Versão Imprimível
Galera pelo amor de Deus, preciso de ajuda, sou novato aqui, essa é minha primeira mensagem.
Vou postar aqui a mesma pergunta que acabei e postar no clube do hardware.
Instalei o squid aqui na empresa e ta rodando direitinho a INTERNET, configurei as maquinas (win98 e XP) com ip fixo e com configuração de proxy manual.
A pergunta é a seguinte....
COMO EU FAÇO PARA O OUTLOOK FUNCIONAR ? NÃO TÁ BAIXNADO NENHUM E-MAIL !!!
obs. A porta do squid é a 80...
atenciosamente
angkor
Vc tem algum firewall ?? pois geralmente a porta que o outlook vai usar é a 110(pop3) ou 143(imap) .
Tenho o iptables, quais os comandos para resolver isso ?Citação:
Postado originalmente por smvda
o outloko usa as portas 110 pop3 e 25 smtp
mas acho que naum eh com o squid, e sim com firewall
mas e ai posso simplesmente abrir as portas ?Citação:
Postado originalmente por evandro_mr
iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT ?
angkor
email e squid ñ tem nada a ver um com o outro.
o squid trabalha com http e ftp. com smtp ou pop não.
então se vc ñ tá conseguindo trabalha com emails é pq sua máquina servidora ñ tá fazendo nat. ative um nat ai que vai funfa td na boa.
Nao sai abrindo as portas assim nao... tenta as seguintes regas.Citação:
Postado originalmente por angkor
iptables -P OUTPUT ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state NEW -i *INTERFACE_INTERNA* -j ACCEPT
iptables -A FORWARD -i *INTERFACE_EXTERNA* -o *INTERFACE_INTERNA* -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i *INTERFACE_EXTERNA* -o *INTERFACE_EXTERNA* -j ACCEPT
iptables -t nat -A POSTROUTING -o *INTERFACE_EXTERNA* -j MASQUERADE
*INTERFACE_INTERNA* = a sua interface de rede interna (eth0, eth1, etc)
*INTERFACE_EXTERNA* = a sua interface de rede EXTERNA
Esta regras acima vao liberar as devidas portas quando os usuarios pedirem, ou seja, quando um outlook tentar verificar, pegar, mandar um e-mail.
[] Dotta :twisted:
Caro,
Caso você tenha o IPTABLES instalado, e deseja apenas mascarar as portas de smtp e pop.
Código :
Esse seria um exemplo, caso deseja mais informações acesse o link abaixo:
http://www.linuxit.com.br/section-viewarticle-630.html
Falou,
Coloquei essas de firewall e mesmo assim não consegui baixar e-mail pelo outlook express, o que tá de errado ?
Todos navegamos normalmente, mas os e-mails ....
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -s 0/0 -p tcp --sport 25 -j ACCEPT
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
Echo "0" > /proc/sys/net/ipv4/conf/ppp0/accept_source_route
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80:80 -j DNAT --to-dest 192.168.0.100
iptables -A FORWARD -p tcp -i eth1 --dport 80:80 -d 192.168.0.100 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80:80 -j DNAT --to-dest 192.168.0.100
iptables -A FORWARD -p udp -i eth1 --dport 80:80 -d 192.168.0.100 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
Sera que tem alguma regra fora de sequencia ?
Ajudem ai!!!
angkor
Coloque a seguinte regra que acho que resolve.
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -j MASQUERADE
VEJA SE ISSO AJUDA... Fiz algumas alterações para seu caso, agora tente adaptar...
#!/bin/bash
IPT='/usr/sbin/iptables'
MODPROBE='/sbin/modprobe'
LOCAL=IP DO SERVIDOR
DNSONE=IP DNS MASTER
DNSTWO=IP DNS SLAVE
## CARREGANDO MODULOS
$MODPROBE ip_tables
$MODPROBE iptable_filter
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ipt_LOG
$MODPROBE ipt_state
$MODPROBE ipt_MASQUERADE
## DANDO FLUSHING NO FIREWALL, ZERANDO TUDO E DROPANDO TUDO, EXCETO OUTPUT
$IPT -F
$IPT -Z
$IPT -X
$IPT -t nat -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
## HABILITANDO ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
## LIBERANDO INPUT PARA INTERFACE LOOPBACK
$IPT -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$IPT -A INPUT -p ALL -s $LOCAL -i lo -j ACCEPT
## LIBERANDO AS RESPOSTAS DOS DNS PARA O FIREWALL
$IPT -A INPUT -p udp -s $DNSONE --sport 53 -d $LOCAL -j ACCEPT
$IPT -A INPUT -p udp -s $DNSTWO --sport 53 -d $LOCAL -j ACCEPT
$IPT -A INPUT -p udp -s $LOCAL --sport 53 -d $LOCAL -j ACCEPT
## NADA DE PACOTE FRAGMENTADO NO FIREWALL
$IPT -A INPUT -i eth0 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
$IPT -A INPUT -i eth0 -f -j DROP
## REGRAS DE PING
$IPT -A INPUT -p icmp --icmp-type 8 -i eth0 -j DROP
$IPT -A INPUT -p icmp --icmp-type 0 -j DROP
$IPT -A INPUT -p icmp -s $FIREWALL -d $LOCAL -j ACCEPT
## LIBERANDO ALGUMAS PORTAS
$IPT -A INPUT -p TCP -s 0/0 --dport 80 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 443 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
$IPT -A INPUT -p udp -s 0/0 --dport 53 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 143 -j ACCEPT
## DESCARTANDO PACOTES INVALIDOS
$IPT -A FORWARD -m state --state INVALID -j DROP
## ACEITA CONEXOES ESTABILIZADAS
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
## PARA OUTLOOK FUNCIONAR, LIBERA A RESPOSTA E O ACESSO AOS RESOLVEDORES DE NOME
$IPT -A FORWARD -p udp -s 0/0 -d $DNSONE --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s 0/0 -d $DNSTWO --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s 0/0 -d $LOCAL --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s $DNSONE --sport 53 -d 0/0 -j ACCEPT
$IPT -A FORWARD -p udp -s $DNSTWO --sport 53 -d 0/0 -j ACCEPT
$IPT -A FORWARD -p udp -s $LOCAL --sport 53 -d 0/0 -j ACCEPT
## DROPANDO TUDO E GRAVANDO
$IPT -A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "
$IPT -A FORWARD -j DROP
Nossa cara muito loko !!!, valeu !!!
Como vc deve ter percebido eu não manjo miuto ded firewall, ou melhor, não manjo nada.
Essas adaptações que fiz estão corretas ?
Será desse jeito que eu vou roda-lo...
/*********************************************************/
#!/bin/bash
IPT='/usr/sbin/iptables'
MODPROBE='/sbin/modprobe'
LOCAL=MEU IP DE INTERNET OU IP DO PROXY ???
DNSONE=200.183.43.1
DNSTWO=200.183.43.4
## CARREGANDO MODULOS
$MODPROBE ip_tables
$MODPROBE iptable_filter
$MODPROBE ip_conntrack
$MODPROBE ip_conntrack_ftp
$MODPROBE iptable_nat
$MODPROBE ip_nat_ftp
$MODPROBE ipt_LOG
$MODPROBE ipt_state
$MODPROBE ipt_MASQUERADE
## DANDO FLUSHING NO FIREWALL, ZERANDO TUDO E DROPANDO TUDO, EXCETO OUTPUT
$IPT -F
$IPT -Z
$IPT -X
$IPT -t nat -F
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT
## HABILITANDO ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
## LIBERANDO INPUT PARA INTERFACE LOOPBACK
$IPT -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
$IPT -A INPUT -p ALL -s $LOCAL -i lo -j ACCEPT
## LIBERANDO AS RESPOSTAS DOS DNS PARA O FIREWALL
$IPT -A INPUT -p udp -s $DNSONE --sport 53 -d $LOCAL -j ACCEPT
$IPT -A INPUT -p udp -s $DNSTWO --sport 53 -d $LOCAL -j ACCEPT
$IPT -A INPUT -p udp -s $LOCAL --sport 53 -d $LOCAL -j ACCEPT
## NADA DE PACOTE FRAGMENTADO NO FIREWALL
$IPT -A INPUT -i eth0 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
$IPT -A INPUT -i eth0 -f -j DROP
## REGRAS DE PING
$IPT -A INPUT -p icmp --icmp-type 8 -i eth0 -j DROP
$IPT -A INPUT -p icmp --icmp-type 0 -j DROP
$IPT -A INPUT -p icmp -s $FIREWALL -d $LOCAL -j ACCEPT
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
## Desabilita suporte a souce routed packets, este recurso funciona como
## um NAT ao contradio, que em certas circunstacias pode permitir que
## alguem de fora envie pacotes para micros dentro da rede local.
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/ppp0/accept_source_route
## Protecao contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Protecoes diversas contra potscaners, ping of death, ataques Dos, etc...
$IPT -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
$IPT -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
$IPT -A FORWARD -m unclean -j DROP
$IPT -A INPUT -m state --state INVALID -j DROP
$IPT -N VALID_CHECK
$IPT -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPT -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPT -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
$IPT -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
$IPT -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
$IPT -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
$IPT -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
## LIBERANDO ALGUMAS PORTAS
$IPT -A INPUT -p TCP -s 0/0 --dport 80 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 443 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 25 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 110 -j ACCEPT
$IPT -A INPUT -p udp -s 0/0 --dport 53 -j ACCEPT
$IPT -A INPUT -p TCP -s 0/0 --dport 143 -j ACCEPT
$IPT -A INPUT -p TCP --destination-port 22 -j ACCEPT
## DESCARTANDO PACOTES INVALIDOS
$IPT -A FORWARD -m state --state INVALID -j DROP
## Abre para uma faixa de enderecos da rede local
$IPT -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
## Libera squid para rede interna
$IPT -A INPUT -s 192.168.0.0/255.255.255.0 -p tcp --dport 3128 -j ACCEPT
# Proxy transparente
$IPT -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
## ACEITA CONEXOES ESTABILIZADAS
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
## PARA OUTLOOK FUNCIONAR, LIBERA A RESPOSTA E O ACESSO AOS RESOLVEDORES DE NOME
$IPT -A FORWARD -p udp -s 0/0 -d $DNSONE --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s 0/0 -d $DNSTWO --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s 0/0 -d $LOCAL --dport 53 -j ACCEPT
$IPT -A FORWARD -p udp -s $DNSONE --sport 53 -d 0/0 -j ACCEPT
$IPT -A FORWARD -p udp -s $DNSTWO --sport 53 -d 0/0 -j ACCEPT
$IPT -A FORWARD -p udp -s $LOCAL --sport 53 -d 0/0 -j ACCEPT
## DROPANDO TUDO E GRAVANDO
$IPT -A FORWARD -j LOG --log-prefix "Pacote FORWARD descartado: "
$IPT -A FORWARD -j DROP
/******************************************************/
alguem conhece algum software para modo texto na qual eu monitore o consumo de manda na minha rede ?
To querendo pegar um engraçadinho aqui que ta usando muito a internet.
Atenciosamente
angkor
para monitoracao acredito que vc pode combinar o iptables com awk e uma ferramenta chanada rddtool... eu acho q tem um artigo aki no under sobre isso.
[] Dotta :twisted:
Alguem ai sabe como faço pra parar o "worm" de nome COD RED no iptables não ta fazendo efeito nenhum mas seria bom c eu pudesse para-lo antes de chegar nas maquinas rwindows...
Pro software para monitorar a sua rede, eu recomendo o iptraf. Quanto ao worm... dá uma olhada no site da Symantec que ele tem as especificações de que portas o worm utiliza, daí só bloqueia por IPTables.
Abraços!
Cara desculpe a ignorancia, mas, qual ip vai nessa variavel? " LOCAL=IP DO SERVIDOR " Meu ip de internet? Meu IP da rede ou o IP do proxy ?Citação:
Postado originalmente por frikasoide
Cara pelo script o LOCAL é o seu ip da internet ok :)
[] Dotta :twisted:
Valew cara !!!
Atenciosamente
angkor
Pessoal, qual porta tenho que fechar para bloquear o msn ?
Se é que tenho que bloquear porta !!! E qual regra eu uso para liberar esse mesmo serviço para dois IPS diferentes ?
Atenciosamente
angkor
Caro,
Leia esse artigo: http://www.linuxit.com.br/section-viewarticle-631.html
Falou,
Valeu cara, mais uma vez obrigado...
atenciosamente
angkor
Pessoal, aconteceu algo muito estranho, meu Debian estava rodando belezinha redondinho como proxy, Eu uma besta quadrada não tinha nada o que fazer, fui para o proxy e resolvi fazer atualizações,
# apt-get update
# apt-get upgrade
# apt-get dist-upgrade
observação fiz isso depois de ter alterado meu sources.list para unstable. Resultado começou a dar problema atras de problema a ponto de eu ter que tirar este servidor do ar.
Resolvi então colocar Slackware 10 para fazer este trabalho, meu problema agora é:
Baixei e instalei o squid e agora não sei como faço para inicializa-lo no boot e não sei se quando eu fazer isso ele vai funcionar. Pq em outras distribuições quando se instala o squid ele automagicamente cria um usuario squid e no slackware isso não aconteceu.
Sera que alguem pode me ajudar ?
As perguntas são: Instalei o squid.
Como faço para coloca-lo na inicialização ?
Preciso criar um usuário squid ?
Se não for preciso criar este usuário, ele vai rodar como root ?
E se alguem tiver algum tutorial ou artigo que me de mais informações tbm será ótimo.
Atenciosamente
Reginaldo