Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. ola pessoal.
    Tenho um problema, meu cenario é:

    Tenho um Proxy squid com iptables, tem 3 placas de rede

    1º placa WAN
    2º placa LAN
    3º placa wireless, esa ligado diteto a um AP. Uso publico.

    entao...

    ta tudo funcionando perfeito, so que eu gostaria q placa d rede wireless que esta ligado ao AP, os usuarios navegassem direto sem passar pelo proxy.

    eu ja fiz com que a placa da wireless recebece um ip diferente da placa de rede lan pelo dhcpd.
    agora so nao consigo redirecionar a navegação para essa placa.

    alguem aki ja fez isso? podem me dar uma luz hehehe.

    obrigado.

  2. quais as regras de masquerade e de redirect (caso tenha proxy transparente) que voce tem implantado para a sua rede interna?



  3. Amigo, como o comentário anterior, é só você postar suas regras para te ajudar, mas eu acho que no seu caso vai ser só negar o redirecionamento automatico do proxy transparente para interface que você quer passagem livre.

    Sds,

  4. Ola segue os meus scripts.

    Iptables :

    #! /bin/sh
    #description: Inicializao
    #
    # chkconfig: 2345 80 30
    # processname: iptables
    # pidfile: /var/run/iptabless.pid
    #
    #
    # SUPORTVILLE INFORMATICA - Israel
    #
    # Descricao
    #
    # Compartilhamento de internet via NAT com bloqueio de entrada e roteamento
    #
    # Definir variaveis
    INTERWAN=eth1 # A interface eth0 eve possui o IP invalido da rede (WAN)
    INTERLAN=eth2 # A interface eth1 deve possuir seu IP valido da rede (LAN)
    INTERDMZ=eth3 # A interface eth2 deve possuir seu IP valido da rede (DMZ)
    REDEMASK=10.0.0.0/24 # Coloque no REDEMASK a faixa de IP da sua rede local mais a mascara
    #
    # Limpa antigas regras
    iptables -F
    iptables -F -t nat
    iptables -F -t mangle
    #
    # Carregar funcoes da rede
    . /etc/rc.d/init.d/functions
    . /etc/sysconfig/network

    if [ ${NETWORKING} = "no" ]
    then
    exit 0
    fi

    case "$1" in
    start)
    printf "Iniciando o servico de %s: " "iptables"
    echo
    # Ativa roteamento
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # Carrega modulos IPTABLES
    modprobe ip_tables

    # Carregar modulos FTP
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp

    # Carregar modulos NAT
    modprobe iptable_nat

    # Regras do firewall

    # Define cadeias padroes
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    # Define regras do tipo INPUT
    # DMZ #

    iptables -t nat -A POSTROUTING -o eth3 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ######

    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i $INTERLAN -p tcp --dport 3128 -j ACCEPT
    iptables -t nat -A POSTROUTING -o $INTERLAN -j MASQUERADE

    #####

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT # Libera porta SSH
    iptables -A INPUT -p tcp --dport 3389 -j ACCEPT # Libera porta WTS
    iptables -A INPUT -p udp --dport 3389 -j ACCEPT # Libera porta WTS
    iptables -A INPUT -p tcp --dport 5901 -j ACCEPT # Libera porta WTS
    iptables -A INPUT -p tcp --dport 81 -j ACCEPT # Libera porta WTS


    # Compartilhar eth1 para pop smtp e dns com destino $REDEMASK
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 25 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 110 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 465 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 995 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p udp --dport 53 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 53 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 3456 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 3389 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 81 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 3550 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 4550 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 3650 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s $REDEMASK -o $INTERWAN -p tcp --dport 5550 -j MASQUERADE

    # Acesso As cameras

    iptables -A FORWARD -m state --state NEW -p tcp --dport 81 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 81 -j DNAT --to-dest 10.0.0.16:81
    iptables -A FORWARD -m state --state NEW -p tcp --dport 3550 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 3550 -j DNAT --to-dest 10.0.0.16:3550
    iptables -A FORWARD -m state --state NEW -p tcp --dport 4550 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 4550 -j DNAT --to-dest 10.0.0.16:4550
    iptables -A FORWARD -m state --state NEW -p tcp --dport 3650 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 3650 -j DNAT --to-dest 10.0.0.16:3650
    iptables -A FORWARD -m state --state NEW -p tcp --dport 5550 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 5550 -j DNAT --to-dest 10.0.0.16:5550

    # Acesso VPN

    iptables -A FORWARD -m state --state NEW -p tcp --dport 8070 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 8070 -j DNAT --to-dest 10.0.0.250:8070
    iptables -A FORWARD -m state --state NEW -p tcp --dport 47 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 47 -j DNAT --to-dest 10.0.0.250:47
    iptables -A FORWARD -m state --state NEW -p tcp --dport 3389 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 3389 -j DNAT --to-dest 10.0.0.250:3389
    iptables -A FORWARD -m state --state NEW -p tcp --dport 1771 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 1771 -j DNAT --to-dest 10.0.0.250:1771
    iptables -A FORWARD -m state --state NEW -p tcp --dport 1723 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 1723 -j DNAT --to-dest 10.0.0.250:1723
    iptables -A FORWARD -m state --state NEW -p tcp --dport 65535 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 65535 -j DNAT --to-dest 10.0.0.250:65535

    iptables -A FORWARD -m state --state NEW -p tcp --dport 5901 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $INTERWAN --dport 5901 -j DNAT --to-dest 10.0.0.1:5901

    # Define regras do tipo FORWARD
    iptables -A FORWARD -o $INTERLAN -m state --state NEW,INVALID -j ACCEPT
    iptables -A FORWARD -o $INTERLAN -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i $INTERLAN -s $REDEMASK -j ACCEPT

    # Define regras de bloqueio
    iptables -A FORWARD -j ACCEPT
    iptables -A INPUT -j ACCEPT

    # FIM Regras do firewall

    ;;
    stop)
    printf "Parando o servico de %s: " "iptables"
    echo
    # Remover regras quando estado estiver STOP
    #
    # Limpar regras para o padrao definido

    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -F
    iptables -F -t nat
    iptables -F -t mangle

    ;;

    # Restartando o IPTABLES
    #
    restart)
    service iptables stop
    service iptables start
    echo
    ;;
    *)
    printf "Uso: iptables (start|stop|restart)"
    echo
    ;;

    esac
    exit 0

    -------------------

    É bem basico mesmo.
    --------------------

    Squid:

    # SUPORTVILLE INFORMATICA - Israel
    #
    #
    # Criar diretorio squid e liberar permicoes
    #
    # mkdir /var/spool/squid
    # chmod 777 /var/spool/squid
    #
    # Criar e liberar o arquivo de log:
    #
    # chmod 777 /var/log/squid
    # touch /var/log/squid/access.log
    # chmod 777 /var/log/squid/access.log
    #
    # Iniciar Squid somente pra este boot:
    # service squid start
    #
    # configurar pra iniciar Squid automaticamente em todo boot.
    # chkconfig --level 35 squid on
    #
    # Definir nome do host firewall
    visible_hostname pcfw01

    # Definir em que porta vai rodar o squid

    http_port 10.0.0.1:3128

    # Definir tamanho de memoria cache
    cache_mem 60 MB

    # Definir tamanho maximo de objeto
    maximum_object_size 4096 KB

    # Definir tamanho minimo de objeto
    minimum_object_size 0 KB

    # Definir o local, tamanho, pasta e sub-pasta do cache
    cache_dir ufs /var/spool/squid 100 16 256

    # Definir o local para gravar os logs de acesso
    cache_access_log /var/log/squid/access.log

    # Definir o local para gravar os logs do cache
    cache_log /var/log/squid/cache.log

    # Definir o local para gravar os logs do store
    cache_store_log /var/log/squid/store.log

    # Definir o local onde vai ter a tabela mine
    mime_table /etc/squid/mime.conf

    # Definir a mask dos usuarios que vao logar nos arquivos de saida
    client_netmask 255.255.255.255

    # Definir a pasta da mensagens de site negados por padrao serao exibidas em portugues
    error_directory /usr/share/squid/errors/Portuguese/

    # Padroes
    refresh_pattern ^ftp: 1440 20% 10080
    refresh_pattern ^gopher: 1440 0% 1440
    refresh_pattern . 0 20% 4320

    # Definir ACLs
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 21 443 563 70 210 1025-65535
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl CONNECT method CONNECT
    acl redelocal src 10.0.0.0/24

    #acl semproxy src 192.168.0.200

    #acl nodownload url_regex -i ftp .pif .mpeg .mpg .avi .mp3 .wav .wma .iso .rar

    acl liberasite url_regex "/etc/squid/liberasite.txt

    # Definir acoes

    http_access allow manager localhost
    http_access allow liberasite
    http_access deny manager
    #http_access allow semproxy
    http_access deny CONNECT !SSL_ports
    #http_access deny nodownload

    # acl pra bloquear palavras nos enderecos e liberar excessoes
    acl negapalavra url_regex "/etc/squid/negapalavra.txt"
    acl liberapalavra url_regex "/etc/squid/liberapalavra.txt"
    acl negasites url_regex "/etc/squid/negasites.txt"

    http_access allow liberapalavra all
    http_access deny negapalavra all
    http_access deny negasites all

    # finalizar acoes regras
    http_access allow redelocal
    #http_access deny all
    icp_access allow all
    miss_access allow all
    cache_effective_user nobody
    cache_effective_group nobody



  5. Amigo, pelo seu script vi que voce nao faz nenhum proxy transparente. Resumindo, o usuario consegue acessar qualquer coisa desde que as 3 condições estejam satisfeitas:
    - FORWARD ACCEPT;
    - MASQUERADE;
    - echo 1 > /proc/sys/net/ipv4/ip_forward;

    pelo que eu vi, voce tem o modulo de encaminhamentos ativo, voce tem a sua FORWARD ACCEPT, porem falta um MASQUERADE;

    iptables -t nat -A POSTROUTING -s $redewifi -o $if_net -j MASQUERADE






Tópicos Similares

  1. Respostas: 1
    Último Post: 22-11-2007, 06:10
  2. VNC com acesso direto para suporte tecnico
    Por Edilmar no fórum Servidores de Rede
    Respostas: 2
    Último Post: 30-09-2005, 19:20
  3. Bloquear acesso direto ao Proxy
    Por patrickcanton no fórum Servidores de Rede
    Respostas: 6
    Último Post: 04-12-2004, 16:21
  4. Como bloquear acesso direto pelo root no servidor?
    Por andersondsn no fórum Servidores de Rede
    Respostas: 3
    Último Post: 27-05-2004, 22:57
  5. Acesso atraves de Telnet ...
    Por MarcelScan no fórum Servidores de Rede
    Respostas: 1
    Último Post: 09-05-2002, 10:28

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L