Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Ola galera estou com um probleminha com o conectividade social ele não esta logando, eu já tirei todos os DROP que tem em meu firewall mas mesmo assim nada eu olho nos logs do squid mas ele não esta passando pelo proxy, sera que ouvi alguma alteração que eu preciso mudar? se alguem souber de algo que possa me ajudar fico grato vou colocar meu firewall aqui para que vcs possam analizar se é erro meu obg.

    #/bin/bash

    IPT=/usr/sbin/iptables
    PROGRAMA=/bin/firewall
    NET_IFACE=ppp0
    LAN_IFACE=eth0
    MACLIST=/etc/init.d/maclist
    SQUID=3128

    echo 1 > /proc/sys/net/ipv4/ip_forward

    case $1 in
    start)

    $IPT -F
    $IPT -t nat -F
    $IPT -t filter -P FORWARD DROP

    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`

    #Se status = a então eu libera a conexao

    if [ $STATUS = "a" ]; then

    $IPT -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    $IPT -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    $IPT -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    $IPT -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

    ########## BLOQUEIO DE PORTAS DE SEGURANÇA
    #### FILTROS
    # BLOQUEIO DE NETBIOS

    #$IPT -A INPUT -i $NET_IFACE -p udp -dport 137:139 -j DROP
    #$IPT -A INPUT -i $NET_IFACE -p tcp -dport 137:139 -j DROP
    #$IPT -A INPUT -i $NET_IFACE -p udp -dport 445 -j DROP

    # BLOQUEIO DE NETBIOS

    #$IPT -A FORWARD -i $NET_IFACE -p udp -dport 137:139 -j DROP
    #$IPT -A FORWARD -i $NET_IFACE -p tcp -dport 137:139 -j DROP
    #$IPT -A FORWARD -i $NET_IFACE -p udp -dport 445 -j DROP

    # BLOQUIO DO ACESSO EXTERNO AO USO DA PORTA DO PROXY SQUID

    #$IPT -A INPUT -i $NET_IFACE -p tcp -dport $SQUID -j DROP

    # BLOQUEAR O USO DO PROXY EXTERNO

    #$IPT -A INPUT -p tcp -dport $SQUID -j DROP
    #$IPT -A INPUT -p tcp -dport 8080 -j DROP

    ##### REDIRECIONAMENTO RADIO UOL

    $IPT -t nat -I PREROUTING -s $IPSOURCE -m tcp -p tcp -d 200.221.0.0/16 --dport 80 -j ACCEPT

    ###### REDIRECIONAMENTO DE PORTAS PARA O ACESSO EXTERNO

    #### Redirecionando rotas para o acesso externo

    ### DMZ
    #$IPT -t nat -A PREROUTING -i ppp0 -j DNAT --to 10.89.1.252
    ### TERMINAL SERVER
    $IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport 3389 -j DNAT --to 10.89.1.252:3389
    ### PROGRAMA HTS-LEGUS
    $IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport 5000 -j DNAT --to 10.89.1.252:5000
    ### WEB VNC SERVER JAVA
    #$IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport 5800 -j DNAT --to 10.89.1.252:5800


    ##### Conectividade Social

    $IPT -A INPUT -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80:443 -j ACCEPT
    $IPT -A INPUT -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80:443 -j ACCEPT
    $IPT -A INPUT -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80:443 -j ACCEPT
    $IPT -A OUTPUT -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80:443 -j ACCEPT
    $IPT -A OUTPUT -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80:443 -j ACCEPT
    $IPT -A OUTPUT -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80:443 -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80:443 -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80:443 -j ACCEPT
    $IPT -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80:443 -j ACCEPT

    ##### Redireciona o trafego da porta 80 pra porta do squid

    $IPT -t nat -A PREROUTING -s $IPSOURCE -p tcp --dport 80 -j REDIRECT --to-port $SQUID

    # Se for = b então bloqueia o MAC

    else

    $IPT -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    $IPT -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP

    fi
    done

    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    $IPT -F
    $IPT -Z
    $IPT -t nat -F
    $IPT -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    ;;
    restart)
    $PROGRAMA stop
    $PROGRAMA start
    ;;
    esac

  2. Então cara...

    No seu post você disse que o trafego da conectividade social nao passa pelo squid, você ja verificou se ele esta fazendo match nas suas regras de iptables?
    Tentou zerar os contadores e ver se quando é realizada alguma tentativa de acesso ele realmente incrementa os contadores das regras que você acha que deveria fazer match?



  3. Citação Postado originalmente por zenun Ver Post
    Então cara...

    No seu post você disse que o trafego da conectividade social nao passa pelo squid, você ja verificou se ele esta fazendo match nas suas regras de iptables?
    Tentou zerar os contadores e ver se quando é realizada alguma tentativa de acesso ele realmente incrementa os contadores das regras que você acha que deveria fazer match?
    juro que não entendi muito bem, metch é alguma tabela ou chain do iptables? como eu faço essa verificação se vc poder me dar uma esclarecida fico grato

  4. Quando eu digo se ela esta fazendo "match" é se sua regra esta conseguindo identificar algum trafego que esta passando pelo firewall! Por exemplo quando você executa o comando para verificar suas regras de iptables

    Código :
    iptables -t filter -L -v -n

    Ele te mostra uma saida bem completa e ainda possue uns contadores na coluna da esquerda (pkts bytes target)! Se sua regra não teve esses contadores incrementados é porque nenhum pacote esta passando por ela.



  5. Citação Postado originalmente por zenun Ver Post
    Quando eu digo se ela esta fazendo "match" é se sua regra esta conseguindo identificar algum trafego que esta passando pelo firewall! Por exemplo quando você executa o comando para verificar suas regras de iptables

    Código :
    iptables -t filter -L -v -n

    Ele te mostra uma saida bem completa e ainda possue uns contadores na coluna da esquerda (pkts bytes target)! Se sua regra não teve esses contadores incrementados é porque nenhum pacote esta passando por ela.
    Ok eu acho que estou comessando a entender, de uma olhada para ver se esta correto mas eu acho que é isso mesmo:

    Chain FORWARD (policy DROP 13 packets, 596 bytes)
    pkts bytes target prot opt in out source destination

    20291 2337K ACCEPT all -- * * 192.168.0.12 0.0.0.0/0
    MAC 00:16:EC:21:6C:09
    22939 18M ACCEPT all -- * * 0.0.0.0/0 192.168.0.12
    Chain OUTPUT (policy ACCEPT 3925K packets, 2817M bytes)
    pkts bytes target prot opt in out source destination

    0 0 ACCEPT all -- * * 192.168.0.12 0.0.0.0/0

    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.173.
    0/24 tcp dpts:80:443
    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.174.
    0/24 tcp dpts:80:443
    0 0 ACCEPT tcp -- * * 192.168.0.12 200.201.166.

    Só com isso já era para funcionar correto?
    Pois esta passando tudo da porta 80 ate a 443 para esse tres ips ou para o conectividade tem algo a amais para poder funcionar?






Tópicos Similares

  1. Onde estou errando, ou não funciona?
    Por rogeriodj no fórum Redes
    Respostas: 18
    Último Post: 26-12-2008, 12:42
  2. Onde estou errando?
    Por fernandotrilha no fórum Servidores de Rede
    Respostas: 7
    Último Post: 04-12-2008, 11:42
  3. Onde Estou Errando?
    Por izaufernandes no fórum Redes
    Respostas: 4
    Último Post: 03-07-2007, 00:01
  4. ONde estou errando no meu dhcpd.conf???
    Por bruno_batista no fórum Servidores de Rede
    Respostas: 9
    Último Post: 12-06-2006, 15:15
  5. iptables-onde estou errando nas regras?
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 18-07-2003, 12:53

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L