+ Responder ao Tópico



  1. #1

    Padrão Acessar Apache atras proxy/firewall

    Olá galera....

    Estou com um probleminha, aparentemente simples mas que está me dando uma certa dor de cabeça....

    Configurei um gateway, firewall e proxy na firma.... e coloquei o Sarg pra rodar lá também pro chefe checar quem acessa o que né...

    Mas para eu checar os relatórios de fora, quando digito o IP Válido me aparece o erro:

    *****************************************
    ERRO
    A URL solicitada não pode ser recuperada

    Na tentativa de recuperar a URL: http://2xx.xxx.xxx.xxx/

    O seguinte erro foi encontrado:

    * Proibido o Acesso.

    O controle de acessos impediu sua requisição. Caso você não concorde com isso, por favor, contate seu provedor de serviços, ou o administrador de sistemas.


    Generated Thu, 10 Aug 2006 13:17:01 GMT by XXXXX (Squid/2.4.STABLE7)

    ************************

    Essa máquina está rodando todos esses serviços citados, ah, inclusive OpenVpn também...

    Grato.

  2. #2

    Padrão Re: Acessar Apache atras proxy/firewall

    Bem... tem um Squid aí numa encruzilhada proibindo o seu acesso ao seu servidor, mas na verdade o quê deve estar acontecendo é que a sua regra de proxy transparente tá errada, redirecionando os acessos à porta 80 para a porta 3128, só que de ambas as interfaces de rede. Para resolver isso (Teoricamente), você deve colocar o parâmetro -i $interfaceinterna no seu script de firewall, em sua regra de redirecionamento.


    Abraços!



  3. #3

    Padrão Re: Acessar Apache atras proxy/firewall

    Opa... entao, estou postando aqui meu script, caso possa me ajudar mais ainda... pois eu devo ir amanha ou sabado pra testar essa alteração... :

    *********************

    modprobe iptable_nat
    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    iptables -t nat -F
    iptables -F

    # PORTA 3128 - ACEITA PARA A REDE LOCAL
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
    #iptables -t nat -A PREROUTING -p tcp -d 10.1.1.10 --dport 23 -j DNAT --to 192.168.2.100:23
    #iptables -t nat -A PREROUTING -p tcp -d 10.8.0.2 --dport 23 -j DNAT --to 192.168.2.100:23

    #libera portas especificas pra rede interna
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 20 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 20 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 21 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 21 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 22 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 22 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 23 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 23 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 25 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 25 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 53 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 53 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 80 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 80 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 110 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 110 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 8017 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 8017 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1194 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1194 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1195 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o eth0 -p udp --dport 1195 -j MASQUERADE

    iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 23 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 25 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 53 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 110 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 8017 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1194 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 1195 -j ACCEPT

    iptables -A INPUT -i tun+ -j ACCEPT
    iptables -A FORWARD -i tun+ -j ACCEPT

    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    echo 1 > /proc/sys/net/ipv4/ip_forward

    ################# Inicio do Script para bloqueios de P2P #################

    IPT=iptables

    echo "Bloqueando P2P"

    #EMULE
    iptables -A FORWARD -p TCP --dport 4661 -j REJECT
    iptables -A FORWARD -p TCP --dport 4662 -j REJECT
    iptables -A FORWARD -p UCP --dport 4665 -j REJECT
    iptables -A FORWARD -p UCP --dport 4672 -j REJECT

    #iMesh
    $IPT -A FORWARD -d 216.35.208.0/24 -j REJECT

    #BearShare
    $IPT -A FORWARD -p TCP --dport 6346 -j REJECT

    #ToadNode
    $IPT -A FORWARD -p TCP --dport 6346 -j REJECT

    #WinMX
    $IPT -A FORWARD -d 209.61.186.0/24 -j REJECT
    $IPT -A FORWARD -d 64.49.201.0/24 -j REJECT

    #Napigator
    $IPT -A FORWARD -d 209.25.178.0/24 -j REJECT

    #Morpheus
    $IPT -A FORWARD -d 206.142.53.0/24 -j REJECT
    $IPT -A FORWARD -p TCP --dport 1214 -j REJECT

    #KaZaA
    $IPT -A FORWARD -d 213.248.112.0/24 -j REJECT
    $IPT -A FORWARD -p TCP --dport 1214 -j REJECT

    #Limewire
    $IPT -A FORWARD -p TCP --dport 6346 -j REJECT

    #Audiogalaxy
    $IPT -A FORWARD -d 64.245.58.0/23 -j REJECT

    #bloqueando MSN
    $IPT -t filter -A FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j DROP
    $IPT -A FORWARD -s 192.168.2.0/24 -p tcp --dport 5190 -j REJECT
    $IPT -A FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s 192.168.2.0/24 -d loginnet.passport.com -j REJECT
    iptables -v -I FORWARD -d 65.54.239.0/24 -j DROP
    iptables -v -I FORWARD -s 65.54.239.0/24 -j DROP
    iptables -v -I FORWARD -d 65.54.170.0/24 -j DROP
    iptables -v -I FORWARD -s 65.54.170.0/24 -j DROP
    iptables -v -I FORWARD -d 207.46.0.0/24 -j DROP
    iptables -v -I FORWARD -s 207.46.0.0/24 -j DROP


    ****************


    grato