+ Responder ao Tópico



  1. #1
    Aluisio
    galera e o seguinte,

    to com problemas aqui para liberar o acesso ao sistema da caixa economica federal, esta dando um erro, o cara da caixa falou que tenho que liberar a porta 80 para o ip 200.201.17.204, porem to perdido aqui.
    temos dois servidores aqui, no servidor de ip valido consigo fazer o teste de telnet que o cara da caixa pede, ja no outro servidor nao da certo da um erro, vou colocar aqui o script do meu firewall pra vc darem uma olhada:













    # !/bin/sh
    # Sistema de utilizando IPTABLES
    # Autor: Arlindo Follador Netoi
    # Email: lopanx@bol.com.br
    # Data Início: 30/08/2002
    # Data Término: "Só Deus sabe"
    # Descrição: produzido para atender 'as necessidades do provedor de internet do mutumnet do amigfabricio, consiste em gerenciar um servidor de internet usandoum pouco da faixa de IP's do backbone para um rede interna classe C.

    #### Ativando Modulos Necessarios
    #/sbin/modprobe ipt_filter
    #/sbin/modprobe ipt_nat
    #/sbin/modprobe ip_conntrack
    #/sbin/modprobe ipt_mangle
    #/sbin/modprobe ipt_TOS
    #/sbin/modprobe ipt_MASQUERADE
    #/sbin/modprobe ipt_LOG

    #### Definindo Policiamento ####
    ## FILTER
    iptables -t filter -P INPUT DROP
    iptables -t filter -P OUTPUT ACCEPT
    iptables -t filter -P FORWARD DROP

    ## NAT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P OUTPUT ACCEPT
    iptables -t nat -P POSTROUTING DROP

    ## MANGLE
    iptables -t mangle -P PREROUTING ACCEPT
    iptables -t mangle -P OUTPUT ACCEPT

    #### Redirecionamento de Pacotes ####
    echo "1" >/proc/sys/net/ipv4/ip_forward

    #### Proteção contra IP Spoofing ####
    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
    echo 1 >$i
    done

    #####################################################
    ##### FILTER ####
    #####################################################
    #### INPUT ####
    #Criando CHAIN para tratamento da Internet
    iptables -N ppp-input
    #Aceitando trafego -i loopback para -o loopback
    iptables -A INPUT -i lo -j ACCEPT
    ######################INICIO LEBERACAO####################
    #Liberando Acesso de ETH1
    iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
    ########################FIM LEBERACAO#####################

    #Saltando trafego ppp+ para ppp-input
    iptables -A INPUT -i eth0 -j ppp-input
    #Derrubando e logando conexões estranhas
    iptables -A INPUT -j DROP
    #### FORWARD ####
    iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
    iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT

    iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD"
    iptables -A FORWARD -j DROP

    #### PPP-INPUT ####
    #Tolerancia de mensagens ICMP
    iptables -A ppp-input -p icmp -m limit --limit 2/s -j ACCEPT
    # Liberando trafego vindo da internet para o SQUID
    iptables -A ppp-input -p tcp --dport 3128 -j ACCEPT
    iptables -A ppp-input -p udp --dport 3128 -j ACCEPT
    # Liberando trafego vindo da internet para o WWW
    iptables -A ppp-input -p tcp --dport 80 -j ACCEPT
    # Liberando trafego vindo da internet para o SSH
    iptables -A ppp-input -p tcp --dport 22 -j ACCEPT
    # Liberando trafego vindo da internet para o DNS
    iptables -A ppp-input -p udp --dport 53 -j ACCEPT
    # Liberando trafego vindo da internet para o FTP
    iptables -A ppp-input -p tcp --dport 21 -j ACCEPT
    # Liberando trafego vindo da internet para o POP
    iptables -A ppp-input -p tcp --dport 110 -j ACCEPT
    # Liberando trafego vindo da internet para o POP
    iptables -A ppp-input -p tcp --dport 1645 -j ACCEPT
    iptables -A ppp-input -p udp --dport 1645 -j ACCEPT
    iptables -A ppp-input -p tcp --dport 1646 -j ACCEPT
    iptables -A ppp-input -p udp --dport 1646 -j ACCEPT
    # Liberando trafego vindo da internet para o SMTP
    iptables -A ppp-input -p tcp --dport 25 -j ACCEPT
    #Accesso a serviços não autorizados serão bloqueados e logados
    iptables -A ppp-input -p tcp --dport 23 -j LOG --log-prefix "FIREWALL: telnet"
    iptables -A ppp-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: IDENT"
    iptables -A ppp-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL: RPC"
    iptables -A ppp-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: RPC"
    iptables -A ppp-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL: SAMBA"
    iptables -A ppp-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL: SAMBA"

    #Bloqueia qualquer tentativa de nova conexao de fora para esta maquina
    iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: ppp-in"
    iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j DROP

    # Aceita o Resto
    iptables -A ppp-input -j ACCEPT

    ####################################################
    #### NAT ####
    ####################################################

    #### POSTROUTING ####
    #Permite conexao vinda para lo e eth0
    iptables -t nat -A POSTROUTING -o lo -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j ACCEPT
    iptables -t nat -A POSTROUTING -d 0.0.0.0 -o eth0 -j ACCEPT
    # Passando acesso WWW pelo SQUID antes do acesso externo
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #Masquerading
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
    #Liberando conexao para fora eth0 ==> eth1
    iptables -t nat -A POSTROUTING -o eth0 -j ACCEPT
    #Parando e logando outras trafego desconhecido
    iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT"
    iptables -t nat -A POSTROUTING -j DROP
    #FIM



    que puder me ajudar ficaria muito grato
    to começando a trabalhar com o linux agora, quem configurou esse servidor foi uma outra pessoa.

  2. Ola!

    O problema é que o conectividade social da caixa economica não pode passar por proxy, isto que o helpdesk quis dizer com acesso a porta 80(sinseramente eu acredito que a alguns deles nem sabem oque estão dizendo), ou seja o problema esta nesta regra que deveria ser removida:
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Tente remover esta regra assim:
    # iptables -t nat -D PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    qualquer outra duvida a propria caixa economica criou um documento com informações genericas e muito uteis sobre este problema, este documento pode ser acessado neste links:
    http://downloads.caixa.gov.br/pj/_ar...es_CNS-E11.pdf



  3. #3
    Beto
    Citação Postado originalmente por loxamir
    Ola!

    O problema é que o conectividade social da caixa economica não pode passar por proxy, isto que o helpdesk quis dizer com acesso a porta 80(sinseramente eu acredito que a alguns deles nem sabem oque estão dizendo), ou seja o problema esta nesta regra que deveria ser removida:
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Tente remover esta regra assim:
    # iptables -t nat -D PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    qualquer outra duvida a propria caixa economica criou um documento com informações genericas e muito uteis sobre este problema, este documento pode ser acessado neste links:
    http://downloads.caixa.gov.br/pj/_ar...es_CNS-E11.pdf
    Amigo,

    Faça um masquerade da porta 80 do source address para os ips da caixa, mas faça 1 por 1 e não por range.
    O meu funciona dessa forma....

    iptables -t nat -A POSTROUTING -s 192.168.0.1/32 -d ipdacaixa1 -p tcp --dport 80 -j MASQUERADE

    ( )'s

    Beto

  4. #4
    dedei_sj
    O problema não é com a porta 80, aki no meu serviço o pessoal tbm usa o Conectividade Social e a regra é a seguinte:

    #Regras para Conectividade Social
    iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 2631 -j ACCEPT

    Porta 2631.

    1 Abraço,
    Carlos Aquino






Tópicos Similares

  1. Tuxfrw e Conectividade Social
    Por Psalinux no fórum Servidores de Rede
    Respostas: 4
    Último Post: 03-02-2005, 13:22
  2. Pessoal não consigo fazer a conectividade social fungar
    Por Vilmar/RO no fórum Servidores de Rede
    Respostas: 8
    Último Post: 26-07-2004, 10:39
  3. Conectividade Social
    Por no fórum Servidores de Rede
    Respostas: 19
    Último Post: 06-04-2004, 09:24
  4. Conectividade Social
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-09-2003, 11:10
  5. Conectividade Social CAixa
    Por earaujos no fórum Servidores de Rede
    Respostas: 5
    Último Post: 26-04-2003, 16:08

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L