Página 2 de 2 PrimeiroPrimeiro 12
+ Responder ao Tópico



  1. Citação Postado originalmente por cleciorodrigo
    Ai amigo adiciona essas regras no seu firewall, antes da regra que redireciona pro squid

    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.166.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.166.0/24 --dport 80 -j ACCEPT

    Lembrando que 10.10.11.0/24 seja sua rede local ai, se não for muda
    vou colocar essa regra antes do redirecionamento para a porta do squid 3128 e depois do redirecionamento eu ainda preciso excluir ela da regra?
    ex:

    # iptables -t nat -A PREROUTING -d ! 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    e com isso eu ainda preciso fazer as regras de no_cache como sita o amogo:
    Citação Postado originalmente por paulojrandrade
    Amigo tive o memso problema aqui em minha rede, mas naum é apenas uma regrade firewall q ira resolver pra vc... alem da regra naum podes cachear no squid, e vc deve ter apenas o Virtual Machine da Microsoft e naum o Java da Sun. Aqui para mim deu certo...

    $IPT -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
    $IPT -t nat -I PREROUTING -p tcp -d 200.223.0.0 -j ACCEPT
    $IPT -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
    $IPT -I FORWARD -p tcp -d 200.223.0.0 -j ACCEPT

    no Squid

    acl cscaixa url_regex "/etc/squid/cscaixa"
    no_cache deny cscaixa
    always_direct allow cscaixa

    e pronto heheh Boa sorte
    estou confuso na organização dessas regras e meu problema pode ser isso organizar para não aver conflitos de regras, vcs podem me ajudar?


  2. Segue ai um pequeno exemplo de script de firewall, pra vc estudar

    #!/bin/bash

    #### Ativa o roteamento
    echo "1" > /proc/sys/net/ipv4/ip_forward

    #### Limpa as regras
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat

    #### Libera a interface de lo
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    #### Libera o forward e estabiliza a conexão
    iptables -A FORWARD -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    iptables -A FORWARD -s 0/0 -d 10.10.11.0/24 -mstate --state ESTABLISHED,RELATED -j ACCEPT

    #### Mascara a conexao
    iptables -t nat -A POSTROUTING -s 10.10.11.0/24 -d 0/0 -j MASQUERADE

    #### Conectivadade Social
    #
    # Aceita todas as conexões da sua rede local que tenham como destino os IPs da caixa
    #

    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.166.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.166.0/24 --dport 80 -j ACCEPT

    #### Proxy Transparente - Redireciona todo o trafego da porta 80 pra porta do squid
    #
    # Redireciona o trafego da rede local pra porta que seu squid escuta no caso a 3128
    #

    iptables -t nat -A PREROUTING -s 10.10.11.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128


    #### Ativa os modulos do Kernel
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ip_queue
    modprobe ip_tables
    modprobe ipt_LOG
    modprobe ipt_MARK
    modprobe ipt_MASQUERADE
    modprobe ipt_REDIRECT
    modprobe ipt_REJECT
    modprobe ipt_TCPMSS
    modprobe ipt_TOS
    modprobe ipt_limit
    modprobe ipt_mac
    modprobe ipt_mark
    modprobe ipt_multiport
    modprobe ipt_owner
    modprobe ipt_state
    modprobe ipt_tcpmss
    modprobe ipt_tos
    modprobe iptable_filter
    modprobe iptable_mangle
    modprobe iptable_nat

    Neste script acima ele faz o seguinte ele aceita as conexões na porta 80 que tenham como destino os IPs da caixa, assim sendo o trafego destina a caixa não eh redireciona pelo proxy (squid) por este motivo as regras do conectividade social ficam antes da regra que redireciona pro squid.

    Dessa forma vc não precisa alterar nada em seu squid pra usar o conectividade, ja que o trafego não passara por ele.

    O squid não aceita a criptografia usada pelo conectivadade.

    Falow

    Clecio



  3. Citação Postado originalmente por cleciorodrigo
    Segue ai um pequeno exemplo de script de firewall, pra vc estudar

    Neste script acima ele faz o seguinte ele aceita as conexões na porta 80 que tenham como destino os IPs da caixa, assim sendo o trafego destina a caixa não eh redireciona pelo proxy (squid) por este motivo as regras do conectividade social ficam antes da regra que redireciona pro squid.

    Dessa forma vc não precisa alterar nada em seu squid pra usar o conectividade, ja que o trafego não passara por ele.

    O squid não aceita a criptografia usada pelo conectivadade.

    Falow

    Clecio
    Ei amigo estou precisando de sua ajuda eu não consegui inserir seu script junto ao meu estou enviando o script para vc analizar onde estou erando ou ate mesmo se assim não vai dar certo nesse formato que vou te passar o site da caixa ele não consegue nem acessar.
    veja o q vc pode fazer por mim

    #/bin/bash
    #Script de Firewall para bloqueio por MACaddress
    #Criado por Carlos Eduardo Langoni
    #23/01/2003
    #
    # Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
    # Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será blo
    # queado o IP, apenas o MAC
    #
    IPT=/usr/local/sbin/iptables
    PROGRAMA=/bin/firewall
    NET_IFACE=eth1
    LAN_IFACE=eth0
    MACLIST=/etc/init.d/maclist
    echo 1 > /proc/sys/net/ipv4/ip_forward
    case $1 in
    start)
    iptables -F
    iptables -t nat -F
    iptables -t filter -P FORWARD DROP
    for i in `cat $MACLIST`; do
    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`
    #Se status = a então eu libera a conexao
    if [ $STATUS = "a" ]; then
    iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT
    iptables -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

    # Se for = b então bloqueia o MAC
    else
    iptables -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP
    fi
    done
    iptables -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
    iptables -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
    iptables -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s 0/0 -i eth0 --dport 80 -j DNAT --to 200.165.48.122:3128

    #### Libera a interface de lo
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    #### Libera o forward e estabiliza a conexão
    iptables -A FORWARD -s 10.10.11.0/24 -d 0/0 -j ACCEPT
    iptables -A FORWARD -s 0/0 -d 10.10.11.0/24 -mstate --state ESTABLISHED,RELATED -j ACCEPT

    #### Conectivadade Social
    #
    # Aceita todas as conexões da sua rede local que tenham como destino os IPs da caixa
    #

    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s 10.10.11.0/24 -d 200.201.166.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s 10.10.11.0/24 -d 200.201.166.0/24 --dport 80 -j ACCEPT

    # PROXY TRANSPARENTE #
    iptables -t nat -A PREROUTING -i eth0 -p tcp -s 0/0 --dport 80 -j REDIRECT --to 3128
    iptables -t nat -A PREROUTING -i eth0 -p udp -s 0/0 --dport 80 -j REDIRECT --to 3128

    echo "FIREWALL ATIVADO SISTEMA PREPARADO"
    ;;
    stop)
    iptables -F
    iptables -Z
    iptables -t nat -F
    iptables -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"
    ;;
    restart)
    $PROGRAMA stop
    $PROGRAMA start
    ;;
    esac

  4. Meu amigo dei uma alterada no seu Scrit de firewall mais nao tive tempo de testar segue ele ai

    #/bin/bash
    #Script de Firewall para bloqueio por MACaddress
    #Criado por Carlos Eduardo Langoni
    #23/01/2003
    #
    # Funcionamento: Crie um arquivo no formato (a,b);(mac);(IP Source);(nome)
    # Aonde a é aceitar e b é bloquear que serve para o caso de haver necessidade de bloquear algum IP e MAC, caso b não será blo
    # queado o IP, apenas o MAC
    #


    IPT=/usr/local/sbin/iptables
    PROGRAMA=/bin/firewall
    NET_IFACE=eth1
    LAN_IFACE=eth0
    MACLIST=/etc/init.d/maclist

    echo 1 > /proc/sys/net/ipv4/ip_forward

    case $1 in

    start)

    iptables -F
    iptables -t nat -F
    iptables -t filter -P FORWARD DROP

    for i in `cat $MACLIST`; do

    STATUS=`echo $i | cut -d ';' -f 1`
    IPSOURCE=`echo $i | cut -d ';' -f 3`
    MACSOURCE=`echo $i | cut -d ';' -f 2`

    #### Se status = a então eu libera a conexao

    if [ $STATUS = "a" ]; then

    iptables -t filter -A FORWARD -d 0/0 -s $IPSOURCE -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A FORWARD -d $IPSOURCE -s 0/0 -j ACCEPT

    iptables -t nat -A POSTROUTING -s $IPSOURCE -o $NET_IFACE -j MASQUERADE
    iptables -t filter -A INPUT -s $IPSOURCE -d 0/0 -m mac --mac-source $MACSOURCE -j ACCEPT
    iptables -t filter -A OUTPUT -s $IPSOURCE -d 0/0 -j ACCEPT

    #### Conectividade Social

    iptables -A INPUT -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -A INPUT -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.174.0/24 --dport 80 -j ACCEPT
    iptables -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80 -j ACCEPT

    #### Redireciona pro Squid

    iptables -t nat -A -A PREROUTING -s $IPSOURCE -p tcp --dport 80 -j REDIRECT --to-port 3128

    # Se for = b então bloqueia o MAC

    else

    iptables -t filter -A FORWARD -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A INPUT -m mac --mac-source $MACSOURCE -j DROP
    iptables -t filter -A OUTPUT -m mac --mac-source $MACSOURCE -j DROP

    fi
    done


    echo "FIREWALL ATIVADO SISTEMA PREPARADO"

    ;;

    stop)

    iptables -F
    iptables -Z
    iptables -t nat -F
    iptables -t filter -P FORWARD ACCEPT
    echo "FIREWALL DESCARREGADO SISTEMA LIBERADO"

    ;;

    restart)

    $PROGRAMA stop
    $PROGRAMA start

    ;;

    esac

    Agora seguinte não intendi bem o pq desse conjunto de regras, a não ser que vc tenha outra range de IP onde não faça controle de mac por IP

    iptables -t nat -A POSTROUTING -s 172.1.1.0/255.255.255.0 -j MASQUERADE
    iptables -t filter -A FORWARD -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A FORWARD -d 172.1.1.0/255.255.255.0 -s 0/0 -j ACCEPT
    iptables -t filter -A INPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    iptables -t filter -A OUTPUT -s 172.1.1.0/255.255.255.0 -d 0/0 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s 0/0 -i eth0 --dport 80 -j DNAT --to 200.165.48.122:3128

    Falow

    Clecio



  5. Ei grande fiz o teste com o script de inicio deu um erro devido a:

    Citação Postado originalmente por cleciorodrigo
    Meu amigo dei uma alterada no seu Scrit de firewall mais nao tive tempo de testar segue ele ai

    #### Redireciona pro Squid

    iptables -t nat -A -A PREROUTING -s $IPSOURCE -p tcp --dport 80 -j REDIRECT --to-port 3128
    mas ate ai tudo bem depois de retirado isso ele levantou legal, mas não sei por qual motivo ele entra em todas as paginas menos a ca caixa "www.caixa.gov.br" e o que é mais interesante é que se antes de levantar a regra eu já estiver com a pagina aberta e logo em seguida for navegar o site surfa maravilha mas não entra na pagina principal.
    Alterei a regra:
    DE
    #iptables -A INPUT -p tcp -s $IPSOURCE -d 200.201.166.0/24 --dport 80 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s $IPSOURCE -d 200.201.173.0/24 --dport 80 -j ACCEPT
    PARA
    #iptables -A INPUT -p tcp -s $IPSOURCE -d caixa.gov.br --dport 80 -j ACCEPT
    #iptables -t nat -A PREROUTING -p tcp -s $IPSOURCE -d caixa.gov.br --dport 80 -j ACCEPT

    E mesmo assim continua com o mesmo problema
    VC TEM ALGUMA IDEIA PARA ME AJUDAR?







Tópicos Similares

  1. Conectividade Social - cmt.caixa.gov.br
    Por portalink no fórum Servidores de Rede
    Respostas: 7
    Último Post: 14-03-2008, 07:58
  2. Respostas: 19
    Último Post: 08-08-2007, 07:16
  3. Conectividade social e Site cmt.caixa.gov.br não funciona no squid
    Por rodrigofsantos no fórum Servidores de Rede
    Respostas: 5
    Último Post: 22-07-2006, 13:04
  4. cmt.caixa.gov.br (que bomba!)
    Por vagnosantana no fórum Servidores de Rede
    Respostas: 3
    Último Post: 17-08-2005, 09:32
  5. Site www.citibank.com.br não funciona com squid + iptables !
    Por hawk23 no fórum Servidores de Rede
    Respostas: 4
    Último Post: 27-07-2004, 21:50

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L