Conectividade social

[Aluisio]

galera e o seguinte,

to com problemas aqui para liberar o acesso ao sistema da caixa economica federal, esta dando um erro, o cara da caixa falou que tenho que liberar a porta 80 para o ip 200.201.17.204, porem to perdido aqui.
temos dois servidores aqui, no servidor de ip valido consigo fazer o teste de telnet que o cara da caixa pede, ja no outro servidor nao da certo da um erro, vou colocar aqui o script do meu firewall pra vc darem uma olhada:













# !/bin/sh
# Sistema de utilizando IPTABLES
# Autor: Arlindo Follador Netoi
# Email: [email protected]
# Data Início: 30/08/2002
# Data Término: "Só Deus sabe"
# Descrição: produzido para atender 'as necessidades do provedor de internet do mutumnet do amigfabricio, consiste em gerenciar um servidor de internet usandoum pouco da faixa de IP's do backbone para um rede interna classe C.

#### Ativando Modulos Necessarios
#/sbin/modprobe ipt_filter
#/sbin/modprobe ipt_nat
#/sbin/modprobe ip_conntrack
#/sbin/modprobe ipt_mangle
#/sbin/modprobe ipt_TOS
#/sbin/modprobe ipt_MASQUERADE
#/sbin/modprobe ipt_LOG

#### Definindo Policiamento ####
## FILTER
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP

## NAT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP

## MANGLE
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

#### Redirecionamento de Pacotes ####
echo "1" >/proc/sys/net/ipv4/ip_forward

#### Proteção contra IP Spoofing ####
for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 >$i
done

#####################################################
##### FILTER ####
#####################################################
#### INPUT ####
#Criando CHAIN para tratamento da Internet
iptables -N ppp-input
#Aceitando trafego -i loopback para -o loopback
iptables -A INPUT -i lo -j ACCEPT
######################INICIO LEBERACAO####################
#Liberando Acesso de ETH1
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
########################FIM LEBERACAO#####################

#Saltando trafego ppp+ para ppp-input
iptables -A INPUT -i eth0 -j ppp-input
#Derrubando e logando conexões estranhas
iptables -A INPUT -j DROP
#### FORWARD ####
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -o eth1 -j ACCEPT

iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD"
iptables -A FORWARD -j DROP

#### PPP-INPUT ####
#Tolerancia de mensagens ICMP
iptables -A ppp-input -p icmp -m limit --limit 2/s -j ACCEPT
# Liberando trafego vindo da internet para o SQUID
iptables -A ppp-input -p tcp --dport 3128 -j ACCEPT
iptables -A ppp-input -p udp --dport 3128 -j ACCEPT
# Liberando trafego vindo da internet para o WWW
iptables -A ppp-input -p tcp --dport 80 -j ACCEPT
# Liberando trafego vindo da internet para o SSH
iptables -A ppp-input -p tcp --dport 22 -j ACCEPT
# Liberando trafego vindo da internet para o DNS
iptables -A ppp-input -p udp --dport 53 -j ACCEPT
# Liberando trafego vindo da internet para o FTP
iptables -A ppp-input -p tcp --dport 21 -j ACCEPT
# Liberando trafego vindo da internet para o POP
iptables -A ppp-input -p tcp --dport 110 -j ACCEPT
# Liberando trafego vindo da internet para o POP
iptables -A ppp-input -p tcp --dport 1645 -j ACCEPT
iptables -A ppp-input -p udp --dport 1645 -j ACCEPT
iptables -A ppp-input -p tcp --dport 1646 -j ACCEPT
iptables -A ppp-input -p udp --dport 1646 -j ACCEPT
# Liberando trafego vindo da internet para o SMTP
iptables -A ppp-input -p tcp --dport 25 -j ACCEPT
#Accesso a serviços não autorizados serão bloqueados e logados
iptables -A ppp-input -p tcp --dport 23 -j LOG --log-prefix "FIREWALL: telnet"
iptables -A ppp-input -p tcp --dport 113 -j LOG --log-prefix "FIREWALL: IDENT"
iptables -A ppp-input -p udp --dport 111 -j LOG --log-prefix "FIREWALL: RPC"
iptables -A ppp-input -p tcp --dport 111 -j LOG --log-prefix "FIREWALL: RPC"
iptables -A ppp-input -p tcp --dport 137:139 -j LOG --log-prefix "FIREWALL: SAMBA"
iptables -A ppp-input -p udp --dport 137:139 -j LOG --log-prefix "FIREWALL: SAMBA"

#Bloqueia qualquer tentativa de nova conexao de fora para esta maquina
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j LOG --log-prefix "FIREWALL: ppp-in"
iptables -A ppp-input -m state --state ! ESTABLISHED,RELATED -j DROP

# Aceita o Resto
iptables -A ppp-input -j ACCEPT

####################################################
#### NAT ####
####################################################

#### POSTROUTING ####
#Permite conexao vinda para lo e eth0
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j ACCEPT
iptables -t nat -A POSTROUTING -d 0.0.0.0 -o eth0 -j ACCEPT
# Passando acesso WWW pelo SQUID antes do acesso externo
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Masquerading
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
#Liberando conexao para fora eth0 ==> eth1
iptables -t nat -A POSTROUTING -o eth0 -j ACCEPT
#Parando e logando outras trafego desconhecido
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT"
iptables -t nat -A POSTROUTING -j DROP
#FIM



que puder me ajudar ficaria muito grato
to começando a trabalhar com o linux agora, quem configurou esse servidor foi uma outra pessoa.

[loxamir]

Ola!

O problema é que o conectividade social da caixa economica não pode passar por proxy, isto que o helpdesk quis dizer com acesso a porta 80(sinseramente eu acredito que a alguns deles nem sabem oque estão dizendo), ou seja o problema esta nesta regra que deveria ser removida:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Tente remover esta regra assim:
# iptables -t nat -D PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

qualquer outra duvida a propria caixa economica criou um documento com informações genericas e muito uteis sobre este problema, este documento pode ser acessado neste links:
http://downloads.caixa.gov.br/pj/_ar...es_CNS-E11.pdf

[Beto]

Ola!

O problema é que o conectividade social da caixa economica não pode passar por proxy, isto que o helpdesk quis dizer com acesso a porta 80(sinseramente eu acredito que a alguns deles nem sabem oque estão dizendo), ou seja o problema esta nesta regra que deveria ser removida:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Tente remover esta regra assim:
# iptables -t nat -D PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

qualquer outra duvida a propria caixa economica criou um documento com informações genericas e muito uteis sobre este problema, este documento pode ser acessado neste links:
http://downloads.caixa.gov.br/pj/_ar...es_CNS-E11.pdf

Amigo,

Faça um masquerade da porta 80 do source address para os ips da caixa, mas faça 1 por 1 e não por range.
O meu funciona dessa forma....

iptables -t nat -A POSTROUTING -s 192.168.0.1/32 -d ipdacaixa1 -p tcp --dport 80 -j MASQUERADE

( )'s

Beto

[dedei_sj]

O problema não é com a porta 80, aki no meu serviço o pessoal tbm usa o Conectividade Social e a regra é a seguinte:

#Regras para Conectividade Social
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 2631 -j ACCEPT

Porta 2631.

1 Abraço,
Carlos Aquino