+ Responder ao Tópico



  1. #1

    Padrão Firewall e proxy nada funciona

    Olá galera etou com seguintes problema de rede
    minha rede é a seguinte
    internet ip fixo xxx.xxx.xxx.xxx
    modem em modo route D-link 500g IV
    ip 10.1.1.1 nat de porta no ome para o servidor linux
    Servidor Linux Debian Firewall e Proxy com dua Ethernet eth1 e eth0
    IP Eth1 10.1.1.2 Internet
    Eth0 192.168.1.100 rede local
    modem ligado na Eth1
    outro Sevidor de dados Windows 2000 Professional
    IP 192.168.1.1
    O problema é que o firewall não faz nat para o segundo servidor nem libera as portas de o mesmo,
    esse servidor windows tem que enviar e-mail para uma empresa privada que e proprietaria o bando de bado que nele roda
    essa mesma empresa tem que entra no nesse servidor para dar suporte e autaliza-lo tenho que liberar as seguintes portas
    22,21,23,24,25,2222 e 4899 tambem não consigo acessa-lo de fora de casa ou de qualquer outro lugar o ssh esta na porta 22
    O proxy tambem não funciona nada os micro não acessam a internet pelo proxy nem como transparente
    No firewall e no proxy eu usei o modelo do livro Servidores Linux guia pratico do Carlos Morimoto. não funciona nem na configuração minima de 4 linhas
    do livro.
    no firewall ja tentei de varias formas a unica coisa que funciona e a internet.
    A questão é sera que o problema é o script firewall? ou ips das eths
    se possivel me envie um script firewalll com as seguintes enfase.
    Internet IP Fixo
    Modem roteado ou bridge
    Eths Eth1 e Eth0 qual faixa de ips 192.168.xx ou 10.xxx
    Script Firewall para fazer nat.
    estou amargando nisso a mais de um mês
    Obrigado.

  2. #2

    Padrão

    Acredito que o problema talvez seja o roteamento que esteja desativado. Os endereços das eths tão ok... Só confirma a máscara que tá nos IPs.

    echo 1 > /proc/sys/net/ipv4/ip_forward

    Depois testa do windows se você ping pra internet normal... Se não pingar posta teu iptables ai...

    Só mais uma coisa, você falou de um proxy. Mas esse proxy é a mesma máquina do firewall certo?!

    Até mais...

    Citação Postado originalmente por strongarl Ver Post
    Olá galera etou com seguintes problema de rede
    minha rede é a seguinte
    internet ip fixo xxx.xxx.xxx.xxx
    modem em modo route D-link 500g IV
    ip 10.1.1.1 nat de porta no ome para o servidor linux
    Servidor Linux Debian Firewall e Proxy com dua Ethernet eth1 e eth0
    IP Eth1 10.1.1.2 Internet
    Eth0 192.168.1.100 rede local
    modem ligado na Eth1
    outro Sevidor de dados Windows 2000 Professional
    IP 192.168.1.1
    O problema é que o firewall não faz nat para o segundo servidor nem libera as portas de o mesmo,
    esse servidor windows tem que enviar e-mail para uma empresa privada que e proprietaria o bando de bado que nele roda
    essa mesma empresa tem que entra no nesse servidor para dar suporte e autaliza-lo tenho que liberar as seguintes portas
    22,21,23,24,25,2222 e 4899 tambem não consigo acessa-lo de fora de casa ou de qualquer outro lugar o ssh esta na porta 22
    O proxy tambem não funciona nada os micro não acessam a internet pelo proxy nem como transparente
    No firewall e no proxy eu usei o modelo do livro Servidores Linux guia pratico do Carlos Morimoto. não funciona nem na configuração minima de 4 linhas
    do livro.
    no firewall ja tentei de varias formas a unica coisa que funciona e a internet.
    A questão é sera que o problema é o script firewall? ou ips das eths
    se possivel me envie um script firewalll com as seguintes enfase.
    Internet IP Fixo
    Modem roteado ou bridge
    Eths Eth1 e Eth0 qual faixa de ips 192.168.xx ou 10.xxx
    Script Firewall para fazer nat.
    estou amargando nisso a mais de um mês
    Obrigado.



  3. #3

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Acredito que o problema talvez seja o roteamento que esteja desativado. Os endereços das eths tão ok... Só confirma a máscara que tá nos IPs.

    echo 1 > /proc/sys/net/ipv4/ip_forward

    Depois testa do windows se você ping pra internet normal... Se não pingar posta teu iptables ai...

    Só mais uma coisa, você falou de um proxy. Mas esse proxy é a mesma máquina do firewall certo?!

    Até mais...

    Cara valeu pela Atenção é o seuinte o problema do firewall ´que não consigo acessar ele de fora e
    tem uma empresa que tem que passa pelo firewall no segundo servidor que é win2000 ou seja fazer nat
    o mdem esta em modo route ip valido é fixo ai eu faço nat para o servidor linux e o linux tem que repassar certo isso não esta acontecedo.

    ja o Proxy nada funciona segue a configuração do firewall e do proxy todos eles estam na mesma maquina Linux debian etch.

    Firewall Iptables

    #!/bin/bash
    echo ################################### ######################
    echo Editado por Cybersolutins
    echo Cybertron Fireball
    echo ################################### ######################
    # Interface da Internet:
    ifinternet="eth1"
    # Interface da rede local
    iflocal="eth0"
    iniciar(){
    # Carrega tabela de roteamento
    modprobe iptable_nat
    # Compartilhar a conexão
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
    # POrta de Proxy
    iptables -A INPUT -i $iflocal -p tcp --dport 3128 -j ACCEPT
    #iptables -t nat -A PREROUTING -i $iflocal -p --dport 80 -j REDIRECT --to-port 3128
    # Regras de Firewall
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    iptables -A INPUT -m state --state INVALID -j DROP
    # Abri para conexões na interface local e rede local
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i $iflocal -j ACCEPT
    # Abrir portas
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    iptables -A INPUT -m multiport -p tcp --dport 21,24 -j ACCEPT
    # Dropa pacotes nal formados
    iptables -A INPUT -p tcp --syn -j DROP
    parar(){
    iptables -F
    iptables -t nat -F
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    echo 0 > /proc/sys/net/ipv4/ip_forward
    echo " Regras de Firewall e compartilhamento desativados"
    }
    case "$1" in
    "start") iniciar ;;
    "stop") parar ;;
    "restart") parar; iniciar ;;
    *) echo "Use os parâmetros start ou stop"
    esac

    Lembrando que os terminais acessam a internet pelo firewall via nat isso esta fucnionando blz so isso uqe o sresto ta doze srss

    Proxy


    http_port 3128
    visible_hostname debian
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # swat
    acl Safe_ports port 1025-65535 # portas altas
    acl purge method PURGE
    acl CONNECT method CONNECT
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    acl redelocal src 192.168.1.0/24
    http_access allow localhost
    http_access allow redelocal
    http_access deny all

    quando eu configuro os navegadores para navega pelo proxy a internet não fuiciona no caso quero locar o proxy para funciona depois adicionar as restrições e seu colocar ele transparente como ta não da para saber

    Eths

    # This file describes the network interfaces available on your system
    # and how to activate them. For more information, see interfaces(5).
    # The loopback network interface
    auto lo
    iface lo inet loopback
    # The primary network interface
    auto eth0
    iface eth0 inet static
    address 192.168.1.100
    netmask 255.255.255.0
    network 191.168.0.0
    broadcast 192.168.0.255
    # The secundary network interface
    auto eth1
    iface eth1 inet static
    address 10.1.1.2
    netmask 255.0.0.0
    network 10.0.0.0
    broadcast 10.255.255.255
    gateway 10.1.1.1
    # dns-* options are implemented by the resolvconf package, if installes
    dns-nameservers 10.1.1.1
    dns-search .net

    lembrando que todos os terminais acompanham a mesma classe e faixa de ip da eth0 rede local 192.168.1.x

    de inicio vamos primeiro resolver o firewall depois o proxy

    Obrigado pela ajunda.

  4. #4

    Padrão

    Hum... vc fez redirecionamento de portas no modem??



  5. #5

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Hum... vc fez redirecionamento de portas no modem??

    Sim o modem direciona para o linux e o linux tem que direciona para maquina
    talves não receba sua resposta por que o moderado do furum concluiu que podem tem resposta
    desse genero no forum então se quizer pode me adiciona no msn [email protected]

  6. #6

    Padrão

    Você tem certeza que ta tudo chegando no linux então??

    Cara, no script do teu firewall não tem nenhum redir...

    Dá uma olhada nesse link: Guia Foca GNU/Linux - Firewall iptables

    Ai ensina a fazer o redirecionamento.

    Por exemplo, isso aqui faz o redir da porta 80 para o host 192.168.1.210:

    Código :
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 192.168.1.210

    Qualquer dúvida posta ai...



  7. #7

    Padrão

    troque isso
    Código :
    # Dropa pacotes nal formados
    iptables -A INPUT -p tcp --syn -j DROP
    por isso

    Código :
    # Dropa pacotes nal formados
     #iptables -A INPUT -p tcp --syn -j DROP
    Última edição por Pirigoso; 26-02-2009 às 10:47.

  8. #8

    Padrão

    Citação Postado originalmente por Pirigoso Ver Post
    troque isso
    Código :
    # Dropa pacotes nal formados
    iptables -A INPUT -p tcp --syn -j DROP


    por isso

    Código :
    # Dropa pacotes nal formados
     #iptables -A INPUT -p tcp --syn -j DROP

    Ola blz mas qual é a diferença
    se # antes do comanda o firewall não ignora a regra?



  9. #9

    Padrão

    Citação Postado originalmente por Magnun Ver Post
    Você tem certeza que ta tudo chegando no linux então??

    Cara, no script do teu firewall não tem nenhum redir...

    Dá uma olhada nesse link: Guia Foca GNU/Linux - Firewall iptables

    Ai ensina a fazer o redirecionamento.

    Por exemplo, isso aqui faz o redir da porta 80 para o host 192.168.1.210:

    Código :
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 192.168.1.210

    Qualquer dúvida posta ai...

    Olá eu estudei as regras de Nat ma não funciono

    usei essas testei uma de cada vez
    é a porta que quero direciona do Radmin
    ip do linux 192.168.1.100
    192.168.1.1 é o servidor windows
    $ifinternet= eth1 e $iflocal=eth0
    Primeiro testei

    iptables -A INPUT -p tcp --dport 4899-j ACCEPT
    iptables -A FORWARD -p tcp -d $iflocal--dport 4899 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 4899 -j DNAT --to 192.168.1.1:4899
    não funciono

    depois

    iptables -t nat -A PREROUTING -p tcp -i $ifinternet --dport 4899 -j DNAT --to 192.168.1.100
    iptables -t nat -A POSTROUTING -d 192.168.1.100 -j SNAT --to 192.168.1.1
    tambem não

    não sei se poder ser mas as regras que fazem nat estam logo abaixo das que compartilhar
    echo 1> /proc/sys/net/ipv4/ip_forward ou eles devem vir antes?
    pode ser tambem o fato de a ip ta internet ser fixo?

    outra coisa coisa tambem tentei entra no servido usado o ssh não foi lembrando que o servidor pinga para fora.

    obrigado

  10. #10

    Padrão

    Citação Postado originalmente por strongarl Ver Post
    Ola blz mas qual é a diferença
    se # antes do comanda o firewall não ignora a regra?
    sim este comando esta impedindo qualquer conexao a qualquer servico que vc rodar ^^



  11. #11

    Padrão

    Citação Postado originalmente por Pirigoso Ver Post
    sim este comando esta impedindo qualquer conexao a qualquer servico que vc rodar ^^
    Certo vou testa e qualquer coisa eu posto ok

    Obrigado!

  12. #12

    Padrão firewall e proxy

    cara retira essa linha aqui do teu firewall já que você quer que os micros funcionem atraves do proxy.

    echo 1 > /proc/sys/net/ipv4/ip_forward

    como isso aqui faz o compartilhamento ficar automatico isso fica dificil funcionar...

    outra coisa como que você usa no seu proprio script isso aqui:

    iptables -F
    Sabendo que isso ira limpar todas a regras que você fez?

    e também esta aqui

    iptables -t nat -F
    Sabendo que ira limpar qualquer coisa feita no NAT.

    recomendo meso é fazer as coisa do zero.

    linha a linha e testa cada uma delas...



  13. #13

    Padrão

    Citação Postado originalmente por franklincsilva Ver Post
    cara retira essa linha aqui do teu firewall já que você quer que os micros funcionem atraves do proxy.

    echo 1 > /proc/sys/net/ipv4/ip_forward

    como isso aqui faz o compartilhamento ficar automatico isso fica dificil funcionar...

    outra coisa como que você usa no seu proprio script isso aqui:

    iptables -F
    Sabendo que isso ira limpar todas a regras que você fez?

    e também esta aqui

    iptables -t nat -F
    Sabendo que ira limpar qualquer coisa feita no NAT.

    recomendo meso é fazer as coisa do zero.

    linha a linha e testa cada uma delas...
    Olá muito obrigado pela atenção

    mas recapitulando para que o proxy funione é necessario retira o camando que compartiha via NAt? echo 1 > /proc/sys/net/ipv4/ip_forward

    e tambem sera necessario retirar esses comomandos?
    iptables -F
    iptables -t nat -F

    Certo minha prioridade é faze com que o firewall direcione a porta 4899 para um segundo servidor
    windows e fazer com que as maquinas terminais rodem pelo proxy mas se tirar o comando que compartilha a net via nat como que o servidor vai rotaer a internet? se é para comesar o zero me uma dica como fazer o que firewall direcione essa porta e fazer passar pelo proxy. Lembrando que
    não consigo acessa-lo externamente pelo ssh usando o ip valido que é fixo, o ssh só funciona
    localmente. que problema em srsrsrsr.

    Obrigado.

  14. #14

    Padrão guia do hardware.net

    Essa é a melhor resposata que encontrei.

    Segui esse manual do gdh e deu muito certo, apenas quando ativei o proxy tive que tira o:
    # echo 1 > /proc/sys/net/ipv4/ip_forward

    Porque tava atraapanhando dai usei o:

    #iptables -F

    depois fiz um script onde não tinha compartilhamento, so redirecionamento de portas como em:

    iptables -A INPUT -i -p tcp --dport 3128 -j ACCEPT

    Usei também algumas outras regras para protejer meu servidor da internet.

    veja a pagina e me diz se tu conseguiu beleza.

    Servidores Linux, Guia Prático: Capítulo 2: Compartilhamento, DHCP e Proxy


    Esse aqui vai te dar mais opção do script para firewall:

    Redes e Servidores Linux, 2ed.: Escrevendo um script de firewall

    Boa leitura...



  15. #15

    Padrão

    Citação Postado originalmente por franklincsilva Ver Post
    Essa é a melhor resposata que encontrei.

    Segui esse manual do gdh e deu muito certo, apenas quando ativei o proxy tive que tira o:
    # echo 1 > /proc/sys/net/ipv4/ip_forward


    pelo amor cara , que isso, hoje se usa proxy apenas na 80 o resto vc faz nat, muito ajuda quando nao se atrapalha ou nao se sabe o que esta falando.

  16. #16

    Padrão

    "moderado do furum concluiu que podem tem resposta
    desse genero no forum então se quizer pode me adiciona no msn"

    o magnum não costuma fazer isso - pelo menos, nunca vi; o post é pertinente -pelo que eu entenda.

    bem, seria necessário que vc informasse alguma coisa dos 'log's - não fui olhar suas regras, sou preguiçoso demais pra isso, mas julgo que tem a ver com as famigeradas regras snat/dnat de redirecionamento de portas.

    O magnum - do post anterior - é um dos maiores especialistaas brasileiros nisso, tanto que escreveu um tutorial que "possivelmente" ajude vc:

    [Dica] Problema Comum no Redirecionando com Iptables (NAT & SNAT) - Parte 2/2 - Under-Linux.org

    divirta-se.