+ Responder ao Tópico



  1. #1

    Padrão Iptables + Outlook + Squid

    Olá a todos,

    Sou novato em linux (experiencia quase zero) e estou com o seguinte problema. Consigo navegar normalmente na internet em todas as maquinas da rede, porem não consigo enviar e receber emails pelo outlook. Pesquisei bastante sobre regras de firewall, fiz testes, porem sem sucesso.

    Tenho o seguinte ambiente:
    - Servidor com win2000 server (Controlador de dominio, dns, dhcp, MSSQLServer)

    Servidor de acesso a internet com Fedora 8 (Squid, Iptables)
    - Obs: Este não esta logando no domínio serve apenas para compartilhar a internet e o proxy não e transparente.

    Outra coisa, nas estações, quando faço um ping, tanto pelo endereço ip quanto pelo endereço web não obtenho respostas.

    Contando com a esperiencia de todos, gostaria de saber o que esta errado como proceder para resolver estes problemas.

    Desde já agradeço.

  2. #2

    Padrão

    Como estão as regras do iptables?? Posta elas pra gente poder dá uma olhada...
    Para listar as regras do iptables na tabela filter: iptables -nL
    Para listar as regras do iptables na tabela nat: iptables -t nat -nL

  3. #3

    Padrão Iptables + Outlook + Squid

    Caro Magnum,

    Fico devendo as regras, porém segue o conteúdo do arquivo de configuração. Consegui este arquivo na net e por julgar serem necessarias fiz apenas adaptações.

    Obrigado.

    ===============================================
    !/bin/sh

    #Variaveis
    MODPROBE=/sbin/modprobe

    IPTABLES=/sbin/iptables

    FACE_INTERNET="ppp0"

    FACE_INTERNA="eth0"

    REDE_INTERNA="192.168.0.0/255.255.255.0"

    DNS_VELOX_PRI="200.165.132.154"
    DNS_VELOX_SEC="200.149.55.142"

    # Carregando #
    $MODPROBE ip_tables
    $MODPROBE ip_nat_ftp
    $MODPROBE ip_conntrack
    $MODPROBE ip_conntrack_ftp
    $MODPROBE iptable_nat
    $MODPROBE iptable_filter
    $MODPROBE ipt_state
    $MODPROBE ipt_LOG
    $MODPROBE ipt_REJECT
    $MODPROBE ipt_MASQUERADE

    # Limpando #
    $IPTABLES -F
    $IPTABLES -Z
    $IPTABLES -X
    $IPTABLES -t nat -F
    $IPTABLES -t nat -X
    $IPTABLES -t nat -Z

    # Setando politicas
    $IPTABLES -P INPUT DROP
    $IPTABLES -P OUTPUT ACCEPT
    $IPTABLES -P FORWARD DROP

    # Proteçoes
    #Impedindo scans
    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Impedindo alteracao de rotas
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

    # Protecao contra responses bogus
    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

    # Protecao contra syn-flood
    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    # Protecao contra traceroute
    echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

    # Protecao contra IP Spoofing
    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 > $i
    done

    # Regras
    # --> INPUT
    $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPTABLES -A INPUT -i lo -s 127.0.0.1/8 -d 127.0.0.1/8 -j ACCEPT
    $IPTABLES -A INPUT -p tcp -i $FACE_INTERNA -s $REDE_INTERNA --dport 3128 -j ACCEPT
    $IPTABLES -A INPUT -p udp -i $FACE_INTERNA -s $REDE_INTERNA --dport 3128 -j ACCEPT
    $IPTABLES -A INPUT -i $FACE_INTERNA -p icmp -m limit --limit 2/s -j ACCEPT

    $IPTABLES -A INPUT -m state --state INVALID -j DROP

    # --> OUTPUT
    $IPTABLES -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

    $IPTABLES -A OUTPUT -o lo -s 127.0.0.1/8 -d 127.0.0.1/8 -j ACCEPT

    $IPTABLES -A OUTPUT -m state --state INVALID -j DROP

    # --> FORWARD
    $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # --> Resposta e acesso aos DNS
    $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA -d $DNS_VELOX_PRI --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA -d $DNS_VELOX_SEC --dport 53 -j ACCEPT

    $IPTABLES -A FORWARD -p udp -s $DNS_VELOX_PRI --sport 53 -d $REDE_INTERNA -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s $DNS_VELOX_SEC --sport 53 -d $REDE_INTERNA -j ACCEPT

    # Para clientes de e-mail funcionar
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p udp -s $REDE_INTERNA --dport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp -s $REDE_INTERNA --dport 110 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 25 -j ACCEPT
    $IPTABLES -A FORWARD -p udp --sport 53 -j ACCEPT
    $IPTABLES -A FORWARD -p tcp --sport 110 -j ACCEPT

    $IPTABLES -A FORWARD -m state --state INVALID -j DROP

    # --> NAT
    # Para clientes de e-mail funcionar
    $IPTABLES -t nat -A POSTROUTING -p udp -s $REDE_INTERNA --dport 53 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -p tcp -s $REDE_INTERNA --dport 25 -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -p tcp -s $REDE_INTERNA --dport 110 -j MASQUERADE

    # Redirecionando a porta 80 para o Squid
    $IPTABLES -t nat -A PREROUTING -p tcp -i $FACE_INTERNA --dport 80 -j REDIRECT --to-port 3128
    $IPTABLES -t nat -A PREROUTING -p udp -i $FACE_INTERNA --dport 80 -j REDIRECT --to-port 3128

    # Mascaramento
    #$IPTABLES -t nat -A POSTROUTING -o $FACE_INTERNET -j MASQUERADE
    #$IPTABLES -t nat -A POSTROUTING -s $REDE_INTERNA -o $FACE_INTERNA -j MASQUERADE
    $IPTABLES -t nat -A POSTROUTING -j MASQUERADE


    # habilitando o roteamento
    echo 1 > /proc/sys/net/ipv4/ip_forward
    =================================================

  4. #4

    Padrão

    Recomendo destivar o rp_filter (remover o IP Soofing)

  5. #5

    Padrão

    O outlook ta utilizando algum serviço com segurança/criptografia?? SSL?? TLS??

  6. #6

    Padrão

    Aconselho a procurar algum outro script na internet para resolver o problema, ou mesmo estudar o caso. Esse script está muito embolado, e com certeza isso ai é problema de _ordem_ de regras. Se você apenas usar o proxy sem o firewall ligado, acredito que funcionará. Após isso você vai rodando regras uma a uma e vai vendo aonde está travando seu outlook.

  7. #7

    Padrão Iptables + Outlook + Squid

    Primeiramente, agradeço a atenção de todos.

    Peguei um outro script, semelhante ao enviado anteriormente, fiz as devidas alterações, porem, li em algum lugar que no fedora tem um centro de segurança (não lembro exatamente o nome), que dependendo das configurações pode causar estes problemas, como estou em ambiente de teste, continuarei fazendo alguns testes e conforme for citarei o resultado.

    Obrigado.

  8. #8

    Padrão Iptables + Outlook + Squid

    Olá a todos,

    Conforme dito anteriormente, fiz alguns testes e só obtive sucesso após ter desabilitado SELinux. Me corrijam se estiver errado.

    Obrigado.

  9. #9

    Padrão

    Com certeza tem algo errado

    Tente estudar como adicionar uma ACL ao SELinux de forma a pemitir o funcionamento. O SELinux é uma ótima camada de segurança. Recomendo que o mesmo esteja sempre ativado. E bem configurado.

  10. #10

    Padrão Iptables + Outlook + Squid Responder o Tópico

    Ok, PEdroArthurJEdi,

    Como estou em ambiente de testes vou dar uma pesquisada e ver o que consigo.

    Obrigado.