Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    Olá, galera !!!

    Pessoal ... tenho um proxy transparente funfando blzinha, e um firewall usando o iptables ... mas estou tendo problemas para acessar o site do Banco do Brasil ...

    Na página inicial ele entra numa boa ... mas qdo clico em "Sua conta", ele não entra ... demora pra burro e depois aparece que "A página não pode ser exibida" ...

    Depois que eu "zero" o iptables e dou um "MASQUERADE" em tudo, daí ele acessa numa boa ...

    Alguém sabe o que eu tenho que liberar pra ele acessar essa área do site ???

    Valew !!!!!!!!!

  2. #2

    Padrão Acesso ao site do Banco do Brasil

    Essa pagina apesar de ainda num estar autenticada ela usa HTTPS vc habilitou https no proxy dos seus clientes?? (porta 443)
    Detalhe essa pagina tb vai precisar de java.... por isso demora



  3. #3
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    ops: ops: hehehe ... é, k-ra ... não tinha colocado o https na configuração do proxy dos clientes ! rs ... eu mudei e deu certo ... valew pela dica, 1c3_m4n ! Funcionou !

    Mas eu estava querendo usar o proxy transparente ... só não funcionou pra https, tá funfando pro resto ... eu até tentei colocar a regra iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.2:3128 assim como tem pra porta 80, mas não funcionou ...
    Ah, já tenho a regra iptables -A INPUT -i eth0 -p tcp --sport 443 -j ACCEPT no meu firewall ...

    Alguma sugestão ?????

    Valew !!!!!

  4. #4

    Padrão Acesso ao site do Banco do Brasil

    como ta sua regra pra porta 80?



  5. #5
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    Tá assim, ó:

    iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:3128


    É tudo o que eu tenho em relação à porta 80 ...

  6. #6

    Padrão Acesso ao site do Banco do Brasil

    tenta assim:
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128



  7. #7

    Padrão Acesso ao site do Banco do Brasil

    vc tem que adicionar a regra para a porta 443 dentro do squid.conf

    acl Safe_ports port 443

    salva e dá um:

    squid -k reconfigure

    Isso deve resolver...

  8. #8

    Padrão Acesso ao site do Banco do Brasil

    eh tem essa mesmo, mas geralmente ele jah vem com a 443 nas acl



  9. #9
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    Aê, 1c3_m4n ... fiz do jeito q vc falou e não funcionou ...

    Jim, dei uma olhada no meu squid.conf e lá já tem a linha q vc falou ...

  10. #10

    Padrão Acesso ao site do Banco do Brasil

    bom sei lah entaum.... eu nunca fiz proxy transparente um https.... soh com http mesmo... alias eh bem capaz dele num aceitar redirecionamento tb....



  11. #11
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    É mesmo ... faz sentido ele não aceitar redirecionamento da porta 443 ... eu acho q se redirecionar da 443 pra 80, por exemplo, daí já deixa de ser uma conexão segura, ou falei besteira ??? ops:

    Mas blz ... qquer coisa eu configuro o proxy dos clientes para https na mão mesmo ... pelo menos já dá pra resolver o meu problema ... valew !

    Se eu descobrir alguma coisa a respeito eu posto aki, blz ? (e se alguém descobrir, por favor, me mande ! )

    Até + !

  12. #12

    Padrão Acesso ao site do Banco do Brasil

    Eu uso sem problema nenhum amigo... acho que seria legal vc dar uma revisada geral nas suas regras pra ver se não tá se perdendo em algum lugar aí... :-D



  13. #13
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    Sério, Jim ? Como vc faz ???

    O meu script tá assim, ó:

    Código :
    #!/bin/sh
    #
    # Script de configuracao do firewall
    #
     
    # Regras do Firewall
    iptables -F
    iptables -F -t nat
    iptables -Z
    iptables -X
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT
     
    # Libera o INPUT para a interface de loopback
    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 192.168.0.1 -i lo -j ACCEPT
    iptables -A INPUT -p ALL -s 200.200.200.200 -i lo -j ACCEPT
     
    # Para conexao estabelecida ou relacionada deve ser mantida
    iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
     
    # Libera as respostas do DNS para o firewall
    iptables -A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.200.200.200 -j ACCEPT
    iptables -A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.200.200.200 -j ACCEPT
     
    # Trava os pacotes fragmentados
    iptables -A INPUT -i eth1 -f -j DROP
     
    # Evitando o Spoofing
    iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
    iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
    iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
    iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
    iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
     
    # Liberando o ping para a rede interna
    iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
    iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
     
    # Libera o acesso ao squid para a rede interna ...
    iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
    # ... e tambem ao servidor dns
    iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 53 -j ACCEPT
     
    # Libera o acesso ao ssh para a rede interna ...
    iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 22 -j ACCEPT
     
    # Libera o acesso ao Webmin para a rede interna
    iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 10000 -j ACCEPT
     
    # Libera o envio e recebimento de e-mails deste servidor ...
    # ... para a rede interna ...
    iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 110 -j ACCEPT
    # ... e para a rede externa ...
    iptables -A INPUT -p tcp --dport 110 -i eth1 -j ACCEPT
    iptables -A INPUT -p tcp --dport 25 -i eth1 -j ACCEPT
     
    # Libera resposta de servidores www para o squid ...
    iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
    iptables -A INPUT -p tcp -i eth1 --sport 443 -j ACCEPT
    iptables -A INPUT -p tcp -i eth1 --sport 20 -j ACCEPT
    iptables -A INPUT -p udp -i eth1 --sport 21 -j ACCEPT
     
    # Travando inutilidades
    iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    iptables -A INPUT -j DROP
     
    # Barra pesada com o FORWARD
    iptables -A FORWARD -m state --state INVALID -j DROP
     
    # Aceitando as conexoes estabelecidas e relacionadas com outras feitas
    iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
     
    # "Dropar" o restante e logar
    iptables -A FORWARD -j DROP
     
    # Proxy transparente
    iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
    iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128

    O que pode estar errado ?

    Valew !

  14. #14

    Padrão Acesso ao site do Banco do Brasil

    Tira essas daki;
    # Travando inutilidades
    iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
    iptables -A INPUT -j DROP

    se vc tem lah no comeco do arquivo iptables -P INPUT DROP vc num vai precisar dela



  15. #15

    Padrão Acesso ao site do Banco do Brasil

    mais uma coisa da um lsmod e cola aki

  16. #16
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    Dei um lsmod ... olha aí ...

    Código :
    Module                  Size  Used by    Not tainted
    ipt_REDIRECT             736   2  (autoclean)
    smbfs                  31296   1  (autoclean)
    ipt_state                608   3  (autoclean)
    ipt_REJECT              2816   1  (autoclean)
    ipt_MASQUERADE          1216   3  (autoclean)
    ipt_LOG                 3136   0  (autoclean)
    iptable_nat            12660   1  (autoclean) [ipt_REDIRECT ipt_MASQUERADE]
    ip_conntrack           12684   2  (autoclean) [ipt_REDIRECT ipt_state ipt_MASQUERADE iptable_nat]
    iptable_filter          1728   1  (autoclean)
    ip_tables              10432   9  [ipt_REDIRECT ipt_state ipt_REJECT ipt_MASQUERADE ipt_LOG iptable_nat iptable_filter]
    nls_cp437               4384   0  (autoclean)
    apm                     9148   1  (autoclean)
    3c59x                  24648   2  (autoclean)
    keybdev                 1664   0  (unused)
    usbkbd                  2848   0  (unused)
    input                   3072   0  [keybdev usbkbd]
    usb-ohci               17472   0  (unused)
    usbcore                48032   0  [usbkbd usb-ohci]



  17. #17

    Padrão Acesso ao site do Banco do Brasil

    Eh os modulos estao certos....
    bom oq vc acha de comecar a montar o firewall ao contario
    remove todas as regras deixa tudo como ACCEPT e depois cria soh a regra do MASQUERADE e as duas redirect pra porta do squid

  18. #18
    violinista
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    Eh, acho q esse deve ser "o caminho" ... vou tentar por aki ... qquer coisa eu posto novamente !

    Valew !



  19. #19
    hitmam
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    como eu libero uma maquina para acessar o msn com ipfw
    ele ta bloqueando tada as coneções na porta do msn mas eu quero tea acesso em uma uni camaquina da rede como faço isso........

  20. #20
    guardian_metal
    Visitante

    Padrão Acesso ao site do Banco do Brasil

    As minhas regras estão abaixo e funciona perfeito:

    #Start Serv
    #Escript de Firewall e Roteamento de portas
    #
    #Apaga Regras pre Definidas
    iptables -F
    iptables -t nat -F
    #
    #APAGANDO REGRAS
    iptables -F INPUT
    iptables -F FORWARD
    iptables -F OUTPUT
    iptables -X
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A FORWARD -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT
    #
    #adicionando modulos
    modprobe ip_conntrack
    modprobe ipt_MASQUERADE
    modprobe ipt_LOG
    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe iptable_filter
    #
    #Abilita o Roteamento de Kernel
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #
    #Abilita (NAT) Para converter ip 192.168.1.x para 200.x.x.x
    iptables -t nat -A POSTROUTING -s 192.168.172.0/24 -o eth0 -j MASQUERADE
    #
    #Redireciona Todas as portas para a 8080 (http) (Squid)
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 8080
    #
    #-------------------- CONTROLA TODAS AS INPUT NO SERVIDOR ---------------------
    #
    #Libera as portas para entrada no servidor
    #
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 53 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 8080 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
    iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
    #Mantem a conexao das portas liberada acima
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    #--------------------- CONTROLA TODOS OS FORWARD NO SERVIDOR ------------------
    #
    #libera as portas para passar pelo servidor e ter acesso externo
    iptables -A FORWARD -s 192.168.172.0/24 -i eth1 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
    #Mantem a conexao das portas acima liberada
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    #Portas Bloqueadas (MSN)
    iptables -A FORWARD -p TCP --dport 1863 -j DROP
    iptables -A FORWARD -d 64.4.13.0/24 -j REJECT