- Conectividade social
+ Responder ao Tópico
-
Conectividade social
Pessoal tenho um servidor com proxy squid transparente e firewall, já teste várias regras de firewall aqui mesmo do forum e nada da conectividade social funcionar. Já estou sabendo que é necessário a Maquina Virtual Java, não pode estar instalado o privateware e é obrigatorio o I.E.
Aguém pode me ajudar
Portela
-
Re: Conectividade social
Boa Noite, Portela,
Você poderia postar ou mandar por e-mail o seu firewall ? poiis se vc usa o proxy transparente, tem que ter as regras dentro do firewall bem como, a regra para liberar a conectividade.
Eu na empresa consegui resolver o problema da conectividade social, pois, esse programa nao passa pelo squid.
fico no aguardo pela postagem, que eu irei te ajudar
grato
La Valle
-
Re: Conectividade social
#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto
firewall_start(){
# Abre para uma faixa de endereços da rede local
iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/255.255.255.0 -j ACCEPT
######################### PRIMEIRA REGRA ##############################################################
################iptables -A FORWARD -s 192.168.0.0/255.255.255.0 -d cmt.caixa.gov.br -j ACCEPT
####################### SEGUNDA REGRA ################################################################
#REDE=192.168.0.0/255.255.255.0
#CONECT=200.201.174.0/255.255.0.0
# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
#########iptables -A FORWARD -p tcp -s $REDE -d $CONECT --dport 80 -j ACCEPT
#########iptables -A FORWARD -p tcp -d $REDE -s $CONECT --dport 80 -j ACCEPT
# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
#########iptables -A FORWARD -p tcp -s $REDE -d $CONECT --dport 2631 -j ACCEPT
#########iptables -A FORWARD -p tcp -d $REDE -s $CONECT --dport 2631 -j ACCEPT
# EXCLUE IP DA CX. FEDERAL DO PROXY
#########iptables -t nat -A PREROUTING -p tcp -i eth0 -s $REDE -d $CONECT --dport 80 -j RETURN
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
# Bloqueia programas P2P
#iMesh
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
#BearShare
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#ToadNode
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#WinMX
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
#Napigator
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
#Morpheus
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
#KaZaA
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A INPUT -m string --string "X-Kazaa" -j DROP
#Limewire
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#Audiogalaxy
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
/etc/skel-fix/firewall-msg
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
-
Re: Conectividade social
Boa Noite.
Vc ira fazer o seguinte.
1) cancelar a seguinte parte
# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 80 (IDA/ VOLTA)
#########iptables -A FORWARD -p tcp -s $REDE -d $CONECT --dport 80 -j ACCEPT
#########iptables -A FORWARD -p tcp -d $REDE -s $CONECT --dport 80 -j ACCEPT
# LIBERA TRÁFEGO DA LAN PARA CX. FEDERAL NA PORTA 2631 (IDA/ VOLTA)
#########iptables -A FORWARD -p tcp -s $REDE -d $CONECT --dport 2631 -j ACCEPT
#########iptables -A FORWARD -p tcp -d $REDE -s $CONECT --dport 2631 -j ACCEPT
# EXCLUE IP DA CX. FEDERAL DO PROXY
#########iptables -t nat -A PREROUTING -p tcp -i eth0 -s $REDE -d $CONECT --dport 80 -j RETURN
e altere por essa
## PROXY TRANSPARENTE ##
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
## ## LIBERACAO PARA CONECTIVIDADE SOCIAL ##
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
no meu caso a eth1 é 192.168.0.1 que e a placa de rede do meu servidor DEBIAN ok???
espero ter te ajudado.
qualquer coisa e so me chamar
abraçõs
La Valle
-
Re: Conectividade social
LaValle,
Parabéns pela ajuda ao rapaz. Agora se você é mesmo Engenheiro de Rede deve pelo menos escrever a função corretamente né?!
-
Re: Conectividade social
Caro Portela....
tente fazer isso....
e acerte para seus ip's.
#####Conectividade Social da Caixa#####
#Liberando entrada de pacotes vindos da caixa
$IPTABLES -A INPUT -p all -s 200.201.174.207 -j ACCEPT
#Liberando saídas diretas para os ip's da caixa
$IPTABLES -t nat -A PREROUTING -p tcp -d ! 200.201.174.0/24 --dport 80 -j
REDIRECT --to-ports 3128
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d 200.201.173.68 -j
MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d 200.201.174.204 -j
MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d 200.201.166.200 -j
MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -d 200.201.174.207 -j
MASQUERADE
echo -en "Firewall: Conectividade Social da Caixa"
varok
*****
esse sim deve ajudar-lhe.
e me diga se deu certo.
falow.........
Josnei Leal
Suporte avançado à Unix
-
Re: Conectividade social
Caros amigos da Coimunidade.
não tem necessidade de colocar os IP´S da caixa nas regras dentro do firewall.
e so colocar as seguintes regras que ja resolve. que sao elas.:
## PROXY TRANSPARENTE ##
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
## ## LIBERACAO PARA CONECTIVIDADE SOCIAL ##
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
abraços a todos
La Valle
-
Re: Conectividade social
Amigos nenhuma das duas dicas funcionaram, o conectividade social só estar funcionando aqui se for pela conexão via telefone.
Aguardo
-
Re: Conectividade social
Caro,
Eu uso essa regra:
$IPT -t nat -A PREROUTING -p tcp -d 200.201.173.68 --dport 80 -j DNAT --to 200.201.173.68:80
$IPT -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.173.68/32 --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -d 200.201.166.200 --dport 80 -j DNAT --to 200.201.166.200:80
$IPT -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.166.200/32 --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp -d 200.201.174.207 --dport 80 -j DNAT --to 200.201.174.207:80
$IPT -I FORWARD -p tcp -s 0.0.0.0/0 -d 200.201.174.207/32 --dport 80 -j ACCEPT
$IPT -I FORWARD -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT
$IPT -I OUTPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT
$IPT -I INPUT -p all -s 200.201.174.0/24 -d 0.0.0.0/0 -j ACCEPT
IPT=/sbin/iptables
Falou,
-
Re: Conectividade social
-
Re: Conectividade social
Boa Noite Pessoal.
e o seguinte, vou escrever passo a passo e vou colocar o firewall atual de todas as regras que eu estou usando no momento, que esta funcionando o conectividade social, receitanet e tb o TED (SINTEGRA), esse último estava dando trabalho, mas foi resolvido.
1) Squid - Proxy Transparente (quem quiser eu passo a configuração necessaria para fazer o proxy transparente.
O proxy transparente tem que estar configurado para o funcionamento.
2) Firewall - segue abaixo as regras que eu coloquei.
#! /bin/bash
iptables=/sbin/iptables
## LIMPA OS IPTABLES ##
iptables -F
iptables -t nat -F
## CARREGA OS MODULOS DOS IPTABLES ##
modprobe ip_tables
modprobe iptable_nat
## FECHA OS MODULOS DOS IPTABLES ##
## ATIVA ROTEAMENTO VIA KERNEL ##
echo 1 > /proc/sys/net/ipv4/ip_forward
## COMPARTILHANDO O ACESSO A INTERNET ##
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
## LIBERA A PORTA 22 SSH ##
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
## ACEITA NA REDE O IP INTERNO E EXTERNO ##
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.255.255.0 -j ACCEPT
## FIM DE PROTOCOLOS ACEITOS NA REDE INTERNA ##
## SOCKETES VALIDOS ##
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
## PROXY TRANSPARENTE ##
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
* importante , referente ao Proxy Transparente
## LIBERACAO PARA CONECTIVIDADE SOCIAL ##
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
### REGRAS PARA RECEITANET ###
iptables -A FORWARD -p tcp --dport 8017 -i eth0 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3456 -i eth0 -d 0/0 -j ACCEPT
## REGRA PARA O TED - SINTEGRA ##
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.199.34.27 --dport 8017 -j REDIRECT --to-port 3128
## FECHA TUDO ##
iptables -A FORWARD -p icmp -j DROP
Eis aqui amigos da comunidade, este e o meu firewall que utilizo atualmente, estou ja preparando um outro firewall mais seguro.
Referente a configuração do squid para trabalhar como proxy transparente, quem quiser saber como funciona me avise que irei explicar sem problemas nenhum.
abraços a todos
La Valle
-
Re: Conectividade social
La Valle, coloquei seu firewall no lugar do meu e continuou sem funcionar.
Portela
-
Re: Conectividade social
Portela,
Entao você tem algum problema ai de rede ou configuração.
Sem Mais,
-
Re: Conectividade social
Ola Portela,
como o nosso amigo falou, vc deve estar com algum problema na sua rede.
Eu posso ate saber aonde estar ocorrendo o erro.
1) Configuração do seu squid
2) Configuração do seu firewall sendo.: Regras dos iptables, com mascaramento e compartilhamento.
Faz o seguinte, me passa as informações que eu te ajudo.
abraços
La Valle
* Preciso tb saber como vc configurou a sua estação de trabalho do ambiente de rede.
se puder, mande a imagem das informações do seu ambiente de rede.
-
Re: Conectividade social
La Valle ae vai o meu script do squid e do firewall:
# /etc/squid.conf
# Este é o principal arquivo de configuração do Squid.
# Esta versão incluída no Kurumin inclui apenas as opções mais usadas,
# comentadas de forma a facilitar a configuração. Se quiser ver o arquivo
# original incluído no pacote, leia o arquivo /etc/squid.conf.debian
# Comentários por Carlos E. Morimoto
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 250 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 10 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2000 16 64
cache_access_log /var/log/squid/access.log
visible_hostname carnaubanet
ftp_user [email protected]
refresh_pattern ^ftp: 100 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 100 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access deny proibidos
acl redelocal src 192.168.0.0/24
http_access allow redelocal
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
FIREWALL:
#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto
firewall_start(){
# Abre para uma faixa de endereços da rede local
iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
# Bloqueia programas P2P
#iMesh
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
#BearShare
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#ToadNode
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#WinMX
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
#Napigator
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
#Morpheus
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
#KaZaA
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A INPUT -m string --string "X-Kazaa" -j DROP
#Limewire
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#Audiogalaxy
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
/etc/skel-fix/firewall-msg
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac
-
Re: Conectividade social
Caro Portela, Boa Noite
Vamos fazer o seguinte.
faça backup do seu squid.conf e do seu firewall. ok???
e segue os seguintes passos.:
1) desisntalar o squid
2) apagar o seu firewall
3) INSTALAR O SQUID via apt-get
4) criar o firewall *
Como vc esta usando se nao me engano a distribuição Kurumin, que e baseado no DEBIAN ficará ate mais facil.
apos vc fazer esse procedimentos, me chame pelo msn mesmo, que eu irei te auxiliar dirieitinho. acredito que no squid.conf esta tendo algumas regras "estranhas'. ok????
esse e o meu conselho, vamos fazer de novo, e eu te ajudo sem problema nenhum,
Ja aconteceu várias vezes problemas que esta ocorrendo com vc, nao se preocupe que a gente resolve.
abraços
la valle