Página 6 de 11 PrimeiroPrimeiro ... 2345678910 ... ÚltimoÚltimo
+ Responder ao Tópico



  1. Citação Postado originalmente por aledr
    Citação Postado originalmente por Brenno
    em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.

    em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,

    quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.

    teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.

    quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.

    sem mais.
    Estar cadastrado ou não há muito tempo, isso não importa, pode importar pra você, mas não significa nada.
    Não me compliquei nenhum pouco, é só dispensar um pouco mais de tempo na leitura do post que vai perceber. Tudo faz sentido se interpretado corretamente.
    Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui, vai compartilhar ADSL que você ganha mais! Ou então dá uma olhada no site do netfilter pra aprender um pouco, quem sabe fique à altura pra discutir alguma coisa: http://www.netfilter.org/

    Agora a melhor parte é essa em que você pede desculpa aos outros por perderem tempo com você!! Realmente você está de parabéns! Demonstrou humildade! Aqui está:

    quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena

    eu pedir desculpas que estão lendo esse esse topic, pois não vale a pena
    ler bobegem vindo de um de uma pessoa sem nem um leiga que ao em vez de ajudar, só faz atrapalhar, atrapalhar sim, pois vc so post coisas sem nexo.

    no seu post passado:

    Cara você ainda tem muito o que aprender...
    Vou argumentar o que? Você expôs uma situação e eu outra!
    dez do começo eu to postando a solução para o problema do bau, se vc ta expôs uma solucão diferente, ou vc eh loko, ou vc eh niwbie, no minino que vc tinha que fazer era ARGUMENTAR!, e o que voce fez?
    simplemente me atakou de todas maneira para desviar do foco, e quando tentou argumenta algo, falou nada com nada, ( eu postei mostrando seu amarodismo) quando pedir pra vc argumentar, vc mais uma vez, fugiu do foco, ai vc vem falar




    Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui,
    o que vc descreveu? pois como eu tinha dito, eu postei e expliquei tudo detalhado oq vc tinhas postado que tava sem nexo

    ao invez de fica atakando experniando, pq nao comenta o post que postei

    referente a sua resposta sem nexo?

    se não tem conhecimento , fica calado cara, eh o melhor que vc faz, pq até agora voce não falou nada com nada..

  2. Num tem nem o que explicar, se você leu, tem que entender.
    Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.

    FORWARD INVERSO:

    Cliente ----> Máquina com Proxy ---> Gateway de Internet
    (Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)

    Espero que tenha entendido até aqui.

    Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
    Percebeu agora seu noob????

    Cara, num tem nem o que explicar num treco simples desse!!
    Faz um favor pra mim agora??

    Vai ver se eu to na esquina!!!



  3. Citação Postado originalmente por aledr
    Num tem nem o que explicar, se você leu, tem que entender.
    Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.

    FORWARD INVERSO:

    Cliente ----> Máquina com Proxy ---> Gateway de Internet
    (Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)

    Espero que tenha entendido até aqui.

    Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
    Percebeu agora seu noob????

    Cara, num tem nem o que explicar num treco simples desse!!
    Faz um favor pra mim agora??

    Vai ver se eu to na esquina!!!

    putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?

    agora eu vou lhe mostra pq vc ta falando coisas sem nexo


    ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
    como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?

    caro colega, ve se entende agora

    UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA

    no firewall ele so vai ter que liberar a 3128 ip do proxy
    iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT

    não eh necessario uma outra regra do tipo

    iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT

    isso NAO EXISTE!!!

    pq?

    pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.

    isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.

    mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse


    iptables -A FORWARD -d 192.168.50.30 -j ACCEPT
    isso não EXISTE!!!!!!!!

    essa regra so seria usada se vc tivesse aplicando DNAT
    oq não eh o caso do bau

    basta ele liberar na forward

    iptables -A FORWARD -s 192.168.50.30 -j ACCEPT

    isso se o nat tiver full

    agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..


    tsc..

  4. #29
    Avenger
    coitado do BAU... deve tar até agora lá tentando entender porque vocês tão brigando aí! hehehe

    tipo que -se- eu fosse ele, nas condições lá de política DROP que ele tem no iptables dele, eu fechava os olhos e abria a máquina do patrãozinho querido dele pro mundo:

    Código :
    #!/bin/bash
    chainplustables="INPUT,filter,0 OUTPUT,filter,1 FORWARD,filter,2 PREROUTING,nat,0 OUTPUT,nat,1 POSTROUTING,nat,1 PREROUTING,mangle,0 INPUT,mangle,0 FORWARD,mangle,2 OUTPUT,mangle,1 POSTROUTING,mangle,1"
    ipdopatraum=192.168.50.30
     
    # I == inject; D == Remove
    job=I
    for cpt in ${chainplustables}; do
     corrente="$(echo ${cpt} | cut -f1 -d",")"
     tabela="$(echo ${cpt} | cut -f2 -d",")"
     # 0 == in ; 1 == out ; 2 == in/out
     caminhos="$(echo ${cpt} | cut -f3 -d",")"
     case ${caminhos} in
      '0') sdip="-s" ;;
      '1') sdip="-d" ;;
      *) sdip="-s -d"
     esac
     if [ "${tabela}" == "nat" -a "${corrente}" == "POSTROUTING" ]; then
      RULE="MASQUERADE"
     else
      RULE="ACCEPT"
     fi
     for sourceordest in ${sdip}; do
      iptables -${job} ${corrente} -t ${tabela} ${sourceordest} ${ipdopatraum} -j ${RULE}
     done
    done

    Em resumo, o que fiz foi colocar regra do iptables pro IP do patrão prá sobrepor a qualquer política de DROP em qualquer corrente, e fazer o tão famoso 'nat' (mascaramento) da conexão dele prá ele, com IP falso, conseguir navegar na internet. Não testei isso (só testei se o script injeta as regras corretamente) -- aqui em casa eu uso política ACCEPT e dropo só o que quero.

    A princípio mesmo 'soltando a franga' do seu patrão, alguém muito mal intensionado não consegue 'acessar' ele, uma vez que ele usa IP falso e não tem nenhuma regra de 'port forward' para o seu patrão. Só que ele poderia fazer tudo que uma conexão NAT da direito, do jeito que um patrão gosta!..

    A propósito, os comandos que esse comandão esquisito (do jeito que ele tá aí) vai fazer, são:
    Código :
    iptables -I INPUT -t filter -s 192.168.50.30 -j ACCEPT
    iptables -I OUTPUT -t filter -d 192.168.50.30 -j ACCEPT
    iptables -I FORWARD -t filter -s 192.168.50.30 -j ACCEPT
    iptables -I FORWARD -t filter -d 192.168.50.30 -j ACCEPT
    iptables -I PREROUTING -t nat -s 192.168.50.30 -j ACCEPT
    iptables -I OUTPUT -t nat -d 192.168.50.30 -j ACCEPT
    iptables -I POSTROUTING -t nat -d 192.168.50.30 -j MASQUERADE
    iptables -I PREROUTING -t mangle -s 192.168.50.30 -j ACCEPT
    iptables -I INPUT -t mangle -s 192.168.50.30 -j ACCEPT
    iptables -I FORWARD -t mangle -s 192.168.50.30 -j ACCEPT
    iptables -I FORWARD -t mangle -d 192.168.50.30 -j ACCEPT
    iptables -I OUTPUT -t mangle -d 192.168.50.30 -j ACCEPT
    iptables -I POSTROUTING -t mangle -d 192.168.50.30 -j ACCEPT

    Espero que isso aqui ajude! Essa sua política de DROP nas correntes dá um probleminha rá fazer excessão prá um indivíduo só heim! Nota que no script prá você mudar o IP que corresponda realmente ao do seu patrão/presidente da empresa; é só mudar a variável 'ipdopatraum' que o script vai rodar tudo beleza. Se quiser 'limpar' as regras que o script fez, basta trocar a variável 'job' de 'I' maiúsculo para 'D' maiúsculo -- para remover talvez você tenha que rodar o SCRIPT com a 'job=D' várias vezes -- o número de vezes que rodou o script com 'job=I'.

    Valeu! E abaixo à brigaiada!..



  5. #30
    bau
    opa uma boa, vou tentar.

    Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.

    Então usa se as tabelas:
    mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
    E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!

    Daí liberando o forward dessa máquina que requesitou o nat.

    Ex. interface net eth0 interface interna firewall eth1.

    iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

    Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.

    Ou há alguma possibilidade de fazer da seguinte forma:

    Bem como disse tenho um firewall em uma máquina e o proxy em outra.

    Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.

    [ ] ´s

    Bau






Tópicos Similares

  1. Liberar IPs para 4 maquinas no mesmo radio
    Por POLACK no fórum Redes
    Respostas: 7
    Último Post: 21-11-2012, 19:14
  2. Respostas: 10
    Último Post: 14-11-2012, 23:10
  3. Liberar Ip para uma lista de Mac's
    Por rndrama no fórum Servidores de Rede
    Respostas: 7
    Último Post: 20-05-2009, 16:37
  4. Ad-ware não atualiza qdo passa pelo proxy
    Por buribai no fórum Servidores de Rede
    Respostas: 1
    Último Post: 25-05-2005, 07:15
  5. Java não passa pelo proxy
    Por marcosgw no fórum Servidores de Rede
    Respostas: 2
    Último Post: 29-03-2005, 10:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L