+ Responder ao Tópico



  1. Citação Postado originalmente por bau
    opa uma boa, vou tentar.

    Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.

    Então usa se as tabelas:
    mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
    E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!

    Daí liberando o forward dessa máquina que requesitou o nat.

    Ex. interface net eth0 interface interna firewall eth1.

    iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

    Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.

    Ou há alguma possibilidade de fazer da seguinte forma:

    Bem como disse tenho um firewall em uma máquina e o proxy em outra.

    Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.

    [ ] ´s

    Bau
    Ex. interface net eth0 interface interna firewall eth1.

    iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT
    o certo seria

    ptables -A FORWARD -s ipdamaquina -i eth1 -o eth0 -j ACCEPT



    pra deixar seu squid em modo transparente seria assim

    iptables -t nat -A PREROUTING -i eth1 192.168.0.0/24 -p tcp --dport 3128 -j DNAT --to 192.168.0.2:3128

    -i eth1 192.168.0.0/24 = eth1 interface da rede interna do fw, 192.168.0.0/24= classe de ip da sua rede interna
    192.168.0.2=ip do servidor proxy

    libera a 3128 na forward e barre a 80
    como ae ta drop all, entao oq tiver na porta 80 comenta a regra

    iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 3128 -j ACCEPT

    assim vc ta fazendo tranparencia no squid em http.

    lembrando que https o squid não suporta TRANSPARENCIA na 443 que eh https.

    boa sorte Bau.

  2. Citação Postado originalmente por Brenno
    putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?

    agora eu vou lhe mostra pq vc ta falando coisas sem nexo

    como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?

    caro colega, ve se entende agora

    UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA

    no firewall ele so vai ter que liberar a 3128 ip do proxy
    iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT

    não eh necessario uma outra regra do tipo

    iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT

    isso NAO EXISTE!!!

    pq?

    pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.
    A máquina é inteligente o bastante, mas você parece não ser, porque até agora não entendeu!!! o conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).

    Por isso continuo insistindo que estamos falando de coisas diferentes... eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts. Você interpreta que ele tem ligação direta com o firewall, e eu interpreto que o proxy é a única máquina que teria ligação direta com o firewall, necessitando assim repassar todos os pacotes ou requisições para o mesmo.
    Citação Postado originalmente por Brenno
    isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.

    mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse

    isso não EXISTE!!!!!!!!
    Existe e é perfeitamente lógico até para uma criança, mas não é só porque você nunca enfrentou uma situação como essa é que ela nunca vai existir. Outra coisa, essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).

    Citação Postado originalmente por Brenno
    essa regra so seria usada se vc tivesse aplicando DNAT
    oq não eh o caso do bau

    basta ele liberar na forward

    iptables -A FORWARD -s 192.168.50.30 -j ACCEPT

    isso se o nat tiver full

    agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..


    tsc..

    Agora vamos resolver essa situação sem resposta marota e sem chilique!! Entendeu ?? Não?? Eu faço uns esquemas mais auto-explicativos e posto aqui se for o caso pra esclarecer isso de vez, que num aguento mais voltar pro mesmo tópico, e acho que o pessoal da Under também não.



  3. . eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.
    vc entendeu? parabens , até que em fim...

    conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).
    DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
    vc mesmo se contradiz


    essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).
    cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
    putz

    como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?

    sao 2 firewall agora? hehehehe

    a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..


    cara, faz uma coisa, esqueçaaa...

    deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.

    abraço

  4. [quote="Brenno"]
    . eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.
    vc entendeu? parabens , até que em fim...

    conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).
    DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
    vc mesmo se contradiz
    Sem nexo é o que você acabou de postar!!! Atente às palavras em negrito!!! Citar exemplo em textos parece que te deixa bastante confuso... :roll: :roll:
    essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).
    cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
    putz

    como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?

    sao 2 firewall agora? hehehehe

    a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..


    cara, faz uma coisa, esqueçaaa...

    deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.

    abraço
    Você não conseguiu compreender ainda!! É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!
    Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

    E depois eu que me contradizo...

    Já fez aquele favor pra mim?



  5. Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

    E depois eu que me contradizo...

    Já fez aquele favor pra mim?
    cara, acho que vc eh duente mental ou algo do tipo.

    pq todos os meus post foi em cima da situação do bau, agora vc diz que vc tava defendendo o seu post que tava em uma situação que vc viajou na maionese?


    É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!
    olha quanto tempo to aqui cadastrado no forum, olha quantos post eu tenho, se isso não eh importante pra vc, pra mim é, pois eu já ajudei muita gente aqui e tmb já me ajudaram muito, conheço a maioria dos admins, tenho 2 artigos que eu coloquei aqui e to terminando o terceiro (nis +nfs) que vou desponibilizar pra comunidade. quanto vc aos seus 5 anos de experiência,
    o que fez ?

    agora eh sua vez, vai ver se eu to la na esquina muleke.
    tsc






Tópicos Similares

  1. Liberar IPs para 4 maquinas no mesmo radio
    Por POLACK no fórum Redes
    Respostas: 7
    Último Post: 21-11-2012, 19:14
  2. Respostas: 10
    Último Post: 14-11-2012, 23:10
  3. Liberar Ip para uma lista de Mac's
    Por rndrama no fórum Servidores de Rede
    Respostas: 7
    Último Post: 20-05-2009, 16:37
  4. Ad-ware não atualiza qdo passa pelo proxy
    Por buribai no fórum Servidores de Rede
    Respostas: 1
    Último Post: 25-05-2005, 07:15
  5. Java não passa pelo proxy
    Por marcosgw no fórum Servidores de Rede
    Respostas: 2
    Último Post: 29-03-2005, 10:17

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L