Versão Imprimível
Pessoal estou com o seguinte problema:
Estou usando o Conectiva 8.0 com iptables no FIrewall, com proxy
Squid com autenticação, sendo assim o site da CEF no item de Conectivade Social, nao entra pois tem que ser feita uma regra de firewall. Não envia o arquivo tbm, a CEF falou que não pode passar pelo proxy :twisted: :twisted:
Como deixar em proxy transparente e fazer que funcione o Site.
Obrigado
Paulo
Fala Paulo, blz...
Resolvi esse problema, mascarando a porta 80 da rede interna, com destino aos IP's
200.201.174.202 até o 200.201.174.209
iptables -t nat -I POSTROUTING -s 192.168.0.1/255.255.255.0 -d 200.201.174.202 -p tcp --dport 80 -j MASQUERADE
* OBS - Faça regra por regra colocando os ips, tentei fazer 1 só com a range de ip's, mas não funcionou...
( )'s
Beto
:lol:
Obrigado pela ajuda..sou iniciante em firewall...mais algumas duvidas esse IP interno que vc colocou é da maquina que acessa o conectividade social ou é o ip da rede??? Mais uma coisa....na estação ela continua acessando a internet pelo proxy ou vc tirou as configurações do proxy no IE????
Obrigado!!!
8O
Tbm estou com o mesmo problema!!!!!Essas regras são confusas!!!!
Daniel
Ermãos, vejam o que postei nesse link:
https://under-linux.org/modules.php?...=12277&forum=1
8O
Saudações amigos estou prestes a perder o emprego essa bosta do programa da cef!!! Não sei pq a caixa quer ficar usando a porta 80 para coisas que não são http....me salvem!!!
Flavio
Libera o acesso direto na porta 80 dos servidores da caixa e ta blz...
Sabe como fazer isso? Se for em iptables tem um post com um link que explica como, senão, manda ae teu firewall que a gente da um jeito.
.o)
]['s
ChrZ
Eu to usando um firewall que o Marcio publicou ai na Underlinux!!!!! Me ajudem!!!! Isso se o infeliz do meu chefe não me mandar embora antes!!
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_state
/sbin/modprobe ipt_MASQUERADE
Beleza, carregados os módulos, vamos dar um "flushing" no firewall, para não termos problemas do tipo: Porque quando eu tiro o proxy do navegador ele continua a utilizar a internet?"...
/usr/sbin/iptables -F
/usr/sbin/iptables -Z
/usr/sbin/iptables -X
/usr/sbin/iptables -t nat -F
/usr/sbin/iptables -P INPUT DROP
/usr/sbin/iptables -P FORWARD DROP
/usr/sbin/iptables -P OUTPUT ACCEPT
Detalhes relevantes: nunca se esqueça de dar um flushing na tabela nat também, e pessoal, pensa bem, você tem que liberar o que É NECESSÁRIO, e não tudo, por isso o Policy padrão de input e do forward é DROP, porque se não ta nas regras, ou você esqueceu ou não é para estar liberado! Isso evita acidentes "comuns".
Habilitando roteamento e demais cositas...
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
No meu firewal nada de scan...
INPUT
Vamos liberar o INPUT para a interface de loopback, que só vai ser usada pelo servidor, mas com origem de qualquer ip, para não ter perigo de não manipular alguns pacotes:
/usr/sbin/iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
/usr/sbin/iptables -A INPUT -p ALL -s 10.0.0.1 -i lo -j ACCEPT
/usr/sbin/iptables -A INPUT -p ALL -s 200.xxx.xxx.xxx -i lo -j ACCEPT
Agora uma regra que eu procuro colocar no começo, que na minha opinião melhora um "pouco" a performance do firewall já que a leitura das regras para os pacotes é linear. Ela diz que toda conexão estabilizada ou relacionada com o meu firewall deve ser mantida e não analizada pelas proximas regras:
/usr/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Libera as respostas dos DNS para meu firewall
/usr/sbin/iptables -A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.xxx.xxx.xxx -j ACCEPT
/usr/sbin/iptables -A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.xxx.xxx.xxx -j ACCEPT
Nada de pacote fragmentado no meu firewall! Se temos um programa criando pacotes despadronizados ou uma tentativa de ataque, o problema não é meu!
/usr/sbin/iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
/usr/sbin/iptables -A INPUT -i eth1 -f -j DROP
(Não esquecendo de logar o pacote fragmentado para descobrir oquê ele é).
Evitando Spoofing:
/usr/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
/usr/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
/usr/sbin/iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
/usr/sbin/iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
/usr/sbin/iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
Obs: as mascaras estão corretas.
Regras para ping, aqui varia muito de admin para admin, eu só libero resposta de ping de outros ips, ping para minha rede interna e ping do servidor da minha empresa para o firewall do cliente, como ta na ultima linha:
/usr/sbin/iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
/usr/sbin/iptables -A INPUT -p icmp -s 200.20x.xxx.xxx -d 200.xxx.xxx.xxx -j ACCEPT
Libero o acesso as squid para minha rede interna:
/usr/sbin/iptables -A INPUT -p TCP -i eth0 -s 10.0.0.0/8 --dport 3128 -j ACCEPT
Libero o acesso ao ssh:
/usr/sbin/iptables -A INPUT -p TCP --dport 22 -j ACCEPT
Libera resposta de servidores www para meu squid:
/usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT
/usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT
/usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 20 -j ACCEPT
/usr/sbin/iptables -A INPUT -p UDP -i eth1 --sport 21 -j ACCEPT
Ora de mandar embora as porcarias, agora que ta tudo que eu preciso liberado:
/usr/sbin/iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
/usr/sbin/iptables -A INPUT -j LOG --log-prefix "Pacote input descartado: "
/usr/sbin/iptables -A INPUT -j DROP
Não esqueça de sempre logar o que você descarta, pois pode ser uma tentativa de ataque ou uma porta que deve ser liberada para um programa funcionar!
FORWARD
Já começamos com barra pesada no forward, descartando os pacotes inválidos, coisa que no ipchains deixa os admins de firewall loucos:
/usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
Aceita as conexões estabilizada e recionadas com outras feitas nos pcs da minha rede interna:
/usr/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
Opa, aqui está um dos segredos para o outlook funcionar, uma coisa que ninguém faz e todo mundo reclama que o teu outlook não funciona, é liberar a resposta e o acesso aos resolvedores de nome, para que o outlook transforme o nome que ele possui no servoidor smtp e pop em um ip:
/usr/sbin/iptables -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.10 --dport 53 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.138 --dport 53 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 10.0.0.0/8 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 10.0.0.0/8 -j ACCEPT
Feito isso, vamos liberar para a minha rede interna as portas que o outlook vai utilizar para acessar os servidores externos:
/usr/sbin/iptables -A FORWARD -p TCP -s 10.0.0.0/8 --dport 25 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p TCP -s 10.0.0.0/8 --dport 110 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
/usr/sbin/iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
Pronto, o nosso objetivo do outlook funcionar está OK! Agora vamos dropar o resto, nunca se esquecendo de logar isso:
/usr/sbin/iptables -A FORWARD -j LOG --log-prefix "Pacote forward descartado: "
/usr/sbin/iptables -A FORWARD -j DROP
No caso da rede que eu fiz isso, eram poucos pcs, uns 30, então em masquerei a conexão mesmo, mas nada te impede de usar SNAT:
/usr/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
Acrescenta essas regras abaixo no final do seu script:
iptables -I FORWARD -p tcp --dport 80 -s 10.0.0.0/8 -d 200.201.174.202 -j ACCEPT
Repita essa regra para todos os ips da faixa necessaria (202 a 209)
No internet explorer coloca os ips 200.201.174.202-209 na lista de excessoes...
O gateway da estação que vai usar o programa da caixa tem que ser o firewall .
(Voce colou toda a regra?)
Ok, ja coloquei!! as regras no final do script.....Estarei testando!!!
Muito Obrigado!!!! Caso tenho problema será que tem como vc conectar aqui para ver???Não querendo abusar!!!!
????Tem como vc conectar???? te passo a senha do root por e-mail
Não sou muito fã disso, mas pode mandar ver... ([email protected])
]['s
ChrZ
P.S: Prometo nao roubar informacoes preciosas e fugir do pais..
=oP