Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Pessoal,

    achei estranho essa semana um funcionári pediu para liberar a rede sem fio para ele acessar do Blackberry dele..pois bem liberei mass não disse nada sobre o proxy pois iria barrar tudo...do nada ele me dá obrigado que estava acessando tudo que na maquina dele era bloqueado...então fui testar meu proxy hoje...

    minha máquina que não passa pelo proxy e navega em tudo sem autenticação pois libero pelo iptables...então a tirei do iptables para ser obrigada a passar pelo proxy e deu tudo certo ao tentar navegar ele direciona logo para página de erro squid dizendo que tem que configurar o proxy...depois testei colocando o proxy no navegador acesso tudo normal menos sites pornôs, youtube pois a negação é direta.

    então porque o blackberry acessa tudo mesmo as páginas como youtube, pornôs como se não tivesse passando pelo proxy? conferi com outro blackberry que chegou hoje da TIM e que não liberei o mac dele no iptables e ele acessa tudo realmente.

    O que pode ser? isso me deixou preocupado.


    OBS.: uso squid autenticado.

  2. Bem, se puder colocar as regras do seu iptables aqui ficaria mais fácil.
    Mais provavelmente tem alguma linha de masquerade que acaba estando liberando para o blackberry ..

    manda um iptables-save ae \o



  3. mas é certeza que é o teu proxy ou gateway que ta usando no blackbarry?
    provavelmente ele esta conectando pela wireless, sera q essa wireless não esta na sua DMZ não ?

  4. não não...toda minha rede é wireless exceto os servidores.O teste na minha máquina foi na mesma rede wireless.
    Segue meu iptables lembrando que o mac do blackberry não está dentro do iptables:

    Código bash:
    #!/bin/sh
     
     
    ##############SCRIPT IPTABLES FIREWALL POR : LUIZ FERNANDO GALVAO#############
     #############                                                   ###########
      #############                                                 ##########
        ############                                               ##########
     
     
     
    ############################### VARIAVEIS ######################################
     
    IF_INTERNO="eth1"
    IF_EXTERNO="eth0"
    VPNIF="ipsec0"
    PPPXIF="ppp+"
    DMZIF="eth2"
    IP_INTERNO="10.0.1.254"
    IP_EXTERNO="201.x.x.x"
    INTMASK="255.255.255.0"
    INTBC="10.0.1.255"
     
     
     
     
    ############################# POLITICAS ####################################
     
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
     
     
     
    ######################## COMPARTILHA A INTERNET ##############################
    #iptables -t nat -A POSTROUTING -o $IF_EXTERNO -j MASQUERADE
     
    echo 1 > /proc/sys/net/ipv4/ip_forward
     
     
    ###################### JOGA CADA UMA PARA SEU CHAIN CHAIN ###################
     
    iptables -A INPUT -i lo -j ACCEPT
     
    ######################### LEVANTA MODULOS ###################################
     
     
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ip_tables
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe iptable_nat
    modprobe ipt_LOG
    modprobe ipt_state
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE
    modprobe ip_gre
    modprobe ipt_CONNMARK
    modprobe ipt_string
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    ######################## LIMPA REGRAS ########################################
     
     
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
     
     
     
     
     
    iptables -t mangle -X
     
     
    ##################### BLOQUEIA SPOOFING ####################################
     
     
    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
     
     
    ##################NAO RESPONDER A PINGS###################################
     
    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
     
     
     
     
    ####################LIBERARANDO INPUT LOOPBACK###########################
     
    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
     
    ######################## REGRAS ############################################
     
    iptables -A INPUT -i $IF_INTERNO --dst 255.255.255.255 -p tcp --dport 67:68 -j ACCEPT  # DHCP para rede interna - TCP-netmask
    iptables -A INPUT -i $IF_INTERNO  --dst 255.255.255.255 -p udp --dport 67:68 -j ACCEPT  # DHCP para rede interna - UDP-netmask
    iptables -A INPUT -i $IF_INTERNO  --dst $IP_INTERNO -p tcp --dport 67:68 -j ACCEPT  # DHCP para rede interna  - TCP-rede interna
    iptables -A INPUT -i $IF_INTERNO  --dst $IP_EXTERNO -p tcp --dport 67:68 -j ACCEPT  # DHCP para rede interna  - TCP-rede interna
     
    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_INTERNO -p tcp --dport 53 -j ACCEPT  # DNS server
    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_INTERNO -p udp --dport 53 -j ACCEPT  # DNS server
    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_EXTERNO -p udp --dport 53 -j ACCEPT  # DNS server
    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_INTERNO -p tcp --dport 953 -j ACCEPT  # DNS server
     
     
     
    iptables -A POSTROUTING --src $IP_INTERNO/$INTMASK -o $IF_EXTERNO -j MASQUERADE -t nat   # Mascarar trafego de rede interna para ip externo
    iptables -t nat -A POSTROUTING -o $IF_EXTERNO -j MASQUERADE
     
     
     
    #iptables -A INPUT --dst $IP_INTERNO -p tcp --dport 2222 -j ACCEPT  #Acesso interno ao ssh
    iptables -A INPUT -p tcp -m tcp --dport 2222 -j ACCEPT #SSH
    iptables -A INPUT -p tcp -m tcp --dport 2221 -j ACCEPT #SSH
    iptables -A PREROUTING -p tcp --dport 2221 -j DNAT -t nat  --to-destination 10.0.1.36-10.0.1.36:2221 # redirecionar porta ssh samba
    iptables -A FORWARD -i $IF_EXTERNO --dst 10.0.1.36/255.255.255.255 -p tcp --dport 2221 -j ACCEPT  # habilitar trafego samba
    Última edição por osmano807; 24-11-2010 às 14:25.



  5. Código bash:
    #SSH para ASTERISK
    #iptables -A INPUT -p tcp -s $ASTERISK --dport 64022 -j ACCEPT
    #iptables -A FORWARD -p tcp -s $ASTERISK --dport 64022 -j ACCEPT
     
    #Servidor FTP:
    iptables -t nat -A PREROUTING -p tcp --dport 22 -j DNAT --to 10.0.1.22:22 #ssh para ubuntu
    #iptables -t nat -A PREROUTING -p tcp --dport 21 -j DNAT --to 10.0.1.3:21 # FTP
    #Acesso FTP
    iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
     
    #HENRY
    iptables -A INPUT -p tcp -m tcp --dport  1405 -j ACCEPT
     
     
    #iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
     
    iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_EXTERNO -j ACCEPT  # Servidor web
     
     
    ###################### PROTECA CONTRA WORMS ###########################################################
     
    iptables -A FORWARD -p tcp --dport 135 -i $IF_INTERNO -j REJECT
     
     
     
    #####################PROTECAO contra viruS###########################################################
    iptables -A OUTPUT -o $IF_INTERNO -p tcp --dport 31337 --sport 31337 -j DROP
    iptables -A FORWARD -o $IF_INTERNO -p tcp --dport 31337 --sport 31337 -j DROP
     
    #FTP:
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 21 -j ACCEPT #
     
     
     
    ###################### PROTECAO CONTRA Syn-flood ######################################################
     
    iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT
     
    ################### PROTECAO CONTRA PING DA MORTE #####################################################
     
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
     
    ######################################### LIBERANDO E BLOQUEANDO PORTAS #################
     
     
    iptables -A INPUT -j ACCEPT -p tcp --dport 110
    iptables -A INPUT -j ACCEPT -p tcp --dport 25
    iptables -A INPUT --dst $IP_EXTERNO/255.255.255.255 -p tcp --dport 25 -j ACCEPT # E-mail - SMTP
    iptables -A OUTPUT -p TCP --dport 25 -j ACCEPT   # SMTP
    iptables -A OUTPUT -p TCP --dport 110 -j ACCEPT
     
     
    iptables -A INPUT -p tcp -m tcp --dport 443 -j ACCEPT #Porta 443
     
    iptables -A INPUT -p tcp -m tcp --dport 1863 #MS
    iptables -A PREROUTING -p tcp --dport 3389 -j DNAT -t nat  --to-destination 10.0.1.80-10.0.1.80:3389 # redirecionar porta terminal services
    iptables -A FORWARD -i $IF_EXTERNO --dst 10.0.1.80/255.255.255.255 -p tcp --dport 3389 -j ACCEPT  # habilitar trafego ts
     
    #TS2
    iptables -A PREROUTING -p tcp --dport 3390 -j DNAT -t nat  --to-destination 10.0.1.6-10.0.1.6:3390 # redirecionar porta terminal services
    iptables -A FORWARD -i $IF_EXTERNO --dst 10.0.1.6/255.255.255.255 -p tcp --dport 3390 -j ACCEPT  # habilitar trafego ts
     
    ####### BLOQUEIO KAZZA/EMULE/P2P/MSN ###################################
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT #KAZAA
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT #KAZAA
    iptables -A FORWARD -p UDP --dport 1214 -j REJECT
    iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT #EMULW
    iptables -A FORWARD -p TCP --dport 4662 -j REJECT #EMULE
    iptables -A FORWARD -p TCP --dport 4672 -j REJECT #EMULE
     
     
    ########### liberar sites ########
    iptables -t nat -A PREROUTING -p tcp -s 0/0  -d  200.201.174.0/24  --dport 80 -j ACCEPT #SEFIP
    iptables -A INPUT -p tcp -s 0/0 --sport 2631 -d 200.201.174.0/24 --dport 80 -j ACCEPT #SEFIP
    iptables -t nat -A PREROUTING -p tcp -s 0/0 --sport 2004 -d 200.244.109.0/24 --dport 80 -j ACCEPT # SEFIP
    iptables -t nat -A PREROUTING -p tcp -s 0/0  -d  200.229.128.0/24  --dport 80 -j ACCEPT #MAESK
    iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 200.201.174.0/24 --dport 80 -j ACCEPT #Conectividade
    iptables -t nat -A PREROUTING -p tcp -s 0/0 --sport 1024:65535 -d 200.201.174.0/24 --dport 80 -j ACCEPT #Conectividade
    #iptables -A INPUT -p udp -m udp --dport 2631 -j ACCEPT
    #iptables -A INPUT -p udp -m tcp --dport 2631 -j ACCEPT
     
     
    iptables -A INPUT -p tcp -s 0/0 --sport 2631 -d 200.201.174.204 --dport 80 -j ACCEPT #Conectividade
    iptables -t nat -A PREROUTING -p tcp -s 0/0 --sport 2631 -d 200.201.174.204 --dport 80 -j ACCEPT #Conectividade
     
    iptables -t nat -A PREROUTING -p tcp  -s 0/0  -d 161.148.2.128  -j ACCEPT
    iptables -A FORWARD -p tcp -d 200.201.160.0/20 -j ACCEPT #conectividade
    iptables -t nat -A PREROUTING -p tcp -s 0/0  -d  161.148.2.128  --dport 259  -j ACCEPT #C-vpn
    iptables -A INPUT -p tcp -s 0/0 --sport 259 -d  161.148.2.128 --dport 259 -j ACCEPT #C-vpn
    iptables -t nat -A PREROUTING -p tcp -s 0/0  -d  161.148.2.128  --dport 264  -j ACCEPT #C-vpn
    iptables -A INPUT -p udp -s 0/0 --sport 500 -d  161.148.2.128 --dport 500 -j ACCEPT #C-vpn
    iptables -t nat -A PREROUTING -p udp -s 0/0  -d  161.148.2.128  --dport 500  -j ACCEPT #C-vp
    # IKE negotiations
    iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
    iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT
     
    # ESP encryption
    iptables -A INPUT -p 50 -j ACCEPT
    iptables -A OUTPUT -p 50 -j ACCEPT
     
    # AH authentication
    iptables -A INPUT -p 51 -j ACCEPT
    iptables -A OUTPUT -p 51 -j ACCEPT
     
     
    #################### LIEBRAR MACS DO PROXY ###################
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:15:C5:35:C5:8E  -d 200.244.109.0/24 --dport 80 -j ACCEPT #Caixa/Sefip
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:15:C5:35:C5:8E  -d 200.201.173.68   --dport 80 -j ACCEPT #CAixa/Sefip
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:15:C5:35:C5:8E  -d 200.201.174.0/24 --dport 80 -j ACCEPT #Caixa/Sefip
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  f8:1e:df:eb:1c:c5  -d 0.0.0.0/0 --dport 80 -j ACCEPT #Libera Fernando Proxy
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:E0:4C:30:23:9D  -d 0.0.0.0/0 --dport 80 -j ACCEPT #DELL 
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:25:d3:d3:72:f4  -d 0.0.0.0/0 --dport 80 -j ACCEPT #J.H
     
     
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  78:ca:39:b5:a2:92  -d 0.0.0.0.0/0 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:13:A9:35:A6:42  -d 0.0.0.0.0/0 --dport 80 -j ACCEPT 
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:16:6F:82:9A:52  -d 0.0.0.0.0/0 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:1a:73:f9:a0:a9  -d 0.0.0.0.0/0 --dport 80 -j ACCEPT 
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:19:D2:48:D7:6F  -d 0.0.0.0.0/0 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:13:A9:8F:33:C2  -d 0.0.0.0.0/0 --dport 80 -j ACCEPT 
     
    iptables -t nat -A PREROUTING -p tcp  -m mac --mac-source  00:1D:09:EF:57:8C      -d 0.0.0.0.0/0 --dport 80 -j ACCEPT 
     
     
     
    ############### REDIRECIONAR PORTA PARA 3128 ###########################
    iptables -t nat -A PREROUTING -i $IF_INTERNO -p tcp --dport 80 -j REDIRECT --to-port 3128  #redirecionar www da porta 80 para 3128 proxy
    iptables -A INPUT -i $IF_INTERNO --dst $IP_INTERNO/255.255.255.255 -p tcp --dport 3128 -j ACCEPT  # acesso interno ao Proxy aceitar os outros na porta 3128
    Última edição por osmano807; 24-11-2010 às 14:26.






Tópicos Similares

  1. Respostas: 8
    Último Post: 04-07-2015, 08:23
  2. radio online não funciona mesmo sem web-proxy
    Por marciorct no fórum Redes
    Respostas: 8
    Último Post: 11-03-2008, 09:26
  3. Bloquear P2P sem proxy transparente
    Por no fórum Servidores de Rede
    Respostas: 0
    Último Post: 29-04-2005, 10:34
  4. Problemas com www.serasa.com.br com ou sem proxy
    Por Severo no fórum Servidores de Rede
    Respostas: 15
    Último Post: 21-07-2004, 21:42
  5. mesmo com proxy..
    Por MAJOR no fórum Servidores de Rede
    Respostas: 3
    Último Post: 21-06-2003, 21:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L