmod +x /etc/nomedoarquivo
instala cron (Packet)
coloca la
*/1
Usuário : root
no comando coloca
/etc/nomedoarquivoisso é o que eu uso atuamente. Eu precisaria implementar isso no pfsense, mas ele não tem suporte ao iptables.
-
pfsense usa ipfw da uma pesquisada em como construir suas regras com ele..
-
pfsense usa ipfw da uma pesquisada em como construir suas regras com ele..
Opa Lucas, tentei habilitar o ipfw aqui no rc.conf mas aí ele ignorou todas as regras criadas no GUI. Como faz?
-
pois eh ai vc tem um problema, teoricamente estaria rodando dois firewalls ao mesmo tempo, um no script e um na gui.. nao sei como ele se comporta internamente mais creio que teria que "integrar" as regras.. agora como se faz isso eu nao tenho ideia… talvez interagir com o script ja existente que a gui usa..
-
pois eh ai vc tem um problema, teoricamente estaria rodando dois firewalls ao mesmo tempo, um no script e um na gui.. nao sei como ele se comporta internamente mais creio que teria que "integrar" as regras.. agora como se faz isso eu nao tenho ideia… talvez interagir com o script ja existente que a gui usa..
Lucas estou tentando utilizar o curl para fazer um POST nas regras do firewall, da uma olhada na imagem abaixo:
ao clicar no play na GUI ele desabilita a regra, só que estou tendo alguns problemas na linha de comando:
curl -k -b cookies.txt -c cookies.txt –data 'login=Login&usernamefld=USUARIO&passwordfld=SENHA' --data 'if=lan&act=toggle&id=13' http://xxx.xxx.xxx.xxx:1234/firewall_rules.php
ao aplicar a sintaxe a regra não desabilita na GUI. Você saberia utilizar o curl? eu já desabilitei a proteção CSRF.
-
Depois de 8 horas de muita pesquisa e tentativas cheguei a essa solução:
curl -v -k -b cookies.txt -c cookies.txt –data 'login=Login&usernamefld=USER&passwordfld=PASSWORD' --get 'http://xxx.xxx.xxx.xxx:1234/firewall_rules.php?if=lan' --data-urlencode POST 'http://xxx.xxx.xxx.xxx:1234/firewall_rules.php?if=lan&act=toggle&id=13'
-
Bom, consegui fazer a solução completa…segue:
#!/bin/sh
This script will be executed after all the other init scripts.
You can put your own initialization stuff in here if you don't
want to do the full Sys V style init stuff.
S=$(mysql -h xxx.xxx.xxx.xxx -u rede -psenha -e "select * from xxe_lab" xxe)
a procura retornou algum registro ?!
[ "$S" ] || { echo "Registro nao encontrado";exit; }
colocar um TAB como IFS
IFS="$(echo -e '\t')"
# Apagamos a primeira linha, pois ela contem o nome dos campos
S=$(echo "$S" | sed '1d')
echo "$S"echo "$S" | while read id_lab descricao_lab ip_inicio_lab ip_fim_lab drop_lab;do
#–-------------------------------------------------------------------------------------------------------------------------------------
#se o laboratorio GRANDE estive bloqueado no SGI entao...
if [ $id_lab = '1' ] && [ $drop_lab = '1' ];then#cria um cookie com o login
curl -s -k -c /root/cookies.txt -b /root/cookies.txt –data 'login=Login&usernamefld=admin&passwordfld=pfsense' https://xxx.xxx.xxx.xxx:5050/firewall_rules.php#com a sessao criada aplica a regra 49 da aba LAN
curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --get 'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan' --data-urlencode POST
'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan&act=toggle&id=49'#aplica a regra para funcionamento
#curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --data "apply=aply" https://xxx.xxx.xxx.xxx:5050/firewall_rules.php
/etc/rc.filter_configure#conecta no banco e muda o valor do drop_lab para 3 do lab GRANDE
mysql -h xxx.xxx.xxx.xxx -u rede -psenha -e "update xxe_lab set drop_lab=3 where id_lab=1" xxe#mata as conexoes ativas
pfctl -k 10.80.2.128/26fi
#--------------------------------------------------------------------------------------------------------------------------------
#se o laboratorio PEQUENO estive bloqueado no SGI entao...
if [ $id_lab = '2' ] && [ $drop_lab = '1' ];then#cria um cookie com o login
curl -s -k -c /root/cookies.txt -b /root/cookies.txt –data 'login=Login&usernamefld=admin&passwordfld=pfsense' https://xxx.xxx.xxx.xxx:5050/firewall_rules.php#com a sessao criada aplica a regra 50 da aba LAN
curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --get 'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan' --data-urlencode POST
'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan&act=toggle&id=50'#aplica a regra para funcionamento
#curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --data "apply=aply" https://xxx.xxx.xxx.xxx:5050/firewall_rules.php
/etc/rc.filter_configure#conecta no banco e muda o valor do drop_lab para 3 do lab PEQUENO
mysql -h xxx.xxx.xxx.xxx -u rede -psenha -e "update xxe_lab set drop_lab=3 where id_lab=2" xxe#mata as conexoes ativas
pfctl -k 10.80.2.192/27 | pfctl -k 10.80.2.224/29fi
#---------------------------------------------------------------------------------------------------------------------------------------
#se o laboratorio GRANDE NAO estiver bloqueado no SGI entao...
if [ $id_lab = '1' ] && [ $drop_lab = '0' ];then#cria um cookie com o login
curl -s -k -c /root/cookies.txt -b /root/cookies.txt –data 'login=Login&usernamefld=admin&passwordfld=pfsense' https://xxx.xxx.xxx.xxx:5050/firewall_rules.php#com a sessao criada aplica a regra 49 da aba LAN
curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --get 'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan' --data-urlencode POST
'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan&act=toggle&id=49'#aplica a regra para funcionamento
#curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --data "apply=aply" https://xxx.xxx.xxx.xxx:5050/firewall_rules.php
/etc/rc.filter_configure#conecta no banco e muda o valor do drop_lab para 4 do lab GRANDE
mysql -h xxx.xxx.xxx.xxx -u rede -psenha -e "update xxe_lab set drop_lab=4 where id_lab=1" xxe
fi#---------------------------------------------------------------------------------------------------------------------------------------
#se o laboratorio PEQUENO NAO estiver bloqueado no SGI entao...
if [ $id_lab = '2' ] && [ $drop_lab = '0' ];then#cria um cookie com o login
curl -s -k -c /root/cookies.txt -b /root/cookies.txt –data 'login=Login&usernamefld=admin&passwordfld=pfsense' https://xxx.xxx.xxx.xxx:5050/firewall_rules.php#com a sessao criada aplica a regra 49 da aba LAN
curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --get 'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan' --data-urlencode POST
'https://xxx.xxx.xxx.xxx:5050/firewall_rules.php?if=lan&act=toggle&id=50'#aplica a regra para funcionamento
#curl -s -k -c /root/cookies.txt -b /root/cookies.txt --data 'login=Login&usernamefld=admin&passwordfld=pfsense' --data "apply=aply" https://xxx.xxx.xxx.xxx:5050/firewall_rules.php
/etc/rc.filter_configure#conecta no banco e muda o valor do drop_lab para 4 do lab GRANDE
mysql -h xxx.xxx.xxx.xxx -u rede -psenha -e "update xxe_lab set drop_lab=4 where id_lab=2" xxe
fi#---------------------------------------------------------------------------------------------------------------------------------------
done