Acesso ao site do Banco do Brasil
Olá, galera !!!
Pessoal ... tenho um proxy transparente funfando blzinha, e um firewall usando o iptables ... mas estou tendo problemas para acessar o site do Banco do Brasil ...
Na página inicial ele entra numa boa ... mas qdo clico em "Sua conta", ele não entra ... demora pra burro e depois aparece que "A página não pode ser exibida" ...
Depois que eu "zero" o iptables e dou um "MASQUERADE" em tudo, daí ele acessa numa boa ...
Alguém sabe o que eu tenho que liberar pra ele acessar essa área do site ???
Valew !!!!!!!!!
Acesso ao site do Banco do Brasil
Essa pagina apesar de ainda num estar autenticada ela usa HTTPS vc habilitou https no proxy dos seus clientes?? (porta 443)
Detalhe essa pagina tb vai precisar de java.... por isso demora
Acesso ao site do Banco do Brasil
:oops: :oops: hehehe ... é, k-ra ... não tinha colocado o https na configuração do proxy dos clientes ! rs ... eu mudei e deu certo ... valew pela dica, 1c3_m4n ! Funcionou !
Mas eu estava querendo usar o proxy transparente ... só não funcionou pra https, tá funfando pro resto ... eu até tentei colocar a regra iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.2:3128 assim como tem pra porta 80, mas não funcionou ...
Ah, já tenho a regra iptables -A INPUT -i eth0 -p tcp --sport 443 -j ACCEPT no meu firewall ...
Alguma sugestão ?????
Valew !!!!!
Acesso ao site do Banco do Brasil
como ta sua regra pra porta 80?
Acesso ao site do Banco do Brasil
Tá assim, ó:
iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:3128
É tudo o que eu tenho em relação à porta 80 ...
Acesso ao site do Banco do Brasil
tenta assim:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
Acesso ao site do Banco do Brasil
vc tem que adicionar a regra para a porta 443 dentro do squid.conf
acl Safe_ports port 443
salva e dá um:
squid -k reconfigure
Isso deve resolver...
Acesso ao site do Banco do Brasil
eh tem essa mesmo, mas geralmente ele jah vem com a 443 nas acl
Acesso ao site do Banco do Brasil
Aê, 1c3_m4n ... fiz do jeito q vc falou e não funcionou ... :(
Jim, dei uma olhada no meu squid.conf e lá já tem a linha q vc falou ... :(
Acesso ao site do Banco do Brasil
bom sei lah entaum.... eu nunca fiz proxy transparente um https.... soh com http mesmo... alias eh bem capaz dele num aceitar redirecionamento tb....
Acesso ao site do Banco do Brasil
É mesmo ... faz sentido ele não aceitar redirecionamento da porta 443 ... eu acho q se redirecionar da 443 pra 80, por exemplo, daí já deixa de ser uma conexão segura, ou falei besteira ??? :oops:
Mas blz ... qquer coisa eu configuro o proxy dos clientes para https na mão mesmo ... pelo menos já dá pra resolver o meu problema ... valew !
Se eu descobrir alguma coisa a respeito eu posto aki, blz ? (e se alguém descobrir, por favor, me mande ! :) )
Até + !
Acesso ao site do Banco do Brasil
Eu uso sem problema nenhum amigo... acho que seria legal vc dar uma revisada geral nas suas regras pra ver se não tá se perdendo em algum lugar aí... :-D
Acesso ao site do Banco do Brasil
Sério, Jim ? Como vc faz ???
O meu script tá assim, ó:
Código :
#!/bin/sh
#
# Script de configuracao do firewall
#
# Regras do Firewall
iptables -F
iptables -F -t nat
iptables -Z
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
# Libera o INPUT para a interface de loopback
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 200.200.200.200 -i lo -j ACCEPT
# Para conexao estabelecida ou relacionada deve ser mantida
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
# Libera as respostas do DNS para o firewall
iptables -A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.200.200.200 -j ACCEPT
iptables -A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.200.200.200 -j ACCEPT
# Trava os pacotes fragmentados
iptables -A INPUT -i eth1 -f -j DROP
# Evitando o Spoofing
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
# Liberando o ping para a rede interna
iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
# Libera o acesso ao squid para a rede interna ...
iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
# ... e tambem ao servidor dns
iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 53 -j ACCEPT
# Libera o acesso ao ssh para a rede interna ...
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 22 -j ACCEPT
# Libera o acesso ao Webmin para a rede interna
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 10000 -j ACCEPT
# Libera o envio e recebimento de e-mails deste servidor ...
# ... para a rede interna ...
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 110 -j ACCEPT
# ... e para a rede externa ...
iptables -A INPUT -p tcp --dport 110 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -i eth1 -j ACCEPT
# Libera resposta de servidores www para o squid ...
iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 20 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --sport 21 -j ACCEPT
# Travando inutilidades
iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP
# Barra pesada com o FORWARD
iptables -A FORWARD -m state --state INVALID -j DROP
# Aceitando as conexoes estabelecidas e relacionadas com outras feitas
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
# "Dropar" o restante e logar
iptables -A FORWARD -j DROP
# Proxy transparente
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128
O que pode estar errado ?
Valew !
Acesso ao site do Banco do Brasil
Tira essas daki;
# Travando inutilidades
iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP
se vc tem lah no comeco do arquivo iptables -P INPUT DROP vc num vai precisar dela
Acesso ao site do Banco do Brasil
mais uma coisa da um lsmod e cola aki
Acesso ao site do Banco do Brasil
Dei um lsmod ... olha aí ...
Código :
Module Size Used by Not tainted
ipt_REDIRECT 736 2 (autoclean)
smbfs 31296 1 (autoclean)
ipt_state 608 3 (autoclean)
ipt_REJECT 2816 1 (autoclean)
ipt_MASQUERADE 1216 3 (autoclean)
ipt_LOG 3136 0 (autoclean)
iptable_nat 12660 1 (autoclean) [ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack 12684 2 (autoclean) [ipt_REDIRECT ipt_state ipt_MASQUERADE iptable_nat]
iptable_filter 1728 1 (autoclean)
ip_tables 10432 9 [ipt_REDIRECT ipt_state ipt_REJECT ipt_MASQUERADE ipt_LOG iptable_nat iptable_filter]
nls_cp437 4384 0 (autoclean)
apm 9148 1 (autoclean)
3c59x 24648 2 (autoclean)
keybdev 1664 0 (unused)
usbkbd 2848 0 (unused)
input 3072 0 [keybdev usbkbd]
usb-ohci 17472 0 (unused)
usbcore 48032 0 [usbkbd usb-ohci]
Acesso ao site do Banco do Brasil
Eh os modulos estao certos....
bom oq vc acha de comecar a montar o firewall ao contario
remove todas as regras deixa tudo como ACCEPT e depois cria soh a regra do MASQUERADE e as duas redirect pra porta do squid
Acesso ao site do Banco do Brasil
Eh, acho q esse deve ser "o caminho" ... vou tentar por aki ... qquer coisa eu posto novamente !
Valew !
Acesso ao site do Banco do Brasil
como eu libero uma maquina para acessar o msn com ipfw
ele ta bloqueando tada as coneções na porta do msn mas eu quero tea acesso em uma uni camaquina da rede como faço isso........
Acesso ao site do Banco do Brasil
As minhas regras estão abaixo e funciona perfeito:
#Start Serv
#Escript de Firewall e Roteamento de portas
#
#Apaga Regras pre Definidas
iptables -F
iptables -t nat -F
#
#APAGANDO REGRAS
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
#adicionando modulos
modprobe ip_conntrack
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe iptable_filter
#
#Abilita o Roteamento de Kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#
#Abilita (NAT) Para converter ip 192.168.1.x para 200.x.x.x
iptables -t nat -A POSTROUTING -s 192.168.172.0/24 -o eth0 -j MASQUERADE
#
#Redireciona Todas as portas para a 8080 (http) (Squid)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 8080
#
#-------------------- CONTROLA TODAS AS INPUT NO SERVIDOR ---------------------
#
#Libera as portas para entrada no servidor
#
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
#Mantem a conexao das portas liberada acima
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#--------------------- CONTROLA TODOS OS FORWARD NO SERVIDOR ------------------
#
#libera as portas para passar pelo servidor e ter acesso externo
iptables -A FORWARD -s 192.168.172.0/24 -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
#Mantem a conexao das portas acima liberada
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Portas Bloqueadas (MSN)
iptables -A FORWARD -p TCP --dport 1863 -j DROP
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT