+ Responder ao Tópico



  1. #1
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Pessoal estou com o seguinte problema:

    Estou usando o Conectiva 8.0 com iptables no FIrewall, com proxy
    Squid com autenticação, sendo assim o site da CEF no item de Conectivade Social, nao entra pois tem que ser feita uma regra de firewall. Não envia o arquivo tbm, a CEF falou que não pode passar pelo proxy :twisted: :twisted:

    Como deixar em proxy transparente e fazer que funcione o Site.

    Obrigado
    Paulo

  2. #2
    Beto
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Fala Paulo, blz...

    Resolvi esse problema, mascarando a porta 80 da rede interna, com destino aos IP's
    200.201.174.202 até o 200.201.174.209
    iptables -t nat -I POSTROUTING -s 192.168.0.1/255.255.255.0 -d 200.201.174.202 -p tcp --dport 80 -j MASQUERADE

    * OBS - Faça regra por regra colocando os ips, tentei fazer 1 só com a range de ip's, mas não funcionou...

    ( )'s

    Beto



  3. #3
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    :lol:

    Obrigado pela ajuda..sou iniciante em firewall...mais algumas duvidas esse IP interno que vc colocou é da maquina que acessa o conectividade social ou é o ip da rede??? Mais uma coisa....na estação ela continua acessando a internet pelo proxy ou vc tirou as configurações do proxy no IE????

    Obrigado!!!

  4. #4
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    8O

    Tbm estou com o mesmo problema!!!!!Essas regras são confusas!!!!

    Daniel



  5. #5
    mouse
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Ermãos, vejam o que postei nesse link:

    https://under-linux.org/modules.php?...=12277&forum=1

  6. #6
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    8O

    Saudações amigos estou prestes a perder o emprego essa bosta do programa da cef!!! Não sei pq a caixa quer ficar usando a porta 80 para coisas que não são http....me salvem!!!

    Flavio



  7. #7
    mouse
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Libera o acesso direto na porta 80 dos servidores da caixa e ta blz...

    Sabe como fazer isso? Se for em iptables tem um post com um link que explica como, senão, manda ae teu firewall que a gente da um jeito.

    .o)

    ]['s

    ChrZ

  8. #8
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Eu to usando um firewall que o Marcio publicou ai na Underlinux!!!!! Me ajudem!!!! Isso se o infeliz do meu chefe não me mandar embora antes!!

    /sbin/modprobe ip_tables
    /sbin/modprobe iptable_filter
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe iptable_nat
    /sbin/modprobe ip_nat_ftp
    /sbin/modprobe ipt_LOG
    /sbin/modprobe ipt_state
    /sbin/modprobe ipt_MASQUERADE
    Beleza, carregados os módulos, vamos dar um "flushing" no firewall, para não termos problemas do tipo: Porque quando eu tiro o proxy do navegador ele continua a utilizar a internet?"...

    /usr/sbin/iptables -F
    /usr/sbin/iptables -Z
    /usr/sbin/iptables -X
    /usr/sbin/iptables -t nat -F
    /usr/sbin/iptables -P INPUT DROP
    /usr/sbin/iptables -P FORWARD DROP
    /usr/sbin/iptables -P OUTPUT ACCEPT
    Detalhes relevantes: nunca se esqueça de dar um flushing na tabela nat também, e pessoal, pensa bem, você tem que liberar o que É NECESSÁRIO, e não tudo, por isso o Policy padrão de input e do forward é DROP, porque se não ta nas regras, ou você esqueceu ou não é para estar liberado! Isso evita acidentes "comuns".
    Habilitando roteamento e demais cositas...
    echo "1" > /proc/sys/net/ipv4/ip_forward
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    No meu firewal nada de scan...


    INPUT
    Vamos liberar o INPUT para a interface de loopback, que só vai ser usada pelo servidor, mas com origem de qualquer ip, para não ter perigo de não manipular alguns pacotes:
    /usr/sbin/iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    /usr/sbin/iptables -A INPUT -p ALL -s 10.0.0.1 -i lo -j ACCEPT
    /usr/sbin/iptables -A INPUT -p ALL -s 200.xxx.xxx.xxx -i lo -j ACCEPT
    Agora uma regra que eu procuro colocar no começo, que na minha opinião melhora um "pouco" a performance do firewall já que a leitura das regras para os pacotes é linear. Ela diz que toda conexão estabilizada ou relacionada com o meu firewall deve ser mantida e não analizada pelas proximas regras:
    /usr/sbin/iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    Libera as respostas dos DNS para meu firewall
    /usr/sbin/iptables -A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.xxx.xxx.xxx -j ACCEPT
    /usr/sbin/iptables -A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.xxx.xxx.xxx -j ACCEPT
    Nada de pacote fragmentado no meu firewall! Se temos um programa criando pacotes despadronizados ou uma tentativa de ataque, o problema não é meu!
    /usr/sbin/iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado: "
    /usr/sbin/iptables -A INPUT -i eth1 -f -j DROP
    (Não esquecendo de logar o pacote fragmentado para descobrir oquê ele é).
    Evitando Spoofing:
    /usr/sbin/iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
    /usr/sbin/iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    /usr/sbin/iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
    /usr/sbin/iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    /usr/sbin/iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP

    Obs: as mascaras estão corretas.
    Regras para ping, aqui varia muito de admin para admin, eu só libero resposta de ping de outros ips, ping para minha rede interna e ping do servidor da minha empresa para o firewall do cliente, como ta na ultima linha:
    /usr/sbin/iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
    /usr/sbin/iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
    /usr/sbin/iptables -A INPUT -p icmp -s 200.20x.xxx.xxx -d 200.xxx.xxx.xxx -j ACCEPT
    Libero o acesso as squid para minha rede interna:
    /usr/sbin/iptables -A INPUT -p TCP -i eth0 -s 10.0.0.0/8 --dport 3128 -j ACCEPT
    Libero o acesso ao ssh:
    /usr/sbin/iptables -A INPUT -p TCP --dport 22 -j ACCEPT
    Libera resposta de servidores www para meu squid:
    /usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 80 -j ACCEPT
    /usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 443 -j ACCEPT
    /usr/sbin/iptables -A INPUT -p TCP -i eth1 --sport 20 -j ACCEPT
    /usr/sbin/iptables -A INPUT -p UDP -i eth1 --sport 21 -j ACCEPT
    Ora de mandar embora as porcarias, agora que ta tudo que eu preciso liberado:
    /usr/sbin/iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    /usr/sbin/iptables -A INPUT -j LOG --log-prefix "Pacote input descartado: "
    /usr/sbin/iptables -A INPUT -j DROP
    Não esqueça de sempre logar o que você descarta, pois pode ser uma tentativa de ataque ou uma porta que deve ser liberada para um programa funcionar!


    FORWARD
    Já começamos com barra pesada no forward, descartando os pacotes inválidos, coisa que no ipchains deixa os admins de firewall loucos:
    /usr/sbin/iptables -A FORWARD -m state --state INVALID -j DROP
    Aceita as conexões estabilizada e recionadas com outras feitas nos pcs da minha rede interna:
    /usr/sbin/iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
    Opa, aqui está um dos segredos para o outlook funcionar, uma coisa que ninguém faz e todo mundo reclama que o teu outlook não funciona, é liberar a resposta e o acesso aos resolvedores de nome, para que o outlook transforme o nome que ele possui no servoidor smtp e pop em um ip:
    /usr/sbin/iptables -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.10 --dport 53 -j ACCEPT
    /usr/sbin/iptables -A FORWARD -p udp -s 10.0.0.0/8 -d 200.204.0.138 --dport 53 -j ACCEPT
    /usr/sbin/iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 10.0.0.0/8 -j ACCEPT
    /usr/sbin/iptables -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 10.0.0.0/8 -j ACCEPT
    Feito isso, vamos liberar para a minha rede interna as portas que o outlook vai utilizar para acessar os servidores externos:
    /usr/sbin/iptables -A FORWARD -p TCP -s 10.0.0.0/8 --dport 25 -j ACCEPT
    /usr/sbin/iptables -A FORWARD -p TCP -s 10.0.0.0/8 --dport 110 -j ACCEPT
    /usr/sbin/iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
    /usr/sbin/iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
    Pronto, o nosso objetivo do outlook funcionar está OK! Agora vamos dropar o resto, nunca se esquecendo de logar isso:
    /usr/sbin/iptables -A FORWARD -j LOG --log-prefix "Pacote forward descartado: "
    /usr/sbin/iptables -A FORWARD -j DROP
    No caso da rede que eu fiz isso, eram poucos pcs, uns 30, então em masquerei a conexão mesmo, mas nada te impede de usar SNAT:
    /usr/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE



  9. #9
    mouse
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Acrescenta essas regras abaixo no final do seu script:

    iptables -I FORWARD -p tcp --dport 80 -s 10.0.0.0/8 -d 200.201.174.202 -j ACCEPT

    Repita essa regra para todos os ips da faixa necessaria (202 a 209)

    No internet explorer coloca os ips 200.201.174.202-209 na lista de excessoes...

    O gateway da estação que vai usar o programa da caixa tem que ser o firewall .

    (Voce colou toda a regra?)

  10. #10
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Ok, ja coloquei!! as regras no final do script.....Estarei testando!!!

    Muito Obrigado!!!! Caso tenho problema será que tem como vc conectar aqui para ver???Não querendo abusar!!!!



  11. #11
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    ????Tem como vc conectar???? te passo a senha do root por e-mail

  12. #12
    mouse
    Visitante

    Padrão PROBLEMAS COMA CEF - CONECTIVIDADE

    Não sou muito fã disso, mas pode mandar ver... ([email protected])

    ]['s

    ChrZ

    P.S: Prometo nao roubar informacoes preciosas e fugir do pais..

    =oP