Página 3 de 4 PrimeiroPrimeiro 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. #11
    La Valle
    Boa Noite Pessoal.

    e o seguinte, vou escrever passo a passo e vou colocar o firewall atual de todas as regras que eu estou usando no momento, que esta funcionando o conectividade social, receitanet e tb o TED (SINTEGRA), esse último estava dando trabalho, mas foi resolvido.

    1) Squid - Proxy Transparente (quem quiser eu passo a configuração necessaria para fazer o proxy transparente.

    O proxy transparente tem que estar configurado para o funcionamento.

    2) Firewall - segue abaixo as regras que eu coloquei.

    #! /bin/bash

    iptables=/sbin/iptables

    ## LIMPA OS IPTABLES ##

    iptables -F
    iptables -t nat -F

    ## CARREGA OS MODULOS DOS IPTABLES ##

    modprobe ip_tables
    modprobe iptable_nat

    ## FECHA OS MODULOS DOS IPTABLES ##

    ## ATIVA ROTEAMENTO VIA KERNEL ##
    echo 1 > /proc/sys/net/ipv4/ip_forward

    ## COMPARTILHANDO O ACESSO A INTERNET ##

    iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

    ## LIBERA A PORTA 22 SSH ##

    iptables -A INPUT -p tcp --dport 22 -j ACCEPT

    ## ACEITA NA REDE O IP INTERNO E EXTERNO ##

    iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.255.255.0 -j ACCEPT
    ## FIM DE PROTOCOLOS ACEITOS NA REDE INTERNA ##

    ## SOCKETES VALIDOS ##

    iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

    ## PROXY TRANSPARENTE ##

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128

    * importante , referente ao Proxy Transparente

    ## LIBERACAO PARA CONECTIVIDADE SOCIAL ##

    iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128


    ### REGRAS PARA RECEITANET ###

    iptables -A FORWARD -p tcp --dport 8017 -i eth0 -d 0/0 -j ACCEPT

    iptables -A FORWARD -p tcp --dport 3456 -i eth0 -d 0/0 -j ACCEPT

    ## REGRA PARA O TED - SINTEGRA ##

    iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.199.34.27 --dport 8017 -j REDIRECT --to-port 3128

    ## FECHA TUDO ##

    iptables -A FORWARD -p icmp -j DROP

    Eis aqui amigos da comunidade, este e o meu firewall que utilizo atualmente, estou ja preparando um outro firewall mais seguro.

    Referente a configuração do squid para trabalhar como proxy transparente, quem quiser saber como funciona me avise que irei explicar sem problemas nenhum.

    abraços a todos

    La Valle

  2. La Valle, coloquei seu firewall no lugar do meu e continuou sem funcionar.

    Portela



  3. #13
    wrochal
    Portela,

    Entao você tem algum problema ai de rede ou configuração.

    Sem Mais,

  4. #14
    La Valle
    Ola Portela,

    como o nosso amigo falou, vc deve estar com algum problema na sua rede.
    Eu posso ate saber aonde estar ocorrendo o erro.

    1) Configuração do seu squid
    2) Configuração do seu firewall sendo.: Regras dos iptables, com mascaramento e compartilhamento.

    Faz o seguinte, me passa as informações que eu te ajudo.

    abraços

    La Valle

    * Preciso tb saber como vc configurou a sua estação de trabalho do ambiente de rede.

    se puder, mande a imagem das informações do seu ambiente de rede.





  5. La Valle ae vai o meu script do squid e do firewall:

    # /etc/squid.conf
    # Este é o principal arquivo de configuração do Squid.
    # Esta versão incluída no Kurumin inclui apenas as opções mais usadas,
    # comentadas de forma a facilitar a configuração. Se quiser ver o arquivo
    # original incluído no pacote, leia o arquivo /etc/squid.conf.debian
    # Comentários por Carlos E. Morimoto


    http_port 3128

    hierarchy_stoplist cgi-bin ?
    acl QUERY urlpath_regex cgi-bin \?
    no_cache deny QUERY


    cache_mem 250 MB


    maximum_object_size_in_memory 100 KB

    maximum_object_size 10 MB
    minimum_object_size 0 KB

    cache_swap_low 90
    cache_swap_high 95

    cache_dir ufs /var/spool/squid 2000 16 64

    cache_access_log /var/log/squid/access.log
    visible_hostname carnaubanet

    ftp_user kurumin@kurumin.com.br

    refresh_pattern ^ftp: 100 20% 2280
    refresh_pattern ^gopher: 15 0% 2280
    refresh_pattern . 100 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost

    acl proibidos dstdom_regex "/etc/squid/proibidos"
    http_access deny proibidos

    acl redelocal src 192.168.0.0/24
    http_access allow redelocal

    http_access deny all

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on



    FIREWALL:

    #!/bin/bash

    # Script de configuração do iptables gerado pelo configurador do Kurumin
    # Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
    # Por Carlos E. Morimoto

    firewall_start(){

    # Abre para uma faixa de endereços da rede local
    iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT
    iptables -A INPUT -p udp -s 192.168.0.0/255.255.255.0 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

    # Abre uma porta (inclusive para a Internet)
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

    # Ignora pings
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Bloqueia traceroute
    iptables -A INPUT -p udp --dport 33435:33525 -j DROP


    # Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    iptables -A FORWARD -m unclean -j DROP
    iptables -A INPUT -m state --state INVALID -j DROP
    iptables -N VALID_CHECK
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
    iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP


    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT


    # Fecha as portas udp de 1 a 1024, abre para o localhost
    iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -p udp --dport 1:1024 -j DROP
    iptables -A INPUT -p udp --dport 59229 -j DROP


    # Bloqueia programas P2P
    #iMesh
    iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
    #BearShare
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT
    #ToadNode
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT
    #WinMX
    iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
    iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
    #Napigator
    iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
    #Morpheus
    iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
    #KaZaA
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
    iptables -A INPUT -m string --string "X-Kazaa" -j DROP
    #Limewire
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT
    #Audiogalaxy
    iptables -A FORWARD -d 64.245.58.0/23 -j REJECT


    # Esta regra é o coração do firewall do Kurumin,
    # ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
    iptables -A INPUT -p tcp --syn -j DROP

    /etc/skel-fix/firewall-msg

    }
    firewall_stop(){
    iptables -F
    iptables -X
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT
    }

    case "$1" in
    "start")
    firewall_start
    ;;
    "stop")
    firewall_stop
    echo "O kurumin-firewall está sendo desativado"
    sleep 2
    echo "ok."
    ;;
    "restart")
    echo "O kurumin-firewall está sendo desativado"
    sleep 1
    echo "ok."
    firewall_stop; firewall_start
    ;;
    *)
    iptables -L -n
    esac






Tópicos Similares

  1. Tuxfrw e Conectividade Social
    Por Psalinux no fórum Servidores de Rede
    Respostas: 4
    Último Post: 03-02-2005, 13:22
  2. Pessoal não consigo fazer a conectividade social fungar
    Por Vilmar/RO no fórum Servidores de Rede
    Respostas: 8
    Último Post: 26-07-2004, 10:39
  3. Conectividade Social
    Por no fórum Servidores de Rede
    Respostas: 19
    Último Post: 06-04-2004, 09:24
  4. Conectividade Social
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 22-09-2003, 11:10
  5. Conectividade Social CAixa
    Por earaujos no fórum Servidores de Rede
    Respostas: 5
    Último Post: 26-04-2003, 16:08

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L