Página 1 de 3 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. Opa pessoal.
    Estou precisando de uma ajudinha... tenho um firewall aqui na empresa Debian.
    Preciso liberar de alguma forma a navegação de alguns MAC "por fora" do proxy, pois, não consigo configurar o proxy em alguns smarthphones. Então, teria que navegar normalmente sem utilização do proxy configurado. Pode ser por IP também, não necessáriamente por MAC. Minha policy no iptables é DROP. No resumo do firewall está para redirecionar todas as conexões da porta 80 para 3128, acredito que seja por aí a configuração, fazer com que a conexão de tal MAC ou IP não redirecione para porta 3128.

    Agradeço desde já a ajuda.

    Atenciosamente.

  2. veja se ajuda
    Código :
    # smartphone do zé 192.168.1.50   
    $iptables -t nat -A PREROUTING -s 192.168.1.50 -d 0.0.0.0/0  -j ACCEPT



  3. Valeu pela dica.

    Adicionei esta regra lá em etc/arno-iptables-firewall/custom-rules e não bombou, não sei se fiz algo de errado ou adicionei no local errado. Não sei se serve de ajuda, pois não mexo a muito tempo em Linux, mas aí vai algumas configurações que copiei.

    Arno's Iptables Firewall Script v1.8.8o
    -------------------------------------------------------------------------------
    Sanity checks passed...OK
    Stopping (user) plugins (if used)...
    Checking/probing Iptables modules:
    Module check done...
    Configuring /proc/.... settings:
    Enabling anti-spoof with rp_filter
    Enabling SYN-flood protection via SYN-cookies
    Disabling the logging of martians
    Disabling the acception of ICMP-redirect messages
    Setting the max. amount of simultaneous connections to 16384
    Setting default conntrack timeouts
    Enabling protection against source routed packets
    Enabling reduction of the DoS'ing ability
    Setting Default TTL=64
    Disabling ECN (Explicit Congestion Notification)
    Flushing route table
    /proc/ setup done...
    Setting up firewall chains
    Setting default INPUT/FORWARD policy to DROP
    Using loglevel "info" for syslogd

    Setting up firewall rules:
    -------------------------------------------------------------------------------
    Accepting packets from the local loopback device
    Enabling setting the maximum packet size via MSS
    Enabling mangling TOS
    Logging of stealth scans (nmap probes etc.) enabled
    Logging of packets with bad TCP-flags enabled
    Logging of INVALID TCP packets disabled
    Logging of INVALID UDP packets disabled
    Logging of INVALID ICMP packets disabled
    Logging of fragmented packets enabled
    Logging of access from reserved addresses enabled
    Setting up (antispoof) INTERNAL net(s): 10.1.1.0/24
    Reading custom rules from /etc/arno-iptables-firewall/custom-rules
    Checking for (user) plugins in /etc/arno-iptables-firewall/plugins...None found
    Setting up INPUT policy for the external net (INET):
    Logging of explicitly blocked hosts enabled
    Logging of denied local output connections enabled
    Packets will NOT be checked for private source addresses
    Allowing the whole world to connect to TCP port(s): 80 443 2631 22 3110 3007 80 98 5017 27001 5700 5704 5741 5744 7171 7172 8017 30007 3389 54925 54926 137 1011 8
    Allowing the whole world to connect to UDP port(s): 54925 443 80 3110 3007 2631 8098 5017 27001 5700 5704 5741 5744 7171 7172 8017 30007 54926 137
    Denying the whole world to send ICMP-requests(ping)
    Logging of dropped ICMP-request(ping) packets enabled
    Logging of dropped other ICMP packets enabled
    Logging of possible stealth scans enabled
    Logging of (other) connection attempts to PRIVILEGED TCP ports enabled
    Logging of (other) connection attempts to PRIVILEGED UDP ports enabled
    Logging of (other) connection attempts to UNPRIVILEGED TCP ports enabled
    Logging of (other) connection attempts to UNPRIVILEGED UDP ports enabled
    Logging of other IP protocols (non TCP/UDP/ICMP) connection attempts enabled
    Logging of ICMP flooding enabled
    Setting up OUTPUT policy for the external net (INET):
    Allowing all (other) ports/protocols
    Applying INET policy to external interface: eth1 (without an external subnet spe cified)
    Setting up INPUT policy for internal (LAN) interface(s): eth0
    Allowing ICMP-requests(ping)
    Allowing all (other) ports/protocols
    Setting up FORWARD policy for internal (LAN) interface(s): eth0
    Logging of denied LAN->INET FORWARD connections enabled
    Setting up LAN->INET policy:
    Allowing TCP port(s): 21 443 25 22 10118 3110 995 54925 54926 137 587 465 8245 110 1723 3007 3550 4550 27001 5700 5704 5741 5744 6550 80 2631 8098 1863 1867 6 891 6901 5017 7171 7172 8017 3389 30007 35300 5552 9100 9190
    Allowing UDP port(s): 53 443 3007 3110 8098 500 1863 1867 6891 6901 5002 27001 5700 5704 5741 5744 5017 7171 7172 8017 3389 5003 587 54925 54926 137 80 2631 1 10 30007 9100
    Allowing ICMP-requests(ping)
    Denying all (other) ports/protocols
    Enabling masquerading(NAT) via external interface(s): eth1
    Adding (internal) host(s): 10.1.1.0/24
    Forwarding(NAT) TCP port(s) 3389 to 10.1.1.3
    Redirecting all internal HTTP(port 80) traffic to proxy-port 3128
    Security is ENFORCED for external interface(s) in the FORWARD chain

    Mar 22 17:41:25 All firewall rules applied.

    ------

    ##SERVIDOR###
    iptables -t nat -A PREROUTING -p tcp -s 10.1.1.195/32 --dport 80 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s 192.168.1.254/32 --dport 80 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s 192.168.1.250/32 --dport 80 -j ACCEPT


    iptables -A FORWARD -s 10.1.1.0/24 -d 201.21.198.160 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128


    #iptables -t nat -A PREROUTING -p tcp --dport 80 -d ! 200.201.174.207 -j REDIRECT --to-port 3128
    #$IPTABLES -t nat -A POSTROUTING -d 200.201.173.68 -j ACCEPT
    #iptables -A FORWARD -d 200.201.174.0/24 -j ACCEPT
    #iptables -A FORWARD -d 200.201.173.0/24 -j ACCEPT
    #iptables -A FORWARD -s 192.168.1.250 -j ACCEPT
    #iptables -A FORWARD -s 192.168.0.47 -j ACCEPT
    iptables -A FORWARD -s 10.1.1.193 -j ACCEPT
    iptables -I FORWARD 1 -p tcp --dport 35108:35118 -j ACCEPT

    ------

    ### Portas q rodam o servidor
    http_port 3128
    ###
    ## Nome do servidor no squid
    visible_hostname srvltsp

    ## Tamanhos de arquivos salvos
    maximum_object_size_in_memory 64 KB
    maximum_object_size 512 MB
    minimum_object_size 0 KB

    ## Tenha no minimo o dobro livre de memória
    cache_mem 32 MB
    cache_swap_low 90
    cache_swap_high 95

    ## Configs de cache
    cache_effective_user proxy
    cache_effective_group proxy
    cache_dir ufs /var/log/squid 1024 16 256

    ## local salva logs
    cache_access_log /var/log/squid/access.log
    cache_log /var/log/squid/cache.log
    cache_store_log none

    ## Refresh
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 15 20% 2280

    ## Liberar acesso por horário

    #acl tempolivre MTWHF 12:00-13:00
    #acl manha time MTWHF 06:00-12-00
    #acl tarde time MTWHF 13:00-18:30

    acl ips_bloqueados src "/etc/squid/regras/ips_bloqueados"
    http_access deny ips_bloqueados

    acl liberados url_regex "/etc/squid/regras/liberados"
    http_access allow liberados

    acl ips_liberados src "/etc/squid/regras/ips_liberados"
    http_access allow ips_liberados

    acl bloqueados url_regex "/etc/squid/regras/bloqueados"
    http_access deny bloqueados

    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd

    acl senha proxy_auth REQUIRED

    auth_param basic children 5

    Desde já agradeço a atenção.

    Luis.

  4. Configurar o proxy no smart?
    Porque você não faz proxy transparente para não ter que configurar proxy nos navegadores?
    Acredito que seria mais viavel!



  5. Desculpe minha ignorância sobre efetuar a cfg para proxy transparente, mas como eu poderia efetuar esta configuração? Seria algo a modificar no squid.conf? Ou modificar todas configurações?

    Se puderes me ajudar com esta configuração lhe agradeço muito.

    Atenciosamente,

    Luis.






Tópicos Similares

  1. Reserva de IP por MAC no Mikrotik
    Por fabianojean no fórum Redes
    Respostas: 6
    Último Post: 13-09-2006, 20:50
  2. Respostas: 14
    Último Post: 16-08-2006, 16:10
  3. Controle de acesso por MAC Address.
    Por GrayFox no fórum Sistemas Operacionais
    Respostas: 1
    Último Post: 22-02-2006, 07:08
  4. Respostas: 1
    Último Post: 11-07-2005, 12:45
  5. Controle de acesso por mac address.
    Por tonton no fórum Servidores de Rede
    Respostas: 1
    Último Post: 04-06-2004, 09:07

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L