+ Responder ao Tópico



  1. #1
    XamberlaiN
    Oi pessoal! Estou com uma dúvida básica.
    Estou com um problema no meu gateway, preciso liberar algumas portas, para endereços específicos de ips da caixa, para poder utilizar o Conectividade Social.
    O site é esse: http://www1.caixa.gov.br/pj/asp/cone...empregador.asp
    Têm um manual no site, mas não consegui executar nada de útil com ele, por inexperiência minha:
    http://downloads.caixa.gov.br/pj/_ar...es_CNS-E11.pdf

    Código :
    ipfwadm -F -i accept -m -P tcp -S 10.0.0.0/8 1024:65535 -D 200.201.174.0/24) 80

    Meu arquivo de firewall é esse:
    Código :
    #!/bin/bash
    # chkconfig: 345 98 110
    # description: Inicializaçao do firewall
     
    IPTABLES="/sbin/iptables"
    MODPROBE="/sbin/modprobe"
     
    function status()
    {
    	${IPTABLES} -L
    }
     
    function carrega_modulos() 
    {
        $MODPROBE ip_tables
        $MODPROBE iptable_filter
        $MODPROBE iptable_nat
        $MODPROBE ip_nat_ftp
        $MODPROBE ip_conntrack
        $MODPROBE ip_conntrack_ftp
    }
     
    function stop()
    {
    ${IPTABLES} --flush
    ${IPTABLES} -t mangle --flush
    ${IPTABLES} -t nat --flush
     
    ${IPTABLES} -F
    ${IPTABLES} -F INPUT
    ${IPTABLES} -F OUTPUT
    ${IPTABLES} -F FORWARD
    ${IPTABLES} -F -t mangle
    ${IPTABLES} -t mangle -X
    ${IPTABLES} -t nat -X
    ${IPTABLES} -X
    ${IPTABLES} -t nat -F PREROUTING
    ${IPTABLES} -t nat -F OUTPUT
    ${IPTABLES} -t nat -F POSTROUTING
    ${IPTABLES} -t mangle -F PREROUTING
    ${IPTABLES} -t mangle -F OUTPUT
    }
     
    function start()
    {
     
    stop
     
    carrega_modulos
     
    ETHInternet=eth0
    IPInternet= o ip do meu speedy
    echo "IP Internet: " $IPInternet
     
    ETHLocal=eth1
    IPLocal=192.168.0.0/24
    echo "IP Local: " $IPLocal
     
    LOG_FLOOD="2/s"
    SYN_FLOOD="4/s"
    PING_FLOOD="2/s"
    LOG_LEVEL="debug"
     
    echo 1 > /proc/sys/net/ipv4/ip_forward
     
    for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
     echo 1 >$i
    done
     
    ######################### Aceita ##########################
     
    ${IPTABLES} -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    ${IPTABLES} -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
     
    ##### Tráfego do loopback e indo pro loopback
    ${IPTABLES} -A INPUT -i lo -j ACCEPT
     
    ##### Tráfego da rede interna ******
    ${IPTABLES} -A INPUT -i 192.168.0.3 -j REJECT
    ${IPTABLES} -A INPUT -i $ETHLocal -j ACCEPT
     
    ${IPTABLES} -A INPUT -p tcp -s 200.0.0.0/8 --dport ssh -j ACCEPT
     
    ##### Aceita HTTP
    #${IPTABLES} -A INPUT -p tcp -s 0/0 -m multiport --dport http,https -j ACCEPT
     
    ##### Aceita SMTP
    #${IPTABLES} -A INPUT -p tcp -m multiport --dport smtp -j ACCEPT
    #${IPTABLES} -A INPUT -p tcp -m multiport --dport pop3 -j ACCEPT
     
    #### caixa
    ${IPTABLES} -A FORWARD -p tcp -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT
     
    #### Barra o MSN ####
    ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
    ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT
    ${IPTABLES} -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j REJECT
     
     
    ###################################### CRIA LOG 
     
    ##### PING
    #${IPTABLES} -A INPUT -p icmp --icmp-type echo-request -j LOG --log-level "warning" --log-prefix "Firewall - Ping "
     
    ##### SSH,TELNET,FTP
    #${IPTABLES} -A INPUT -p tcp --dport ssh -j LOG --log-level "warning" --log-prefix "Firewall - sshDENIED "
    #${IPTABLES} -A INPUT -p tcp --dport telnet -j LOG --log-level "warning" --log-prefix "Firewall - telnetDENIED "
    #${IPTABLES} -A INPUT -p tcp --dport ftp -j LOG --log-level "warning" --log-prefix "Firewall - ftpDENIED"
     
    ######################################## DROP 
     
    ##### Nega todo acesso restante
    ${IPTABLES} -A INPUT -j DROP
     
    ####################################### FORWARD 
     
    # Drop de passagem de ping
    #${IPTABLES} -A FORWARD -s 192.168.0.100 -j REJECT
     
    ${IPTABLES} -A FORWARD -j ACCEPT
     
    ################################### Regras auxiliares 
    ##### Melhora ssh
    ${IPTABLES} -t nat -A PREROUTING -t mangle -p tcp --dport ssh -j TOS --set-tos Minimize-Delay
    ##### Não deixa smtp sair com prioridade pra não matar o link
    ${IPTABLES} -A PREROUTING -t mangle -p tcp --dport smtp -j TOS --set-tos Normal-Service
     
    ################################### REDIRECIONAMENTO 
    ##### Proxy
    ${IPTABLES} -t nat -A PREROUTING -p tcp -i $ETHLocal --dport 80 -j REDIRECT --to-port 3128
     
    ########################################## NAT 
    ##### NAT da rede interna
     
    ${IPTABLES} -t nat -N INTERNET
    ${IPTABLES} -t nat -A INTERNET -s $IPLocal -j SNAT --to $IPInternet
    ${IPTABLES} -t nat -A POSTROUTING -j INTERNET 
     
     
    ########################################## FIM 
    echo "Firewall iniciado .............."
    }
     
    # End
    function reload()
    {
    	echo "Parando Firewall."
            stop
    	echo "Iniciando Firewall."
            start
    }
     
    case "$1" in
      status)
            status
            ;;
     
      start)
            start
            ;;
      stop)
            stop
            ;;
      restart)
    	reload
    	;;
      reload)
    	reload
            ;;
      *)
            echo "Utilize firewall {start|stop|status|restart|reload}"
            exit 1
    esac

    O arquivo squid.conf é esse:

    Código :
    #	WELCOME TO SQUID 2
    #	------------------
     
    hierarchy_stoplist cgi-bin ?
     
    acl SITE_COOPEC url_regex -i ^http://www.coopec.com.br/
     
    no_cache deny SITE_COOPEC
     
    minimum_object_size 10 KB
     
    maximum_object_size_in_memory 100 KB
     
    cache_access_log /var/log/squid/access.log
     
     
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl ricardo src 192.168.0.100/255.255.255.255
    acl adriano src 192.168.0.3/255.255.255.255
    acl labserver src 192.168.0.30/255.255.255.255
    acl jane src 192.168.0.99/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80		# http
    acl Safe_ports port 21		# ftp
    acl Safe_ports port 443 563	# https, snews
    acl Safe_ports port 70		# gopher
    acl Safe_ports port 210		# wais
    acl Safe_ports port 1025-65535	# unregistered ports
    acl Safe_ports port 280		# http-mgmt
    acl Safe_ports port 488		# gss-http
    acl Safe_ports port 591		# filemaker
    acl Safe_ports port 777		# multiling http
    acl Safe_ports port 901		# SWAT
    acl Safe_ports port 4662        # emule tcp
    acl Safe_ports port 4672        # emule udp
    acl purge method PURGE
    acl CONNECT method CONNECT
    acl proibidos dstdom_regex "/etc/squid/proibidos"
     
    http_access allow manager localhost
    http_access deny manager
     
    http_access allow purge localhost 
    http_access deny purge
    http_access deny !Safe_ports
     
    http_access deny CONNECT !SSL_ports
     
    http_access allow ricardo
    http_access allow labserver
     
    http_access deny proibidos
     
    http_access deny adriano
     
    icp_access allow all
     
    error_directory /usr/lib/squid/errors/Portuguese
     
     
    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on

    Agradeço desde já a ajuda de algum caridoso companheiro!

    Grande abraço!!!!

  2. Cara, tem um post fixo sobre o assunto e uma discussão de semanas no fórum, dá uma olhada lá!



  3. #3
    XamberlaiN
    Citação Postado originalmente por 354mp
    Cara, tem um post fixo sobre o assunto e uma discussão de semanas no fórum, dá uma olhada lá!
    Sobre esse programa em específico?

    Eu coloquei as minhas configurações aqui para que inclusive, quem tiver a boa vontade e a camaradagem, analisar esses arquivos e me dizer o que está errado neles. Obrigado pela ajuda. Desculpe o incômodo. :good:

  4. cara, esse programa é o nosso pesadelo! todos os admins tiveram problemas com ele...



  5. #5
    O duro é que lí tudo o que achei por aqui e não consegui resolver o problema ainda! :toim:






Tópicos Similares

  1. IPTABLES duvida basica
    Por Kernel-Panic no fórum Servidores de Rede
    Respostas: 1
    Último Post: 22-09-2004, 17:05
  2. Dúvida básica sobre o DRBD !!
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 24-08-2004, 17:45
  3. Duvida basica
    Por mson77 no fórum Servidores de Rede
    Respostas: 4
    Último Post: 22-07-2004, 16:35
  4. Dúvidas básica..
    Por Speed no fórum Servidores de Rede
    Respostas: 2
    Último Post: 15-05-2003, 09:26
  5. Duvidas Basica no IPTables
    Por no fórum Servidores de Rede
    Respostas: 5
    Último Post: 24-03-2003, 19:16

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L