+ Responder ao Tópico



  1. #1
    mchiareli
    Visitante

    Padrão Qual o problema com esse meu iptbles?? (urgente)

    Seguinte.....
    estou com o iptbles e squid rodando aqui, está funcionando normalmente, mas acontece que os micros estão conseguindo acessar a internet diretamente, o correto era para ser bloqueado todos os micros, exceto alguns que já estão liberados, mas não está bloqueando alguem pode me ajudar, este é o arquivo iptables, deve está faltando alguma coisa, porque ele foi recuperado depois de um acidente que o ocorreu onde foi apagado.


    *nat
    # Generated by iptables-save v1.2.6a on Thu Jan 30 13:43:46 2003
    # Completed on Thu Jan 30 13:43:46 2003
    :POSTROUTING ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    :PREROUTING ACCEPT [0:0]
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 2000 -j DNAT --to-destination 10.0.0.55:2000
    -A PREROUTING -i eth1 -p 47 -d 200.174.109.130 -j DNAT --to-destination 10.0.0.1
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1723 -j DNAT --to-destination 10.0.0.1:1723
    -A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 135 -j DNAT --to-destination 10.0.0.1:135
    -A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 443 -j DNAT --to-destination 10.0.0.1:443
    -A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 80 -j DNAT --to-destination 10.0.0.1:80
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3388 -j DNAT --to-destination 10.0.0.251:3389
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1999 -j DNAT --to-destination 10.0.0.55:80
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3390 -j DNAT --to-destination 10.0.0.3:3389
    -A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3389 -j DNAT --to-destination 10.0.0.1:3389
    -A PREROUTING -m state --state ESTABLISHED -j ACCEPT
    -A PREROUTING -m state -i eth0 --state NEW -j ACCEPT
    -A POSTROUTING -o eth1 -j MASQUERADE

    COMMIT

    *filter
    :OUTPUT ACCEPT [0:0]
    :INPUT DROP [0:0]
    :FORWARD DROP [0:0]
    -A FORWARD -p tcp -m tcp -i eth2 --dport 1863 -j DROP
    -A FORWARD -p tcp -m tcp -i eth0 --dport 1863 -j DROP
    -A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
    -A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP
    -A FORWARD -p tcp -d 10.0.0.1 --dport 135 -j ACCEPT
    -A FORWARD -p tcp -d 10.0.0.1 --dport 444 -j ACCEPT
    -A FORWARD -p tcp -d 10.0.0.1 --dport 443 -j ACCEPT
    -A FORWARD -p tcp -d 10.0.0.1 --dport 80 -j ACCEPT
    -A FORWARD -p 47 -d 10.0.0.1 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 1723 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.55 --dport 1999 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.251 --dport 3389 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.3 --dport 3389 -j ACCEPT
    -A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 3389 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.25 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.55 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.110 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 192.168.1.3 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 192.168.1.2 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.250 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.18 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.17 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.16 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.15 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.14 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.13 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.12 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.11 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.10 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.9 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.3 --dport 80 -j ACCEPT
    -A FORWARD -p tcp -m tcp -s 10.0.0.1 --dport 80 -j ACCEPT
    -A INPUT -j DROP
    # -A INPUT -j LOG
    -A INPUT -m state ! -i eth1 --state NEW -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -s 200.207.50.117 -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
    -A INPUT -p udp -m udp --dport 53 -j ACCEPT


    Se alguem puder me ajudar...

  2. #2
    cortez__
    Visitante

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    Opa,

    segue uma dica
    http://www.guiadohardware.net/linux/dicas/76.htm

    Abrs,
    Marcos Vinicius M. da Silva Junior



  3. #3
    mchiareli
    Visitante

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    obrigado, mas ainda nao funcionou......porque não está bloqueando a porta 80 geral e liberando para os ips indicados será??

  4. #4

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    Vc esta usando Proxy ? Aqui montei um server assim:

    Proxy Transparente
    Autenticação por usuário
    Liberação por IP

    Esse controle esta todo no proxy(squid), tanto a liberação de estação por ip. Além disso todo usuário tem que autenticar. Mesmo o usuário tirando o proxy de opções da internet ele não irá conseguir passar.

    No squid a configuração fica mais ou menos assim:

    #bin/bash
    #Carlos Valcir Ramos - 11/05/2006
    #Arquivo de Configuração SQUID PROXY SERVER

    http_port 3128
    visible_hostname ServerInternet
    cache_mem 128 MB
    maximum_object_size_in_memory 512 KB
    maximum_object_size 800 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    #Libera LOCAL

    acl proibidos dstdomain "/etc/squid/siteproibido"


    acl ipliberado src "/etc/squid/ipliberados"

    acl redelocal src 192.168.X.X/XX

    acl SSL_ports port 443 563
    acl Safe_ports port 80 #http
    acl Safe_ports port 21 #ftp
    acl Safe_ports port 443 563 #https, snews
    acl Safe_ports port 70 #gopher
    acl Safe_ports port 210 #wais
    acl Safe_ports port 1025-65535 #unregistred ports
    acl Safe_ports port 280 #http-mgmt
    acl Safe_ports port 488 #gss-http
    acl Safe_ports port 591 #fielmaker
    acl Safe_ports port 777 #multing http
    acl Safe_ports port 901 #Swat
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    http_access deny proibidos
    http_access deny redelocal !ipliberado

    #Autenticacao de Usuarios
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
    acl autenticados proxy_auth REQUIRED

    http_access allow autenticados
    http_access allow localhost
    http_access deny all

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on



    O que esta destacado é onde vc deve observar mais e mudar ai.

    Espero ter ajudado. Veja que libero somente o que esta no arquivo ipliberado. Foi uma dica do nosso expert xstefanox(nome dificil) acho que é isto mesmo.

    Espero ter ajudado.

    t+




  5. #5
    mchiareli
    Visitante

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    aqui ta autenticando os usuarios, está funcioanando normalmente a autenticação, no squid não foi alterado nada, apenas no iptables que teve um problema e agora qualquer maquina consegue acessar a net sem atutenticação, eu entendo que deveria estar bloqueado a 80 pelo comando:

    -A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
    -A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP

    mas não está.......

    pra começar do zero, oq preciso para bloquear a porta 80 para a rede 80 no iptables?

  6. #6

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    Citação Postado originalmente por mchiareli
    aqui ta autenticando os usuarios, está funcioanando normalmente a autenticação, no squid não foi alterado nada, apenas no iptables que teve um problema e agora qualquer maquina consegue acessar a net sem atutenticação, eu entendo que deveria estar bloqueado a 80 pelo comando:

    -A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
    -A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP

    mas não está.......

    pra começar do zero, oq preciso para bloquear a porta 80 para a rede 80 no iptables?

    Cara vamos do começo. Num to entendendo nada.
    O que está acontecendo ?
    Você tem um proxy autenticado + um firewall.
    O que esta pegando é que todos estão burlando a autenticação ?



  7. #7
    mchiareli
    Visitante

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    eh os seguinte, tenho um firewall + nat com iptables e o proxy autenticado com squid.

    Se o usuario tiver acesso a internet um script já configura o proxy do IE para o squid, isso funciona normalmente, oque não funciona é o seguinte, se o usuario tirar a opçao do proxy do IE a internet é acessada normalmente não está ocorrendo o bloqueio.....

    Esse bloqueio é feito no iptables certo?
    ou devo fazer no squid mesmo?

  8. #8

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    Isso ai é um grande problema que ocorre com o proxy autenticado.
    Usuarios burlando o Proxy.
    Não fiz até hj um autenticado, sempre fiz transparente.
    Tente fazer o seguinte. Num sei se vai dar certo. procure informaçoes até mesmo aqui no forum sobre isso.
    Acredito que seu problema realmente seja do fato do drible na autenticação.

    "
    Transparent Proxy

    Esse recurso é muito útil para evitar que seus usuários "burlem" o proxy removendo as configurações do browser. Eles serão obrigados a passar pelo proxy, mesmo que as máquinas não estejam configuradas para tal. Extremamente recomendado, principalmente em casos de bloqueio de sites ou limitação de banda.

    Experiências pessoais comprovam que usuários com um pouco mais de conhecimentos irão remover a configuração de proxy assim que o administrador sair da sala, seja por ignorância das funcionalidades, seja por medo de ser auditado ou simplesmente por má conduta.

    Para ser possível o uso de proxy transparente com o Squid, o firewall deve ser configurado adequadamente. Se o seu firewall não está listado abaixo, procure na documentação do mesmo qual é a sintaxe equivalente.

    Algumas pessoas desejam trabalhar ao mesmo tempo com autenticação e proxy transparente. Isso é possível de ser feito com uma interação entre o firewall e um cgi, ou algo do gênero.

    Apesar de não ser do escopo do howto abranger regras de firewall específicas e programação, uma boa olhada no google e um pouco de pesquisa deve resolver o problema. "
    Fonte: http://www.linuxman.pro.br/squid/


    a regra de redirecionamento do proxy e abaixo dela a de
    $IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 80 -j DROP




  9. #9
    mchiareli
    Visitante

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    tipo mas eu nao queria isso, eu queria apenas bloquear a net geral...e liberar apenas para ips determinados....

  10. #10

    Padrão Re: Qual o problema com esse meu iptbles?? (urgente)

    Então eu acho que vc tem que criar as regras no seu iptables liberando host por host. Esses hosts que estiverem liberados passarao pelo proxy e os outros vc fecha no proprio firewall

    echo " liberando navegacao a alguns HOST "
    $IPTABLES -A FORWARD -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT
    $IPTABLES -A FORWARD -s 192.168.0.11 -p tcp --dport 80 -j ACCEPT
    $IPTABLES -A FORWARD -s 192.168.0.12 -p tcp --dport 80 -j ACCEPT
    $IPTABLES -A FORWARD -s 192.168.0.13 -p tcp --dport 80 -j ACCEPT

    echo " FECHANDO NAVEGACAO A REDE "
    $IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 80 -j DROP

    echo " REDIRCT for PROXY "
    $IPTABLES -t nat -A PREROUTING -s 192.168.0.10 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
    $IPTABLES -t nat -A PREROUTING -s 192.168.0.11 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
    $IPTABLES -t nat -A PREROUTING -s 192.168.0.12 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
    $IPTABLES -t nat -A PREROUTING -s 192.168.0.13 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT