Open Proxy

**Wal** · 05-03-2004, 15:03

Galera!!

O Terra Empresa tá falando que o firewall/proxy da empresa do meu amigo está permitindo "OPEN PROXY".
Já pesquisei na net e achei diversos documentos mas nenhum está claro o que é exatamente open proxy; alguém sabe me definir o que é isto exatamente??, pois li tanta coisa que estou confuso e o que eu estava pensando sobre o assunto agora está mais sombrio do que esclarecido.
Alguém sabe o que é exatamente OPEN PROXY e o que precisamos verificar pra barrar isso??

p.s.: na empresa dele tem um micro com ADSL, rolando firewall em iptables + proxy squid, a distro é Slackaware.

Obrigado galera.
Abraços.

wrochal · 05-03-2004, 15:07

Caro Wal,

Bloquear

libera

iptables -A INPUT -s iplan -p tcp --syn --dport porta_proxy -j ACCEPT

bloqueia o resto.

iptables -A INPUT -s 0/0 -p tcp --syn --dport porta_proxy -j DROP

falou,

**Wal** · 08-03-2004, 09:14

wrochal2002 e galera!!

Gostaria de dicas de vcs pra saber se as regras que vou colocar no meu firewall estão legais.
Estas regras peguei aqui no site e serviam exatamente pra que eu preciso (proxy + outlook express); depois que estas regras estiverem vou acrescentar mais umas (DNAT - redirecionamento para meus servidores internos - FTP / WEB / DNS).

Configuração geral da rede:
Rede: 172.16.64.0
Eth0: rede interna (172.16.64.206)
Eth1: plugada no link ADSL Speedy
------------------------------------------------
Iníco do script!

#!/bin/sh
#/bin/fi2
#descrição:firewall
#
#Regras do Firewall
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#habilitando roteamento e demais coisinhas
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#INPUT
#Liberando o INPUT para a interface loopback
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 172.16.64.206 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 200.xxx.xx.xx -i lo -j ACCEPT
#Para conexao estabilizada ou relacionada com meu firewall deve ser mantida
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Liberando as respostas dos DNS para meu firewall
iptables - A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
iptables - A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
#Travando os pacotes fragmentados
iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado:"
iptables -A INPUT -i eth1 -f -j DROP
#Evitando Spoofing:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
#Liberando ping
iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp -s 200.xxx.xx.xx -d 200.xxx.xx.xx -j ACCEPT
#Liberando o acesso ao squid para minha rede interna
iptables -A INPUT -p tcp -i eth0 -s 172.16.0.0/16 --dport 3128 -j ACCEPT
#Libera o acesso ao ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Libera o acesso ao ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#Libera resposta de servidores www para meu squid
iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 20 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --sport 21 -j ACCEPT
#Travando as porcarias
iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
iptables -A INPUT -j LOG --log-prefix "Pacote input descartado:"
iptables -A INPUT -j DROP
#FORWARD
#Barra pesada com o FORWARD
iptables -A FORWARD -m state --state INVALID -j DROP
#Aceitando as conexoes estabilizadas e relacionadas com outras feitas
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#Para outlook funfar
iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.10 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.138 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 172.16.0.0/16 -j ACCEPT
iptables -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 172.16.0.0/16 -j ACCEPT
#Liberando as portas do outlook para acessar os servidores externos
iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
#dropar o restante e logar
iptables -A FORWARD -j LOG --log-prefix "Pacote forward descartado:"
iptables -A FORWARD -j DROP
#Mascarando minha rede interna
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Dúvidas:
1) com estas regras estou seguro? (não 100% é lógico, sempre existe aqueles que conseguem acessar);
2) onde eu posso acrescentar a regra de proxy transparente e tb as regras de DNAT pra elas funcionarem.
3) wrochal2002 - coloquei a regra que vc me passou mas depois que coloco a mesma o proxy não funciona na rede interna; tem uma dica pra mim.

Abraços.
Obrigado por todas as dicas.

**Wal** · 09-03-2004, 11:27

Galera e wrochal2002!!

Nenhuma dica????

Obrigado.

wrochal · 09-03-2004, 12:01

Caro,

Faz o que te disse fecha a porta do proxy e só abre para a sua rede.

falou,

**Wal** · 12-03-2004, 11:46

Galera!

As regras acima estão funcionando corretamente, inclusive liberando a porta do proxy pra rede interna e travando para o restante.
Agora eu precisava implementar as regras abaixo, vou montar uma DMZ, no firewall anterior estas regras funcionavam corretamente, porém eu estava bem desprotegido em diversas coisas.
Onde é o melhor local pra eu colocar estas regras pra elas funcionarem?? coloquei elas no final das minhas regras mas elas não estão funcionando; nem o proxy transparente está funcionando, o que estou fazendo de errado??

Segue as regras abaixo que estou colocando no final das atuais:
#Proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
#Redirecionando para o ftp interno na porta 21
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 21 -j DNAT --to 172.16.64.25
#Redirecionando vnc na maquina interna
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800 -j DNAT --to 172.16.64.48
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5900 -j DNAT --to 172.16.64.48
#Redirecionando para o servidor web na porta 80
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to 172.16.64.25

Obrigado pelas dicas!

Abutre · 12-03-2004, 15:41

Não tenho certeza, mas acho q essa regra de INPUT de lixo pelo iptables, tá impedindo o repasse de pacotes para a porta 3128.
Experimente jogar o PREROUTING para 3128 em cima da regra de INPUT.

O restante vc vai mudando se esta der certo !!

Abraço,

Abutre

**Wal** · 12-03-2004, 17:03

Que treta!!

Não deu certo; coloquei a regra de proxy-transparente antes de todas e nada.
Será que fica segura eu mudar o seguinte:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

para

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

tipo para eu liberar o que eu quiser e depois sim eu dropar os INPUT, FORWARD??
O que eu não queria é ficar insegura e deixar portas abertas.
Agradeço todas as dicas.

**Wal** · 14-03-2004, 20:30

Beleza galera!!

O problema do Open-Proxy está resolvido.
Vou finalizar este tópico por aqui, mas vou abrir outro sobre configurações ideais para firewall.

Obrigado pelas dicas!!
Abraços.

Open Proxy

Ferramentas de Tópicos

Open Proxy

block

Open Proxy

Open Proxy

Open Proxy

Open Proxy

Open Proxy

Open Proxy

Open Proxy