+ Responder ao Tópico



  1. #1

    Padrão Open Proxy

    Galera!!

    O Terra Empresa tá falando que o firewall/proxy da empresa do meu amigo está permitindo "OPEN PROXY".
    Já pesquisei na net e achei diversos documentos mas nenhum está claro o que é exatamente open proxy; alguém sabe me definir o que é isto exatamente??, pois li tanta coisa que estou confuso e o que eu estava pensando sobre o assunto agora está mais sombrio do que esclarecido.
    Alguém sabe o que é exatamente OPEN PROXY e o que precisamos verificar pra barrar isso??

    p.s.: na empresa dele tem um micro com ADSL, rolando firewall em iptables + proxy squid, a distro é Slackaware.

    Obrigado galera.
    Abraços.

  2. #2
    wrochal
    Visitante

    Padrão block

    Caro Wal,

    Bloquear

    libera

    iptables -A INPUT -s iplan -p tcp --syn --dport porta_proxy -j ACCEPT

    bloqueia o resto.

    iptables -A INPUT -s 0/0 -p tcp --syn --dport porta_proxy -j DROP

    falou,



  3. #3

    Padrão Open Proxy

    wrochal2002 e galera!!

    Gostaria de dicas de vcs pra saber se as regras que vou colocar no meu firewall estão legais.
    Estas regras peguei aqui no site e serviam exatamente pra que eu preciso (proxy + outlook express); depois que estas regras estiverem vou acrescentar mais umas (DNAT - redirecionamento para meus servidores internos - FTP / WEB / DNS).

    Configuração geral da rede:
    Rede: 172.16.64.0
    Eth0: rede interna (172.16.64.206)
    Eth1: plugada no link ADSL Speedy
    ------------------------------------------------
    Iníco do script!

    #!/bin/sh
    #/bin/fi2
    #descrição:firewall
    #
    #Regras do Firewall
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
    #habilitando roteamento e demais coisinhas
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    #INPUT
    #Liberando o INPUT para a interface loopback
    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 172.16.64.206 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 200.xxx.xx.xx -i lo -j ACCEPT
    #Para conexao estabilizada ou relacionada com meu firewall deve ser mantida
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    #Liberando as respostas dos DNS para meu firewall
    iptables - A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
    iptables - A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
    #Travando os pacotes fragmentados
    iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado:"
    iptables -A INPUT -i eth1 -f -j DROP
    #Evitando Spoofing:
    iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
    #Liberando ping
    iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
    iptables -A INPUT -p icmp -s 200.xxx.xx.xx -d 200.xxx.xx.xx -j ACCEPT
    #Liberando o acesso ao squid para minha rede interna
    iptables -A INPUT -p tcp -i eth0 -s 172.16.0.0/16 --dport 3128 -j ACCEPT
    #Libera o acesso ao ssh
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #Libera o acesso ao ftp
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT
    #Libera resposta de servidores www para meu squid
    iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
    iptables -A INPUT -p tcp -i eth1 --sport 443 -j ACCEPT
    iptables -A INPUT -p tcp -i eth1 --sport 20 -j ACCEPT
    iptables -A INPUT -p udp -i eth1 --sport 21 -j ACCEPT
    #Travando as porcarias
    iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    iptables -A INPUT -j LOG --log-prefix "Pacote input descartado:"
    iptables -A INPUT -j DROP
    #FORWARD
    #Barra pesada com o FORWARD
    iptables -A FORWARD -m state --state INVALID -j DROP
    #Aceitando as conexoes estabilizadas e relacionadas com outras feitas
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    #Para outlook funfar
    iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.10 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.138 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 172.16.0.0/16 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 172.16.0.0/16 -j ACCEPT
    #Liberando as portas do outlook para acessar os servidores externos
    iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
    #dropar o restante e logar
    iptables -A FORWARD -j LOG --log-prefix "Pacote forward descartado:"
    iptables -A FORWARD -j DROP
    #Mascarando minha rede interna
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    Dúvidas:
    1) com estas regras estou seguro? (não 100% é lógico, sempre existe aqueles que conseguem acessar);
    2) onde eu posso acrescentar a regra de proxy transparente e tb as regras de DNAT pra elas funcionarem.
    3) wrochal2002 - coloquei a regra que vc me passou mas depois que coloco a mesma o proxy não funciona na rede interna; tem uma dica pra mim.

    Abraços.
    Obrigado por todas as dicas.

  4. #4

    Padrão Open Proxy

    Galera e wrochal2002!!

    Nenhuma dica????

    Obrigado.



  5. #5
    wrochal
    Visitante

    Padrão Open Proxy

    Caro,

    Faz o que te disse fecha a porta do proxy e só abre para a sua rede.

    falou,

  6. #6

    Padrão Open Proxy

    Galera!

    As regras acima estão funcionando corretamente, inclusive liberando a porta do proxy pra rede interna e travando para o restante.
    Agora eu precisava implementar as regras abaixo, vou montar uma DMZ, no firewall anterior estas regras funcionavam corretamente, porém eu estava bem desprotegido em diversas coisas.
    Onde é o melhor local pra eu colocar estas regras pra elas funcionarem?? coloquei elas no final das minhas regras mas elas não estão funcionando; nem o proxy transparente está funcionando, o que estou fazendo de errado??

    Segue as regras abaixo que estou colocando no final das atuais:
    #Proxy transparente
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
    #Redirecionando para o ftp interno na porta 21
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 21 -j DNAT --to 172.16.64.25
    #Redirecionando vnc na maquina interna
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800 -j DNAT --to 172.16.64.48
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5900 -j DNAT --to 172.16.64.48
    #Redirecionando para o servidor web na porta 80
    iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to 172.16.64.25

    Obrigado pelas dicas!



  7. #7
    Abutre
    Visitante

    Padrão Open Proxy

    Não tenho certeza, mas acho q essa regra de INPUT de lixo pelo iptables, tá impedindo o repasse de pacotes para a porta 3128.
    Experimente jogar o PREROUTING para 3128 em cima da regra de INPUT.

    O restante vc vai mudando se esta der certo !!

    Abraço,

    Abutre

  8. #8

    Padrão Open Proxy

    Que treta!!

    Não deu certo; coloquei a regra de proxy-transparente antes de todas e nada.
    Será que fica segura eu mudar o seguinte:
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    para

    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    tipo para eu liberar o que eu quiser e depois sim eu dropar os INPUT, FORWARD??
    O que eu não queria é ficar insegura e deixar portas abertas.
    Agradeço todas as dicas.



  9. #9

    Padrão Open Proxy

    Beleza galera!!

    O problema do Open-Proxy está resolvido.
    Vou finalizar este tópico por aqui, mas vou abrir outro sobre configurações ideais para firewall.

    Obrigado pelas dicas!!
    Abraços.