Página 2 de 3 PrimeiroPrimeiro 123 ÚltimoÚltimo
+ Responder ao Tópico



  1. #6
    dodecaedrum
    Bem, é muito difícil só de olhar...

    Será que o PREROUTING joga a regra do REDIRECT pelo loopback ?
    mas eu acho que vc tem que habilitar o loopback tb no INPUT. Só como teste insira uma regra no seu script:

    iptables -A INPUT -i lo -j ACCEPT

    Acho que você já verificou se o OUTPUT está no ACCEPT (é claro né?).

    Tenta aí

    Mas o nosso amigo tem razão ... pra que configurar o navegador? faça transparente que vai dar certeza de ninguém utilizar a porta 80. A idéia é essa mesmo, pois ao menos vc ganha tempo não tendo que configurar nada nas estações

  2. #7
    cag
    liberei tudo, ficou assim

    Código :
    #Rede Interna
    REDE_INTERNA=192.168.1.0/24
     
    #Ativar modulos
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_nat_ftp
     
    #Matando Firewall
    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
     
    #Dropando todos os Policiamentos
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
     
    #Compartilhar a Internet
    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr
     
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 80
    #Regras INPUT
     
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT  -i lo -j ACCEPT
    iptables -A INPUT  -i eth1 -j ACCEPT
    iptables -A INPUT -i eth0 -p tcp --dport 777 --syn -j ACCEPT
     
    #Regras Forward
     
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth1 -j ACCEPT
    echo "Levantando Firewall..."

    mas está funcionando normal.
    Tirando o PREROUTING, que postei em outro tópico.

    valeu



  3. bom, em primeiro lugar, um dica pra ti, coloca as regras da tabela nat sempre as ultimas, e em segundo, ao usar uma regra na chain prerounting, sera necessario que vc a libere a porta na forward, pq todo o trafego da rede passa primeiro na tabela nat, quando tu redireciona, ele vai pra tabela filter, como tu ta redirecionando pra uma maquina da tua rede, ele vai na chain forward, e se vc n libera na forward ele dropa o pacote, entao no seu caso, seria assim:

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 80
    bora começa com teu squid, supondo que eth1= sua interface da rede interna e eth0=interface da internet

    a primeira regra ta certa, só falto vc liberar a 3128 na INPUT, pois tmb suponho que o squid ta rodando no seu fw.

    entao ficaria assim

    iptables -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT

    -s 192.168.0.0/24 classe ip da sua rede

    agora liberar a porta 80 para redirect funcionar
    iptables -A INPUT -i eth0 -p tcp --dport 80 --syn -j ACCEPT

    com isso seus nat irão funcionar. tem mais 2 dicas pra vc.

    retire imediatamente essas 2 regras


    iptables -A FORWARD -o eth0 -s $REDE_INTERNA -j ACCEPT
    iptables -A INPUT -i eth1 -s $REDE_INTERNA -j ACCEPT
    pois com elas seu fw n vale nada, elas simplismente ta liberado tudo pra todos, ou sejá, seu fw ta mais furado do que queijo suiço.

    e a segunda dica eh para vc nunca aceitar ou utilizar script de fw já pronto, pois fw em algo muito personalizado, um script serve pra um mais n serve pra outro, em vez de protejer so faz enrolar. então da um estudada em iptables e faça vc mesmo seu script, vc so vai ta ganhando tempo estudando e n perdendo.

    abraço e qualquer coisa posta ae.
    to com tempinho sobrando pra responder os poste do pessoal aqui

  4. #9
    cag
    Ola brenno, muito obrigado pelas dicas.

    Sim aprendei na marra, sempre precisa liberar na forward nesses casos, fiquei algumas horas na frente do console.

    Mas no caso como a 8080 vai redirecionar para 80 do servidor, precisa liberar na INPUT também.
    Eu estava querendo fazer o impossivel redirecionar sem liberar na INPUT.


    Nào tinha como funcionar mesmo.

    Quanto a liberar tudo, eu sei que não é bom, fiz só para teste.
    Agora que tenho o esqueleto fica fácil montar algo maior.

    Tudo está funcionando legal agora,liberei o emule para ficar com ID Alta etc...
    Melhorei bastante.

    Nunca cheguei a mexer direito com iptables, sabe como é, olha o script de um, pega de outro, quando vai fazer sozinho "A coisa muda".

    Agora deu para pegar bem como a coisa funciona.

    Muito Obrigado por tudo


    "Um off topic"

    Colocando o "--syn" tem muita vantagem ?
    Você pode me explicar ?

    Outra coisa o Squid está funcionando legal, não é transparente eu só redireciono para dar a mensagem para o usuario se ficar sem o proxy.

    []'s :good:



  5. para enteder o que significa --syn, ESTABLISHED RELATED NEW

    vc tem q entender oq é handshake, ou aperto de mãos

    O handshake, eh o procedimento preludio, onde atraves de 3 vias, se pode efetuar o inicio de qualquer conexao na internet! Vejamos o diagrama abaixo, onde o host A irah tentar abrir uma conexao com o host B:


    --------------------------------------------------------------------------------
    | Host A | -------- SYN -------- > | Host B |
    --------------------------------------------------------------------------------

    --------------------------------------------------------------------------------
    | Host A | < -----SYN+ACK -------- | Host B |
    --------------------------------------------------------------------------------

    --------------------------------------------------------------------------------
    | Host A | -------- ACK -------- > | Host B |
    --------------------------------------------------------------------------------

    O host A solicita conexao atraves do envio de um pacote com o bit SYN ativado! Em seguida, o host B responde a solicitacao do Host A enviando um pacote com os bits SYN+ACK ativados! Por fim, para terminar o handshake, o Host A envia um pacote contendo o bit ACK ativado para o Host B, a partir de entao, as duas maquinas estarao conectadas e podem trocar dados entre si!

    Abaixando um pouco mais o nivel, para os que desejam praticar Blind Spoof, Podemos analisar outro diagrama do handshake abaixo:

    Host A Host B
    texto tirado da url http://www.securityexperts.com.br/mo...howpage&pid=27

    bom, com isso, eu digo que so aceite coneccao se a flag for --syn.

    o ideal seria usar o -m state --state NEW, com isso ele só aceitaria a flag syn do inicio, quando coloco --syn, ele aceita qualquer tipo de pacote com flag syn, deu pra entender a diferença de new pra --syn?

    o related seria no caso do syn+ack e established seria ack quando a coneccao esta estabelecida..

    pouca gente sabe disso, quem sabe um dia eu escreva um howto detalhando isso

    abraço






Tópicos Similares

  1. problema kozumi nao sei mais o que fazer..
    Por darlangomes no fórum Redes
    Respostas: 20
    Último Post: 01-05-2010, 20:43
  2. nao sei mais o que fazer
    Por vipnet24hs no fórum Redes
    Respostas: 9
    Último Post: 08-07-2008, 11:59
  3. Respostas: 6
    Último Post: 01-11-2007, 20:49
  4. PixelView Mpeg2 M4900 (Nao sei mais o que fazer!)
    Por wolfazevedo no fórum Sistemas Operacionais
    Respostas: 2
    Último Post: 06-06-2005, 18:55
  5. Nao sei mais o que fazer!
    Por mirror no fórum Servidores de Rede
    Respostas: 4
    Último Post: 26-01-2003, 01:56

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L