Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1
    mchiareli
    Seguinte.....
    estou com o iptbles e squid rodando aqui, está funcionando normalmente, mas acontece que os micros estão conseguindo acessar a internet diretamente, o correto era para ser bloqueado todos os micros, exceto alguns que já estão liberados, mas não está bloqueando alguem pode me ajudar, este é o arquivo iptables, deve está faltando alguma coisa, porque ele foi recuperado depois de um acidente que o ocorreu onde foi apagado.


    *nat
    # Generated by iptables-save v1.2.6a on Thu Jan 30 13:43:46 2003
    # Completed on Thu Jan 30 13:43:46 2003
    :POSTROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :PREROUTING ACCEPT [0:0]
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 2000 -j DNAT --to-destination 10.0.0.55:2000
    -A PREROUTING -i eth1 -p 47 -d 200.174.109.130 -j DNAT --to-destination 10.0.0.1
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1723 -j DNAT --to-destination 10.0.0.1:1723
    -A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 135 -j DNAT --to-destination 10.0.0.1:135
    -A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 443 -j DNAT --to-destination 10.0.0.1:443
    -A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 80 -j DNAT --to-destination 10.0.0.1:80
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3388 -j DNAT --to-destination 10.0.0.251:3389
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1999 -j DNAT --to-destination 10.0.0.55:80
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3390 -j DNAT --to-destination 10.0.0.3:3389
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3389 -j DNAT --to-destination 10.0.0.1:3389
    -A PREROUTING -m state --state ESTABLISHED -j ACCEPT
    -A PREROUTING -m state -i eth0 --state NEW -j ACCEPT
    -A POSTROUTING -o eth1 -j MASQUERADE

    COMMIT

    *filter
    :OUTPUT ACCEPT [0:0]
    :INPUT DROP [0:0]
    :FORWARD DROP [0:0]
    -A FORWARD -p tcp -m tcp -i eth2 --dport 1863 -j DROP
    -A FORWARD -p tcp -m tcp -i eth0 --dport 1863 -j DROP
    -A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
    -A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP
    -A FORWARD -p tcp -d 10.0.0.1 --dport 135 -j ACCEPT
    -A FORWARD -p tcp -d 10.0.0.1 --dport 444 -j ACCEPT
    -A FORWARD -p tcp -d 10.0.0.1 --dport 443 -j ACCEPT
    -A FORWARD -p tcp -d 10.0.0.1 --dport 80 -j ACCEPT
    -A FORWARD -p 47 -d 10.0.0.1 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 1723 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.55 --dport 1999 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.251 --dport 3389 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.3 --dport 3389 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 3389 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.25 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.55 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.110 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 192.168.1.3 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 192.168.1.2 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.250 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.18 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.17 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.16 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.15 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.14 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.13 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.12 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.11 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.10 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.9 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.3 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.1 --dport 80 -j ACCEPT
    -A INPUT -j DROP
    # -A INPUT -j LOG
    -A INPUT -m state ! -i eth1 --state NEW -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -s 200.207.50.117 -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
    -A INPUT -p udp -m udp --dport 53 -j ACCEPT


    Se alguem puder me ajudar...

  2. #2
    cortez__
    Opa,

    segue uma dica
    http://www.guiadohardware.net/linux/dicas/76.htm

    Abrs,
    Marcos Vinicius M. da Silva Junior



  3. #3
    mchiareli
    obrigado, mas ainda nao funcionou......porque não está bloqueando a porta 80 geral e liberando para os ips indicados será??

  4. Vc esta usando Proxy ? Aqui montei um server assim:

    Proxy Transparente
    Autenticação por usuário
    Liberação por IP

    Esse controle esta todo no proxy(squid), tanto a liberação de estação por ip. Além disso todo usuário tem que autenticar. Mesmo o usuário tirando o proxy de opções da internet ele não irá conseguir passar.

    No squid a configuração fica mais ou menos assim:

    #bin/bash
    #Carlos Valcir Ramos - 11/05/2006
    #Arquivo de Configuração SQUID PROXY SERVER

    http_port 3128
    visible_hostname ServerInternet
    cache_mem 128 MB
    maximum_object_size_in_memory 512 KB
    maximum_object_size 800 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    #Libera LOCAL

    acl proibidos dstdomain "/etc/squid/siteproibido"


    acl ipliberado src "/etc/squid/ipliberados"

    acl redelocal src 192.168.X.X/XX

    acl SSL_ports port 443 563
    acl Safe_ports port 80 #http
    acl Safe_ports port 21 #ftp
    acl Safe_ports port 443 563 #https, snews
    acl Safe_ports port 70 #gopher
    acl Safe_ports port 210 #wais
    acl Safe_ports port 1025-65535 #unregistred ports
    acl Safe_ports port 280 #http-mgmt
    acl Safe_ports port 488 #gss-http
    acl Safe_ports port 591 #fielmaker
    acl Safe_ports port 777 #multing http
    acl Safe_ports port 901 #Swat
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    http_access deny proibidos
    http_access deny redelocal !ipliberado

    #Autenticacao de Usuarios
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
    acl autenticados proxy_auth REQUIRED

    http_access allow autenticados
    http_access allow localhost
    http_access deny all

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on



    O que esta destacado é onde vc deve observar mais e mudar ai.

    Espero ter ajudado. Veja que libero somente o que esta no arquivo ipliberado. Foi uma dica do nosso expert xstefanox(nome dificil) acho que é isto mesmo.

    Espero ter ajudado.

    t+




  5. #5
    mchiareli
    aqui ta autenticando os usuarios, está funcioanando normalmente a autenticação, no squid não foi alterado nada, apenas no iptables que teve um problema e agora qualquer maquina consegue acessar a net sem atutenticação, eu entendo que deveria estar bloqueado a 80 pelo comando:

    -A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
    -A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP

    mas não está.......

    pra começar do zero, oq preciso para bloquear a porta 80 para a rede 80 no iptables?






Tópicos Similares

  1. Terei problemas com esse enlace?
    Por RBG no fórum Redes
    Respostas: 13
    Último Post: 14-12-2008, 01:02
  2. Problema com programa do Hipercard !! URGENTE !!
    Por RYUDO no fórum Servidores de Rede
    Respostas: 4
    Último Post: 30-01-2007, 19:50
  3. Problemas com comandos no console - Urgente!!!!!!!!!!!!!!!!
    Por flaviobatistela no fórum Servidores de Rede
    Respostas: 1
    Último Post: 22-02-2006, 21:01
  4. Problemas com controle de banda ............. urgente
    Por ccm no fórum Servidores de Rede
    Respostas: 0
    Último Post: 26-07-2005, 20:17
  5. problemas com bind 8.3 (urgente)
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 11-12-2002, 11:38

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L