Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Galera!!

    O Terra Empresa tá falando que o firewall/proxy da empresa do meu amigo está permitindo "OPEN PROXY".
    Já pesquisei na net e achei diversos documentos mas nenhum está claro o que é exatamente open proxy; alguém sabe me definir o que é isto exatamente??, pois li tanta coisa que estou confuso e o que eu estava pensando sobre o assunto agora está mais sombrio do que esclarecido.
    Alguém sabe o que é exatamente OPEN PROXY e o que precisamos verificar pra barrar isso??

    p.s.: na empresa dele tem um micro com ADSL, rolando firewall em iptables + proxy squid, a distro é Slackaware.

    Obrigado galera.
    Abraços.

  2. #2
    wrochal
    Caro Wal,

    Bloquear

    libera

    iptables -A INPUT -s iplan -p tcp --syn --dport porta_proxy -j ACCEPT

    bloqueia o resto.

    iptables -A INPUT -s 0/0 -p tcp --syn --dport porta_proxy -j DROP

    falou,



  3. wrochal2002 e galera!!

    Gostaria de dicas de vcs pra saber se as regras que vou colocar no meu firewall estão legais.
    Estas regras peguei aqui no site e serviam exatamente pra que eu preciso (proxy + outlook express); depois que estas regras estiverem vou acrescentar mais umas (DNAT - redirecionamento para meus servidores internos - FTP / WEB / DNS).

    Configuração geral da rede:
    Rede: 172.16.64.0
    Eth0: rede interna (172.16.64.206)
    Eth1: plugada no link ADSL Speedy
    ------------------------------------------------
    Iníco do script!

    #!/bin/sh
    #/bin/fi2
    #descrição:firewall
    #
    #Regras do Firewall
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    #habilitando roteamento e demais coisinhas
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    #INPUT
    #Liberando o INPUT para a interface loopback
    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 172.16.64.206 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 200.xxx.xx.xx -i lo -j ACCEPT
    #Para conexao estabilizada ou relacionada com meu firewall deve ser mantida
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    #Liberando as respostas dos DNS para meu firewall
    iptables - A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
    iptables - A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
    #Travando os pacotes fragmentados
    iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado:"
    iptables -A INPUT -i eth1 -f -j DROP
    #Evitando Spoofing:
    iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
    #Liberando ping
    iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
    iptables -A INPUT -p icmp -s 200.xxx.xx.xx -d 200.xxx.xx.xx -j ACCEPT
    #Liberando o acesso ao squid para minha rede interna
    iptables -A INPUT -p tcp -i eth0 -s 172.16.0.0/16 --dport 3128 -j ACCEPT
    #Libera o acesso ao ssh
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #Libera o acesso ao ftp
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    #Libera resposta de servidores www para meu squid
    iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
    iptables -A INPUT -p tcp -i eth1 --sport 443 -j ACCEPT
    iptables -A INPUT -p tcp -i eth1 --sport 20 -j ACCEPT
    iptables -A INPUT -p udp -i eth1 --sport 21 -j ACCEPT
    #Travando as porcarias
    iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    iptables -A INPUT -j LOG --log-prefix "Pacote input descartado:"
    iptables -A INPUT -j DROP
    #FORWARD
    #Barra pesada com o FORWARD
    iptables -A FORWARD -m state --state INVALID -j DROP
    #Aceitando as conexoes estabilizadas e relacionadas com outras feitas
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    #Para outlook funfar
    iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.10 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.138 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 172.16.0.0/16 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 172.16.0.0/16 -j ACCEPT
    #Liberando as portas do outlook para acessar os servidores externos
    iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
    #dropar o restante e logar
    iptables -A FORWARD -j LOG --log-prefix "Pacote forward descartado:"
    iptables -A FORWARD -j DROP
    #Mascarando minha rede interna
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    Dúvidas:
    1) com estas regras estou seguro? (não 100% é lógico, sempre existe aqueles que conseguem acessar);
    2) onde eu posso acrescentar a regra de proxy transparente e tb as regras de DNAT pra elas funcionarem.
    3) wrochal2002 - coloquei a regra que vc me passou mas depois que coloco a mesma o proxy não funciona na rede interna; tem uma dica pra mim.

    Abraços.
    Obrigado por todas as dicas.

  4. Galera e wrochal2002!!

    Nenhuma dica????

    Obrigado.



  5. #5
    wrochal
    Caro,

    Faz o que te disse fecha a porta do proxy e só abre para a sua rede.

    falou,






Tópicos Similares

  1. open proxy
    Por beowulf no fórum Servidores de Rede
    Respostas: 6
    Último Post: 02-05-2008, 09:06
  2. Open Proxy
    Por hafesam no fórum Redes
    Respostas: 13
    Último Post: 13-03-2007, 09:01
  3. Proxy
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 02-02-2005, 18:15
  4. Open Proxy Relay
    Por boureal no fórum Servidores de Rede
    Respostas: 1
    Último Post: 22-01-2005, 17:27
  5. Open Proxy - Spam
    Por Wal no fórum Servidores de Rede
    Respostas: 0
    Último Post: 03-03-2004, 18:47

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L