Liberar 1 IP para passa pelo proxy......

Eae gente blz...

Seguinte, usamos tenho um firewall na distro fedora core 2 e um proxy no fd2 tbm.... porém em outra máquina.

Preciso saber como posso liberar um ip full sem q ele tenha q passar pelo proxy... a configuração do proxy aqui é digitada no brower, não é proxy transparente.

Esse ip é do Presidente da empresa, ele usa o netscape 4.9 com imap e por isso o netscape não abre o brower se estiver usando proxy.

Mas o restante da galera tem q passar pelo proxy.

Alguém pode me ajudar!!!

[ ] ´s

Faz um masquerade emcima do ip dele, pois pelo que vi todo mundo so navega atraves do proxy !!!


Valeu !!!

Olha Estas são as configurações que eu uso. no caso o IP 192.168.0.190/32 fica livre de passar pelo proxy.


iptables -t nat -A PREROUTING -s ! 192.168.0.190/32 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s ! 192.168.0.190/32 -p udp --dport 80 -j REDIRECT --to-port 3128



Espero que te ajude.

Valew galera, vou fazer dessa forma..

[ ]´s
Bau

Citação:

---

Postado originalmente por informaticaMB

Olha Estas são as configurações que eu uso. no caso o IP 192.168.0.190/32 fica livre de passar pelo proxy.


iptables -t nat -A PREROUTING -s ! 192.168.0.190/32 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s ! 192.168.0.190/32 -p udp --dport 80 -j REDIRECT --to-port 3128



Espero que te ajude.

---

primeiro: pq /32? e não 190?
segundo: dessa forma vc ta jogando o .190 para porta 3128, ou seja, dessa forma vc ta fazendo com que ele utilize o proxy, isso se a porta 80 tiver barrada e a 3128 tiver liberar para o mesmo na chain input,

ja ouviu falar em snat?

bora la então

Citação:

---

Fazendo SNAT

SNAT (source nat - nat no endereço de origem) consiste em modificar o endereço de origem das máquinas clientes antes dos pacotes serem enviados. A máquina roteadora é inteligente o bastante para lembrar dos pacotes modificados e reescrever os endereços assim que obter a resposta da máquina de destino, direcionando os pacotes ao destino correto. Toda operação de SNAT é feita no chain POSTROUTING.

---

ai vc deve perguntar, qual a diferença entre snat e masquerade!?!

Citação:

---

O IP Masquerading é um tipo especial de SNAT usado para conectar a sua rede interna a internet quando você recebe um IP dinâmico de seu provedor (como em conexões ppp). Todas as operações de IP Masquerading são realizadas no chain POSTROUTING.

---

entao se vc tem ip fixo vc deve utilizar snat, caso contrario vc deve utilizar masquerading.
eh bom informar isso pois muita gente não sabe qual a diferença entre 1 e outro. :)

agora se vc quer que um ip da sua rede vâ pra internet sem passa pelo proxy, basta vc fazer um masquerade no ip da sua rede, lembre que será necessario liberar na chain FORWARD, pois depois da consultar a tabela nat ele vai pra tabela filter(to falando do pacote referente a maquina da rede do mesmo), isso se a politica da chain forward tiver drop, se n, nem precisar liberar :)

vou da um exemplo.

iptables -t nat -A POSTROUTING -s 192.168.0.190 -o ethinetnet -j MASQUERADE

assim o ip 190 estarar sendo liberado tudo, tal fato que não recomendo,
aconselho vc liberar especificando porta e protocolo.

espero que tenha gostado :)
abraço a todos

obs: texto terirado do guia foca linux

Descupe a Falta de Conhecimento.


So dei um exemplo do que eu uso aqui, pra ver se eu poderia ajudar.

no entanto a regra que coloquei diz que todos os IP menos (!) o 192.168.0.190/32 vao ter que passar pelo proxy.


Valew.

Citação:

---

Postado originalmente por informaticaMB

Descupe a Falta de Conhecimento.


So dei um exemplo do que eu uso aqui, pra ver se eu poderia ajudar.

no entanto a regra que coloquei diz que todos os IP menos (!) o 192.168.0.190/32 vao ter que passar pelo proxy.


Valew.

---

que nada, o erro foi meu, n notei que o ! :)

o ideal eh fazer do jeito q eu te disse, pois o exemplo que vc falou a maquina vai ficar sem acesso o proxy certo, mas se o snat tiver drop all, ou forward estiver drop all e a porta 80 tiver barrada, n irar funcionar..
por isso que eu digo, firewall eh algo muito personalizado, server pra mim mas n server pra outra pessoa, mas eh isso ae , vivendo e aprendendo.

abraço

opa esqueci de logar

Opa gostei da explicação, value.

Agora um esclarecimento.

Vc disse que devo habilitar a passagem do pacote no chain FORWARD, caso esse estaja com policy drop como é o meu caso.

Então isso seria dessa forma!!!!

iptables -A FORWARD -p tcp -s 192.168.50.30 -d $NET -j ACCEPT

Seria isso.

Valew cara.

[ ] ´s

O "-p tcp" e o "-d $NET" são opcionais...
Tem que ver se no seu caso não vai precisar fazer o caminho inverso tb:
iptables -A FORWARD -d 192.168.50.30 -j ACCEPT

[ ] 's

Citação:

---

Postado originalmente por aledr

O "-p tcp" e o "-d $NET" são opcionais...
Tem que ver se no seu caso não vai precisar fazer o caminho inverso tb:
iptables -A FORWARD -d 192.168.50.30 -j ACCEPT

[ ] 's

---

caminho inverso?

acho que vou ter que explicar de novo...

como vc fez a regra, vc quer liberar tudo mesmo para esse ip 192.168.50.30 ?
como tinha dito, eu n aconselho fazer tal coisa, prefiro especificar porta e protocolo.

na tabela nat fica assim


iptables -t nat -A POSTROUTING -s 192.168.50.30 -p tcp -j MASQUERADE

quando o seu chefe que possui esse ip for fazer uma consulta na net por exmplo.

a maquina 192.168.50.30 vai enviar um pacote, esse pacote vai entra na regra a acima que eu te falei, logo em seguida esse pacote vai consultar a tabela filter, na chain forward:

iptables -A FORWARD -s 192.168.50.30 -p tcp -j ACCEPT

quando o pacote consultar essa regra ele vai acessar o que ele quiser na internet, pois vc ta liberando tudo. ai vc me pergunta , e a regra inversa?

heheehhehe
bom quando o pacote sai da sua rede com o destino a internet, a resposta desse pacote quando chegar no seu firewall,a maquina rotiadora (seu firewall) é inteligente o bastante para pra enviar pro ip do seu chefe, que foi o ip que requisitou o mesmo, assim fazendo o handshake (o famoso aperto de maos). se vc tem uma regra ESTABLISHED E RELATED na hain forward, o fw n vai derrubar o pacote, resumindo, não é necessario criar uma regra "inversa" :), tcp/ip eh muito bom .

espero que tenha ajudado..

abraço

Acho que esse post seu foi totalmente desnecessário e sem propósito.
Sem comentários....

Citação:

---

Postado originalmente por aledr

Acho que esse post seu foi totalmente desnecessário e sem propósito.
Sem comentários....

---

poderia ate concorda, mas sem motivos fica dificil :)

meu post foi para explica oq vc falou sobre regra inversa, que nesse caso n existe eheheheh

t+

Realmente, isso demonstra que você nem ao mínimo tentou entender o modo de funcionamento da rede do nosso amigo.
Ele tem um firewall e um proxy em máquinas separadas, mas se pra chegar ao firewall ele tivesse que passar pela máquina que tem o proxy (não pelo proxy, mas pela máquina), o caminho inverso deveria estar aberto, um caminho só de ida para os pacotes não resolveria, ele passaria pela máquina com o proxy e chegaria até o firewall, quando o firewall fosse retornar o pacote, ele tentaria passar pela máquina com o proxy e seria parado na chain Forward.

Parece que você não entendeu mesmo... E também não explicou a regra inversa (hehehehehehehe), fica até difícil definir qual o assunto central do seu post. Quis explicar comoi funciona o MASQUERADE? Quis explicar o caminho que o pacote descreve dentro do firewall? Afinal de contas o que foi? Pode ter sido tudo, menos explicar o forward inverso.

Acho que é isso, mas sem conhecer melhor a situação dele fica difícil de definir...

É.... aqui a questão é bastante relativa...
Ambos podem estar corretos ou não!!!

Vai saber!

Citação:

---

Postado originalmente por aledr

Realmente, isso demonstra que você nem ao mínimo tentou entender o modo de funcionamento da rede do nosso amigo.
Ele tem um firewall e um proxy em máquinas separadas, mas se pra chegar ao firewall ele tivesse que passar pela máquina que tem o proxy (não pelo proxy, mas pela máquina), o caminho inverso deveria estar aberto, um caminho só de ida para os pacotes não resolveria, ele passaria pela máquina com o proxy e chegaria até o firewall, quando o firewall fosse retornar o pacote, ele tentaria passar pela máquina com o proxy e seria parado na chain Forward.

Parece que você não entendeu mesmo... E também não explicou a regra inversa (hehehehehehehe), fica até difícil definir qual o assunto central do seu post. Quis explicar comoi funciona o MASQUERADE? Quis explicar o caminho que o pacote descreve dentro do firewall? Afinal de contas o que foi? Pode ter sido tudo, menos explicar o forward inverso.

Acho que é isso, mas sem conhecer melhor a situação dele fica difícil de definir...

---

desculpa mas ainda não concordo com sua regra "inversa"

o nosso colega disse q tem 1 (UM) firewall e um (1) proxy em maquinas separada, o proxy dele não eh transparente. ou seja, se ele não definir no browser o ip da maquina onde ta o proxy, o pacote vai direto para maquina rotiadora, que é o firewall. então entra a questao que eu falei, quando o chefe do nosso amigo for abri seu navegador e colocar um site, esse pacote vai chegar no firewall e vai consultar a primeira tabela que a nat(caso vc n conhecha como funcionar o fluxo de dados na ferramenta iptables, eu aconselho vc da uma olhada no guia focalinux) ai vem a questao que eu tava explicando, se tiver como drop all a tabena nat como a filter, ele irar ter q fazer do jeito q eu disse, ou seja, nesse caso não existe regra inversa, :) ... caso ainda continue sem entender, eu perco um tempo e faço um desenho e te mando eheheheh

sem mais...

Então vou postar meu script aqui para que vc´s possam dar uma olhada e opinar.


VERSION="1.0"
WHICH="/usr/bin/which"
UNAME="`$WHICH uname`"
KERNEL="`$UNAME -r`"
IFCONFIG="`$WHICH ifconfig`"
WHEREIS="$WHICH whereis"
MODPROBE="$WICH modprobe"

# Server Uptime
UPTIME="´uptime | sed 's/ [,]//g' | awk '{print $3}'`"
#echo -e "Server Uptime: $UPTIME"

# Seta qual o path completo do comando iptables
#IPTABLES="/usr/local/sbin/iptables"
IPTABLES"`$WHICH iptables`"
echo -e "\nPath do comando iptables: $IPTABLES\n"

echo "Versão do iptables: `IPTABLES -V`"
echo "Versão do kernel: $KERNEL Server UPtime: $UPTIME"
echo -e "Versão do Firewall Scritp: $VERSION\n"

# Interface de rede conectada a Internet
NET="eth0"

echo " Interface de rede conectada a Internet: $NET"

# Interface de rede conectada a rede local
LAN="eth1"

echo " Interface de rede conectada a rede local: $LAN"

# Interface de rede loopback
LOOP="lo"

echo " Interface de rede loopback: $LOOP"

# Ip da interface de rede conectada a Internet
IPNET="`$IFCONFIG $NET | grep 'inet[^6]' | grep -v ^$NET: | sed 's/[a-zA-Z:]//g' | awk '{print $1}'`"

echo " Endereço IP da interface de rede conectada a internet: $IPNET"

# Mascara de sub-rede da interface de rede conectada a internet
MASKNET="`$IFCONFIG $NET | grep 'Mask[^1]' | grep -v ^$NET: | sed 's/[a-zA-Z:]//g' | awk '{print $3}'`"

# Dados que entraram pela interface de rede conectada a internet
DATAINNET="`ifconfig $NET | grep 'RX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $2}'`"

DATAINNETSIZE="`ifconfig $NET | grep 'RX bytes' | sed 's/[0-9().:]//g' | awk ' {print $3}'`"
echo -e "Total de dados que entraram pela interface de rede conectada a internet: $DATAINNET $DATAINNETSIZE"

# Dados que sairam pela interface de rede conectada a internet
DATAOUTNET="`ifconfig $NET | grep 'TX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $4}'`"

DATAOUTNETSIZE="`ifconfig $NET | grep 'TX bytes' | sed 's/[0-9().:]//g' | awk ' {print $6}'`"

echo -e "Total de dados que sairam pela interface de rede conectada a internet: $DATAOUTNET $DATAOUTNETSIZE\n"

# IP da interface de rede conectada a rede local
IPLAN="`$IFCONFIG $LAN | grep 'inet[^6]' | grep -v ^$LAN: | sed 's/[a-zA-Z:]//g' | awk '{print $1}'`"

echo "Endereco ip da interface de rede conectada a rede local: $IPLAN"

# Mascarada de sub-rede da interface conectada a rede local
MASKLAN="`$IFCONFIG $LAN | grep 'Mask[^1]' | grep -v ^$LAN: | sed 's/[a-zA-z:]//g' | awk '{print $3}'`"

# Dados que entraram pela interface de rede conectada a rede local
DATALAN="`ifconfig $LAN | grep 'RX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $2}'`"
DATAINLANSIZE="`ifconfig $LAN | grep 'RX bytes' | sed 's/[0-9().:]//g' | awk '{print $3}'`"
echo -e "Total de dados que entraram pela interface de rede conectada a redelocal: $DATAINLAN $DATAINLANSIZE"

# Dados que sairam pela interface da rede local
DATAOUTLAN="`ifconfig $LAN | grep 'TX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $4}'`"

DATAOUTLANSIZE="`ifconfig $LAN | grep 'TX bytes' | sed 's/[0-9().:]//g' | awk '{print $6}'`"
echo -e "Total de dados que sairam pela interface de rede conectada a rede local: $DATAOUTLAN $DATAOUTLANSIZE\n"

# IP da interface Loopback
IPLOOP="`$IFCONFIG $LOOP | grep 'inet[^6]' | grep -v ^$LOOP: | sed 's/[a-zA-Z:]//g' | awk '{print $1}'`"
echo -e "Endereco ip da interface de rede loopback: $IPLOOP\n"

# Mascara de sub-rede da interface de rede loopback
MASKLOOP="`$IFCONFIG $LOOP | grep 'Mask[^1]' | sed 's/[a-zA-Z:]//g' | awk '{print $2}'`"

# Lock File
LOCK_FILE="/var/run/firewall/firewall.run"

# Rede Externa (internet)
OUTNET="$IPNET/$MASKNET"

# Rede local (intranet)
LANNET="$IPLAN/$MASKNET"

# Interface loopback
LOOPNET="$IPLOOP/$MASKLOOP"

# FAixa de IPs da Internet
WEB="0/0"

# DNS Server
DNS="`grep nameserver /etc/resolv.conf | awk '{print $2}' | awk 'getline $1'`"
DNSTMP="/var/run/firewall/dns.tmp"
touch $DNSTMP
echo "0" > $DNSTMP
for i in `grep nameserver /etc/resolv.conf | awk '{print $2}'`
do
expr `cat $DNSTMP` + 1 > $DNSTMP
echo "Endereco IP do Servidor DNS: DNS `cat $DNSTMP` $i"
done
rm $DNSTMP

# Max Error for ping packet loss (10% packet loss)
MAX_ERROR="10"

# Blocked IPs
STUPIDFILTER_LIST="/etc/firewall/blocked/stupidfilter"

# Blocked Sites
SITE_LIST="/etc/firewall/blocked/sites"

# Blocked WormFilter
WORMFILTER_LIST="/etc/firewall/blocked/wormfilter"

# Blocked WEBFILTER
WEBFILTER_LIST="/etc/firewall/blocked/webfilter"
STRING_LIST="/etc/firewall/blocked/strings"

# Load Iptables Modules
$MODPROBE ipt_contrack
$MODPROBE ip_contrack
$MODPROBE ip_contrack_ftp
$MODPROBE ip_contrack_irc
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc
$MODPROBE ip_nat_snmp_basic



##########################################-----Limpando Regras------############################################

# Limpando Regras Existentes
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t -nat -F


#########################################------INPUT--------####################################################

# Determinando Politica padrão
$IPTABLES -P INPUT DROP

# Bloqueia IPs estupidos! por tentativas diversas
$IPTABLES -N STUPIDFILTER
$IPTABLES -A STUPIDFILTER -j DROP
for BLOCKED_STUPIDFILTER in `grep -v ^# $STUPIDFILTER_LIST`
do
$IPTABLES -A INPUT -p tcp -s $BLOCKED_STUPIDFILTER -d $IPNET -j REJECT
$IPTABLES -A INPUT -p udp -s $BLOCKED_STUPIDFILTER -d $IPNET -j REJECT
echo "IP Bloqueado pelo STUPIDFILTER: $BLOCKED_STUPIDFILTER"
done

# Bloqueia pacotes fragmentados
$IPTABLES -A INPUT -i $NET -f -j DROP

# Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
$IPTABLES -A INPUT -i $NET -p tcp --syn -j DROP

# Protecao contra ataques
$IPTABLES -A INPUT -m state --state INVALID -j DROP

# Aceita os pacotes que realmente devem aceitar
$IPTABLES -A INPUT -i ! $NET -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Acabando com sessoes mortas
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j DROP

#Bloqueando Traceroute
$IPTABLES -A INPUT -p udp -s $WEB -i $NET --dport 33435:33525 -j DROP

#Bloqueando uma máquina pelo endereço MAC
#$IPTABLES -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

# Dropando pacotes TCP mal formados
$IPTABLES -N BAD_TCP_PACKETS
$IPTABLES -A BAD_TCP_PACKETS -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Pacotes TCP mal formados!"
$IPTABLES -A BAD_TCP_PACKETS -p tcp ! --syn -m state --state NEW -j DROP

#WORMFILTER
$IPTABLES -N WORMFILTER
$IPTABLES -A WORMFILTER -j REJECT

# Bloqueia todos os IP logados pelo WORMFILTER
for BLOCKED_WORMFILTER in `grep -v ^# $WORMFILTER_LIST`
do
$IPTABLES -A INPUT -p tcp -s $BLOCKED_WORMFILTER -i $NET --dport 80 -j WORMFILTER
echo " IP Bloqueado pelo WORMFILTER: $BLOCKED_WORMFILTER"
done

# Protecao contra Port Scanners
$IPTABLES -N SCANNER
$IPTABLES -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: Port Scanner"
$IPTABLES -A SCANNER -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $NET -j SCANNER

# Esse passo foi tirado do Arno IPTABLES FIREWALL
$IPTABLES -N VALID_CHECK
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags SYN, RST SYN, RST -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags SYN, FIN SYN, FIN -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

# Liberar Acesso externo a determinadas portas Iniciam como REJECT,
# Mas se precisar liberar, basta mudar para ACCEPT
#FTP
$IPTABLES -A INPUT -p tcp --dport 21 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 21 -i $NET -j REJECT

#SSH
$IPTABLES -A INPUT -p tcp --dport 22 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 22 -i $NET -j REJECT

#SMTP
$IPTABLES -A INPUT -p tcp --dport 25 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 25 -i $NET -j REJECT

#TIME
$IPTABLES -A INPUT -p tcp --dport 37 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 37 -i $NET -j REJECT

#DNS
$IPTABLES -A INPUT -p tcp --dport 53 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 53 -i $NET -j REJECT

#WWW
$IPTABLES -A INPUT -p tcp --dport 80 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 80 -i $NET -j REJECT

#POP3
$IPTABLES -A INPUT -p tcp --dport 110 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 110 -i $NET -i REJECT

#IDENTD
$IPTABLES -A INPUT -p tcp --dport 113 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 113 -i $NET -j REJECT

#IMAP
$IPTABLES -A INPUT -p tcp --dport 143 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 143 -i $NET -j REJECT

#SMTP Sendmail
$IPTABLES -A INPUT -p tcp --dport 587 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 587 -i $NET -j REJECT

#IMAPS
$IPTABLES -A INPUT -p tcp --dport 993 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 993 -i $NET -j REJECT

#POP3S
$IPTABLES -A INPUT -p tcp --dport 995 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 995 -i $NET -j REJECT

#X11
$IPTABLES -A INPUT -p tcp --dport 6000 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 6000 -i $NET -j REJECT

#Protecao contra IP Spoonfing
$IPTABLES -A INPUT -s 1.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 2.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 7.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 10.0.0.0/255.0.0.0 -i $NET -j DROP
$IPTABLES -A INPUT -s 23.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 27.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 31.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 41.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 45.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 60.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 68.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 69.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 70.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 71.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 80.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 88.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 90.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 91.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 92.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 100.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 111.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 112.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 127.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 128.66.0.0/16 -i $NET -j DROp
$IPTABLES -A INPUT -s 172.0.0.0/255.0.0.0 -i $NET -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $NET -j DROP
$IPTABLES -A INPUT -s 192.168.0.0/16 -i $NET -j DROP
$IPTABLES -A INPUT -s 197.0.0.0/16 -i $NET -j DROP
$IPTABLES -A INPUT -s 255.255.255.255 -i $NET -j DROP

# Protecao contra o acesso externo a servicos telnet
$IPTABLES -A INPUT -p tcp -i $NET -d $LANNET --dport 23 -j DROP

# Protecao contra o acesso externo ao netbios
$IPTABLES -A INPUT -p tcp -i $NET -d $LANNET --dport 137:139 -j DROP

# Protecao contra o acesso interno com netbios
$IPTABLES -A INPUT -p tcp -i $LANNET -d $NET --dport 137:139 -j DROP

# Libera acesso interno da rede
$IPTABLES -A INPUT -p tcp --syn -s $LANNET -j ACCEPT

# Libera ping 'restrinto'
$IPTABLES -A INPUT -p icmp --icmp-type 8 -i $NET -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type 0 -i $NET -j ACCEPT
$IPTABLES -A INPUT -p icmp -s $LANNET -d $WEB -j ACCEPT

# Bloqueia tudo que nao estiver especificado acima
$IPTABLES -A INPUT -p tcp --syn -j DROP
$IPTABLES -A INPUT -p udp -j DROP

#############################################-------OUTPUT-------#################################################


# Agora inicia o chain OUTPUT

# Aceita os pacotes que realmente devem entrar
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# Perfomance - Setando acesso a web com delay minimo
$IPTABLES -t mangle -A OUTPUT -o $NET -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $NET -p tcp --dport 80 -j TOS --set-tos Minimize-Delay

# Liberando Acesso Interno a rede
$IPTABLES -A OUTPUT -p tcp --syn -s $LANNET -j ACCECPT

# Liberando Acesso loopback
$IPTABLES -A OUTPUT -p tcp --syn -s $LANNET -j ACCEPT

#Bloqueia o resto
$IPTABLES -A OUTPUT -p tcp --syn -j DROP
$IPTABLES -A OUTPUT -p udp -j DROP


######################################----------FORWARD------####################################################


# Inicio da chain FORWARD
# Dropa pacotes invalidos
$IPTABLES -A FORWARD -m state --state INVALID -j DROP

# Dropa pacotes TCP indesejaveis
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Aceita os pacotes que realmente devem passar
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j DROP

# Protecao contra Worms
$IPTABLES -A FORWARD -p tcp --dport 135 -i $LAN -j REJECT

# Protecao contra syn-flood
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Protecao contra ping da morte
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Protecao contra port scanners avancados (ex.: namp)
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Protecao contra pacotes que podem procurar obter informacoes da rede interna
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

# Bloqueando redes P2P

#imesh
$IPTABLES -A FORWARD -d 216.35.208.0/24 -j REJECT

#BearShare and Toad Node
$IPTABLES -A FORWARD -p tcp --dpot 6346 -j REJECT

#WinMX
$IPTABLES -A FORWARD -d 209.61.186.0/24 -j REJECT
$IPTABLES -A FORWARD -d 64.49.201.0/24 -j REJECT

# Napigator
$IPTABLES -A FORWARD -d 209.25.178.0/24 -j REJECT

#Morpheus
$IPTABLES -A FORWARD -d 206.142.53.0/24 -j REJECT
$IPTABLES -A FORWARD -p TCP --dport 1214 -j REJECT

# Kazza
$IPTABLES -A FORWARD -d 213.248.112.0/24 -j REJECT
$IPTABLES -A FORWARD -p TCP --dport 1214 -j REJECT

# Limewire
$IPTABLES -A FORWARD -p TCP --dport 6346 -j REJECT

# Audiogalaxy
$IPTABLES -A FORWARD -d 64.245.58.0/23 -j REJECT

# GNUTELLA
$IPTABLES -A FORWARD -p tcp --dport 6346 -j REJECT

# eDonkey
$IPTABLES -A FORWARD -p tcp --dport 4661:4662 -j REJECT
$IPTABLES -A FORWARD -p udp --dport 4665 -j REJECT

# Bloquando Servicos de Mensagens Intantaneas
#AIM
$IPTABLES -A FORWARD -d login.oscar.aol.com -j REJECT

#ICQ
$IPTABLES -A FORWARD -p TCP --dport 5190 -j REJECT
$IPTABLES -A FORWARD -d login.icq.com -j REJECT

#MSN
$IPTABLES -A FORWARD -p TCP --dport 1863 -j REJECT
$IPTABLES -A FORWARD -d 64.4.13.0/24 -j REJECT

# Yahoo Messenger
$IPTABLES -A FORWARD -d cs.yahoo.com -j REJECT

#Libera acesso interno da Rede
$IPTABLES -A FORWARD -p tcp --syn -s $LANNET -j ACCEPT

#WEBFILTER
$IPTABLES -N WEBFILTER
$IPTABLES -A WEBFILTER -j REJECT

# Bloqueia todos os ip´s logados pelo WEBFILTER
for BLOCKED_WEBFILTER in `grep -v ^# $WEBFILTER_LIST`
do
$IPTABLES -A FORWARD -p tcp -s $LANNET -d $BLOCKED_WEBFILTER --dport 80 -j WEBFILTER

$IPTABLES -A FORWARD -p tcp -s $LANNET -d BLOCKED_WEBFILTER --dport 1080 -j WEBFILTER
echo " IP Bloqueado pelo WEBFILTER: $BLOCKED_WEBFILTER"
done

# Bloqueia String maliciosas pelo WEBFILTER
# Necessita do Modulo 'string' do pactch-o-matic compilado
#for BLOCKED_STRING in `grep -v ^# $STRING_LIST`
#do
# $IPTABLES -A FORWARD -p tcp -m string --string "BLOCKED_STRING" -j WEBFILTER

# echo " String Bloqueada pelo WEBFILTER: $BLOCKED_STRING"
#done

# Aqui devo habilitar a passagem dos pacotes NAT para IPs full que passaram fora do proxy
# Ver tabela abaixo NAT onde informa o IP liberado
#$IPTABLES -A FORWARD -p tcp -s xxx.xxx.xxx.xxx -d $NET -j ACCEPT

# Bloqueia tudo que nao estiver especificado acima
$IPTABLES -A FORWARD -p tcp --syn -j DROP
$IPTABLES -A FORWARD -p udp -j DROP

################################################-------NAT-------################################################

# Aqui Inicia a Chain NAT

# Exemplos

# Habilitando o mascaramento de saida
$IPTABLES -t -nat -A POSTROUTING -o $NET -j MASQUERADE

# Nessa Chain passara o IP informado fora do Proxy como full
#$IPTABLES -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx -o $NET -j MASQUERADE

# Regras para redirecionar portas e ips que estao saindo
#$IPTABLES -t -nat -A PRETOURING -p tcp --dport 25 -j REDIRECT --to-port 25
# Exemplos

# Redireciona a porta 25 do smtp para esta maquina 192.168.xxxxxxx:25
#$IPTABLES -t -nat -A PREROUTING -p tcp --dport 25 -j DNAT --to 192.168.xxxxx:25

# Redireciona o trafego http para alpha.algumacoisa.no-ip.org
#$IPTABLES -t -nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-dest 192.168.xxxxx

# Redireciona a porta 25 do smtp para o servidor wwww.algumacoisa.com.br com ip xxx.xxx.xxx.xxx:25
#$IPTABLES -t -nat -A PREROUTING -p tcp --dport 25 -j DNAT --to xxx.xxx.xxx.xxx:25

# Redireciona o trafego web para o proxy transparente
#$IPTABLES -t -nat -A PREROUTING -i $LANNET -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t -nat -A PREROUTING -i $LANNET -p tcp --dport 8080 -j REDIRECT --to-port 3128

#SERVIDOR_SMTP_LOCAL="false"
# se possuir servidor smtp LOCAL na maquina, habilite o 'transparent
# proxy' do SMTP, permitindo assim que qualquer acesso a servidores SMTP
# externos sejam atendidos pelo servidor local
# Basta colocar o IP aqui para passar pelo transparente proxy
# defina enderecos IPs que nao devem passar pelo transparent proxy
# 200.244.136.0/24 = dataprev homepage, usa 8080
# 200.246.143.0/24 = itau software de internet banking


#BYPASS_TRANSPARENT_PROXY="200.244.136.0/24 200.246.143.0/24 192.168.30.1"


# Transparent Proxy ( interface INTERNA )
# IPs que nao devem passar no Transparent Proxy
#for endereco in $BYPASS_TRANSPARENT_PROXY;
#do
# $IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET -d $NET --dport 80 -j ACCEPT
#done

# agora sim, transparent proxy pra galera !!!#
#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 80 -j REDIRECT --to-port 8080

#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 3128 -j REDIRECT --to-port 8080#
#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 8080 -j REDIRECT --to-port 8080

# redirecionando SMTP para servidor smtp local ( interface INTERNA )

#if [ $SERVIDOR_SMTP_LOCAL == "true" ]; then
#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 25 -j REDIRECT --to-port 25

# Aqui vc devera colocar o ip para ser liberado a net
#endereco="192.168.0.0 192.168.0.1"

# Liberando NAT para alguns IPs especiais
#for endereco in $NAT_LIBERADO;
#do
#$IPTABLES -t nat -A POSTROUTING -s $endereco -o $NET -m state --state NEW,ESTABLISHED,RELATED -j SNAT --to-source $NET
#done

# IPs que nao devem passar no Transparent Proxy
#for endereco in $BYPASS_TRANSPARENT_PROXY;
#do
#$IPTABLES -t nat -A POSTROUTING -p tcp -o $NET -d $endereco --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j SNAT --to-source $NET
#done

# Redireciona espertinhos para o site qqer.
#$IPTABLES -t -nat -A PREROUTING -s 192.168.xxx.xxx -d $WEB -j DNAT --to-destinantion $IPLAN

#############################################-------FIM-------####################################################


As informações estão nas chain´s FORWARD e NAT....

[ ] ´s

Bau[/u][/b]

Citação:

---

Postado originalmente por bau

Então vou postar meu script aqui para que vc´s possam dar uma olhada e opinar.


VERSION="1.0"
WHICH="/usr/bin/which"
UNAME="`$WHICH uname`"
KERNEL="`$UNAME -r`"
IFCONFIG="`$WHICH ifconfig`"
WHEREIS="$WHICH whereis"
MODPROBE="$WICH modprobe"

# Server Uptime
UPTIME="´uptime | sed 's/ [,]//g' | awk '{print $3}'`"
#echo -e "Server Uptime: $UPTIME"

# Seta qual o path completo do comando iptables
#IPTABLES="/usr/local/sbin/iptables"
IPTABLES"`$WHICH iptables`"
echo -e "\nPath do comando iptables: $IPTABLES\n"

echo "Versão do iptables: `IPTABLES -V`"
echo "Versão do kernel: $KERNEL Server UPtime: $UPTIME"
echo -e "Versão do Firewall Scritp: $VERSION\n"

# Interface de rede conectada a Internet
NET="eth0"

echo " Interface de rede conectada a Internet: $NET"

# Interface de rede conectada a rede local
LAN="eth1"

echo " Interface de rede conectada a rede local: $LAN"

# Interface de rede loopback
LOOP="lo"

echo " Interface de rede loopback: $LOOP"

# Ip da interface de rede conectada a Internet
IPNET="`$IFCONFIG $NET | grep 'inet[^6]' | grep -v ^$NET: | sed 's/[a-zA-Z:]//g' | awk '{print $1}'`"

echo " Endereço IP da interface de rede conectada a internet: $IPNET"

# Mascara de sub-rede da interface de rede conectada a internet
MASKNET="`$IFCONFIG $NET | grep 'Mask[^1]' | grep -v ^$NET: | sed 's/[a-zA-Z:]//g' | awk '{print $3}'`"

# Dados que entraram pela interface de rede conectada a internet
DATAINNET="`ifconfig $NET | grep 'RX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $2}'`"

DATAINNETSIZE="`ifconfig $NET | grep 'RX bytes' | sed 's/[0-9().:]//g' | awk ' {print $3}'`"
echo -e "Total de dados que entraram pela interface de rede conectada a internet: $DATAINNET $DATAINNETSIZE"

# Dados que sairam pela interface de rede conectada a internet
DATAOUTNET="`ifconfig $NET | grep 'TX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $4}'`"

DATAOUTNETSIZE="`ifconfig $NET | grep 'TX bytes' | sed 's/[0-9().:]//g' | awk ' {print $6}'`"

echo -e "Total de dados que sairam pela interface de rede conectada a internet: $DATAOUTNET $DATAOUTNETSIZE\n"

# IP da interface de rede conectada a rede local
IPLAN="`$IFCONFIG $LAN | grep 'inet[^6]' | grep -v ^$LAN: | sed 's/[a-zA-Z:]//g' | awk '{print $1}'`"

echo "Endereco ip da interface de rede conectada a rede local: $IPLAN"

# Mascarada de sub-rede da interface conectada a rede local
MASKLAN="`$IFCONFIG $LAN | grep 'Mask[^1]' | grep -v ^$LAN: | sed 's/[a-zA-z:]//g' | awk '{print $3}'`"

# Dados que entraram pela interface de rede conectada a rede local
DATALAN="`ifconfig $LAN | grep 'RX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $2}'`"
DATAINLANSIZE="`ifconfig $LAN | grep 'RX bytes' | sed 's/[0-9().:]//g' | awk '{print $3}'`"
echo -e "Total de dados que entraram pela interface de rede conectada a redelocal: $DATAINLAN $DATAINLANSIZE"

# Dados que sairam pela interface da rede local
DATAOUTLAN="`ifconfig $LAN | grep 'TX bytes' | sed 's/[a-zA-Z()]//g' | awk '{print $4}'`"

DATAOUTLANSIZE="`ifconfig $LAN | grep 'TX bytes' | sed 's/[0-9().:]//g' | awk '{print $6}'`"
echo -e "Total de dados que sairam pela interface de rede conectada a rede local: $DATAOUTLAN $DATAOUTLANSIZE\n"

# IP da interface Loopback
IPLOOP="`$IFCONFIG $LOOP | grep 'inet[^6]' | grep -v ^$LOOP: | sed 's/[a-zA-Z:]//g' | awk '{print $1}'`"
echo -e "Endereco ip da interface de rede loopback: $IPLOOP\n"

# Mascara de sub-rede da interface de rede loopback
MASKLOOP="`$IFCONFIG $LOOP | grep 'Mask[^1]' | sed 's/[a-zA-Z:]//g' | awk '{print $2}'`"

# Lock File
LOCK_FILE="/var/run/firewall/firewall.run"

# Rede Externa (internet)
OUTNET="$IPNET/$MASKNET"

# Rede local (intranet)
LANNET="$IPLAN/$MASKNET"

# Interface loopback
LOOPNET="$IPLOOP/$MASKLOOP"

# FAixa de IPs da Internet
WEB="0/0"

# DNS Server
DNS="`grep nameserver /etc/resolv.conf | awk '{print $2}' | awk 'getline $1'`"
DNSTMP="/var/run/firewall/dns.tmp"
touch $DNSTMP
echo "0" > $DNSTMP
for i in `grep nameserver /etc/resolv.conf | awk '{print $2}'`
do
expr `cat $DNSTMP` + 1 > $DNSTMP
echo "Endereco IP do Servidor DNS: DNS `cat $DNSTMP` $i"
done
rm $DNSTMP

# Max Error for ping packet loss (10% packet loss)
MAX_ERROR="10"

# Blocked IPs
STUPIDFILTER_LIST="/etc/firewall/blocked/stupidfilter"

# Blocked Sites
SITE_LIST="/etc/firewall/blocked/sites"

# Blocked WormFilter
WORMFILTER_LIST="/etc/firewall/blocked/wormfilter"

# Blocked WEBFILTER
WEBFILTER_LIST="/etc/firewall/blocked/webfilter"
STRING_LIST="/etc/firewall/blocked/strings"

# Load Iptables Modules
$MODPROBE ipt_contrack
$MODPROBE ip_contrack
$MODPROBE ip_contrack_ftp
$MODPROBE ip_contrack_irc
$MODPROBE ip_nat_ftp
$MODPROBE ip_nat_irc
$MODPROBE ip_nat_snmp_basic



##########################################-----Limpando Regras------############################################

# Limpando Regras Existentes
$IPTABLES -F INPUT
$IPTABLES -F OUTPUT
$IPTABLES -F FORWARD
$IPTABLES -t -nat -F


#########################################------INPUT--------####################################################

# Determinando Politica padrão
$IPTABLES -P INPUT DROP

# Bloqueia IPs estupidos! por tentativas diversas
$IPTABLES -N STUPIDFILTER
$IPTABLES -A STUPIDFILTER -j DROP
for BLOCKED_STUPIDFILTER in `grep -v ^# $STUPIDFILTER_LIST`
do
$IPTABLES -A INPUT -p tcp -s $BLOCKED_STUPIDFILTER -d $IPNET -j REJECT
$IPTABLES -A INPUT -p udp -s $BLOCKED_STUPIDFILTER -d $IPNET -j REJECT
echo "IP Bloqueado pelo STUPIDFILTER: $BLOCKED_STUPIDFILTER"
done

# Bloqueia pacotes fragmentados
$IPTABLES -A INPUT -i $NET -f -j DROP

# Bloqueia qualquer tentativa de conexao de fora para dentro por TCP
$IPTABLES -A INPUT -i $NET -p tcp --syn -j DROP

# Protecao contra ataques
$IPTABLES -A INPUT -m state --state INVALID -j DROP

# Aceita os pacotes que realmente devem aceitar
$IPTABLES -A INPUT -i ! $NET -j ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

# Acabando com sessoes mortas
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j DROP

#Bloqueando Traceroute
$IPTABLES -A INPUT -p udp -s $WEB -i $NET --dport 33435:33525 -j DROP

#Bloqueando uma máquina pelo endereço MAC
#$IPTABLES -A INPUT -m mac --mac-source XX:XX:XX:XX:XX:XX -j DROP

# Dropando pacotes TCP mal formados
$IPTABLES -N BAD_TCP_PACKETS
$IPTABLES -A BAD_TCP_PACKETS -p tcp ! --syn -m state --state NEW -j LOG --log-prefix "Pacotes TCP mal formados!"
$IPTABLES -A BAD_TCP_PACKETS -p tcp ! --syn -m state --state NEW -j DROP

#WORMFILTER
$IPTABLES -N WORMFILTER
$IPTABLES -A WORMFILTER -j REJECT

# Bloqueia todos os IP logados pelo WORMFILTER
for BLOCKED_WORMFILTER in `grep -v ^# $WORMFILTER_LIST`
do
$IPTABLES -A INPUT -p tcp -s $BLOCKED_WORMFILTER -i $NET --dport 80 -j WORMFILTER
echo " IP Bloqueado pelo WORMFILTER: $BLOCKED_WORMFILTER"
done

# Protecao contra Port Scanners
$IPTABLES -N SCANNER
$IPTABLES -A SCANNER -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL: Port Scanner"
$IPTABLES -A SCANNER -j DROP
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL NONE -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL ALL -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL FIN,SYN -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -i $NET -j SCANNER
$IPTABLES -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -i $NET -j SCANNER

# Esse passo foi tirado do Arno IPTABLES FIREWALL
$IPTABLES -N VALID_CHECK
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags SYN, RST SYN, RST -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags SYN, FIN SYN, FIN -j DROP
$IPTABLES -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

# Liberar Acesso externo a determinadas portas Iniciam como REJECT,
# Mas se precisar liberar, basta mudar para ACCEPT
#FTP
$IPTABLES -A INPUT -p tcp --dport 21 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 21 -i $NET -j REJECT

#SSH
$IPTABLES -A INPUT -p tcp --dport 22 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 22 -i $NET -j REJECT

#SMTP
$IPTABLES -A INPUT -p tcp --dport 25 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 25 -i $NET -j REJECT

#TIME
$IPTABLES -A INPUT -p tcp --dport 37 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 37 -i $NET -j REJECT

#DNS
$IPTABLES -A INPUT -p tcp --dport 53 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 53 -i $NET -j REJECT

#WWW
$IPTABLES -A INPUT -p tcp --dport 80 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 80 -i $NET -j REJECT

#POP3
$IPTABLES -A INPUT -p tcp --dport 110 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 110 -i $NET -i REJECT

#IDENTD
$IPTABLES -A INPUT -p tcp --dport 113 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 113 -i $NET -j REJECT

#IMAP
$IPTABLES -A INPUT -p tcp --dport 143 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 143 -i $NET -j REJECT

#SMTP Sendmail
$IPTABLES -A INPUT -p tcp --dport 587 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 587 -i $NET -j REJECT

#IMAPS
$IPTABLES -A INPUT -p tcp --dport 993 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 993 -i $NET -j REJECT

#POP3S
$IPTABLES -A INPUT -p tcp --dport 995 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 995 -i $NET -j REJECT

#X11
$IPTABLES -A INPUT -p tcp --dport 6000 -i $LAN -j REJECT
$IPTABLES -A INPUT -p tcp --dport 6000 -i $NET -j REJECT

#Protecao contra IP Spoonfing
$IPTABLES -A INPUT -s 1.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 2.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 7.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 10.0.0.0/255.0.0.0 -i $NET -j DROP
$IPTABLES -A INPUT -s 23.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 27.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 31.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 41.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 45.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 60.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 68.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 69.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 70.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 71.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 80.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 88.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 90.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 91.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 92.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 100.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 111.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 112.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 127.0.0.0/8 -i $NET -j DROP
$IPTABLES -A INPUT -s 128.66.0.0/16 -i $NET -j DROp
$IPTABLES -A INPUT -s 172.0.0.0/255.0.0.0 -i $NET -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $NET -j DROP
$IPTABLES -A INPUT -s 192.168.0.0/16 -i $NET -j DROP
$IPTABLES -A INPUT -s 197.0.0.0/16 -i $NET -j DROP
$IPTABLES -A INPUT -s 255.255.255.255 -i $NET -j DROP

# Protecao contra o acesso externo a servicos telnet
$IPTABLES -A INPUT -p tcp -i $NET -d $LANNET --dport 23 -j DROP

# Protecao contra o acesso externo ao netbios
$IPTABLES -A INPUT -p tcp -i $NET -d $LANNET --dport 137:139 -j DROP

# Protecao contra o acesso interno com netbios
$IPTABLES -A INPUT -p tcp -i $LANNET -d $NET --dport 137:139 -j DROP

# Libera acesso interno da rede
$IPTABLES -A INPUT -p tcp --syn -s $LANNET -j ACCEPT

# Libera ping 'restrinto'
$IPTABLES -A INPUT -p icmp --icmp-type 8 -i $NET -j ACCEPT
$IPTABLES -A INPUT -p icmp --icmp-type 0 -i $NET -j ACCEPT
$IPTABLES -A INPUT -p icmp -s $LANNET -d $WEB -j ACCEPT

# Bloqueia tudo que nao estiver especificado acima
$IPTABLES -A INPUT -p tcp --syn -j DROP
$IPTABLES -A INPUT -p udp -j DROP

#############################################-------OUTPUT-------#################################################


# Agora inicia o chain OUTPUT

# Aceita os pacotes que realmente devem entrar
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

# Perfomance - Setando acesso a web com delay minimo
$IPTABLES -t mangle -A OUTPUT -o $NET -p tcp --dport 53 -j TOS --set-tos Minimize-Delay
$IPTABLES -t mangle -A OUTPUT -o $NET -p tcp --dport 80 -j TOS --set-tos Minimize-Delay

# Liberando Acesso Interno a rede
$IPTABLES -A OUTPUT -p tcp --syn -s $LANNET -j ACCECPT

# Liberando Acesso loopback
$IPTABLES -A OUTPUT -p tcp --syn -s $LANNET -j ACCEPT

#Bloqueia o resto
$IPTABLES -A OUTPUT -p tcp --syn -j DROP
$IPTABLES -A OUTPUT -p udp -j DROP


######################################----------FORWARD------####################################################


# Inicio da chain FORWARD
# Dropa pacotes invalidos
$IPTABLES -A FORWARD -m state --state INVALID -j DROP

# Dropa pacotes TCP indesejaveis
$IPTABLES -A FORWARD -p tcp ! --syn -m state --state NEW -j DROP

# Aceita os pacotes que realmente devem passar
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j DROP

# Protecao contra Worms
$IPTABLES -A FORWARD -p tcp --dport 135 -i $LAN -j REJECT

# Protecao contra syn-flood
$IPTABLES -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Protecao contra ping da morte
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Protecao contra port scanners avancados (ex.: namp)
$IPTABLES -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Protecao contra pacotes que podem procurar obter informacoes da rede interna
$IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

# Bloqueando redes P2P

#imesh
$IPTABLES -A FORWARD -d 216.35.208.0/24 -j REJECT

#BearShare and Toad Node
$IPTABLES -A FORWARD -p tcp --dpot 6346 -j REJECT

#WinMX
$IPTABLES -A FORWARD -d 209.61.186.0/24 -j REJECT
$IPTABLES -A FORWARD -d 64.49.201.0/24 -j REJECT

# Napigator
$IPTABLES -A FORWARD -d 209.25.178.0/24 -j REJECT

#Morpheus
$IPTABLES -A FORWARD -d 206.142.53.0/24 -j REJECT
$IPTABLES -A FORWARD -p TCP --dport 1214 -j REJECT

# Kazza
$IPTABLES -A FORWARD -d 213.248.112.0/24 -j REJECT
$IPTABLES -A FORWARD -p TCP --dport 1214 -j REJECT

# Limewire
$IPTABLES -A FORWARD -p TCP --dport 6346 -j REJECT

# Audiogalaxy
$IPTABLES -A FORWARD -d 64.245.58.0/23 -j REJECT

# GNUTELLA
$IPTABLES -A FORWARD -p tcp --dport 6346 -j REJECT

# eDonkey
$IPTABLES -A FORWARD -p tcp --dport 4661:4662 -j REJECT
$IPTABLES -A FORWARD -p udp --dport 4665 -j REJECT

# Bloquando Servicos de Mensagens Intantaneas
#AIM
$IPTABLES -A FORWARD -d login.oscar.aol.com -j REJECT

#ICQ
$IPTABLES -A FORWARD -p TCP --dport 5190 -j REJECT
$IPTABLES -A FORWARD -d login.icq.com -j REJECT

#MSN
$IPTABLES -A FORWARD -p TCP --dport 1863 -j REJECT
$IPTABLES -A FORWARD -d 64.4.13.0/24 -j REJECT

# Yahoo Messenger
$IPTABLES -A FORWARD -d cs.yahoo.com -j REJECT

#Libera acesso interno da Rede
$IPTABLES -A FORWARD -p tcp --syn -s $LANNET -j ACCEPT

#WEBFILTER
$IPTABLES -N WEBFILTER
$IPTABLES -A WEBFILTER -j REJECT

# Bloqueia todos os ip´s logados pelo WEBFILTER
for BLOCKED_WEBFILTER in `grep -v ^# $WEBFILTER_LIST`
do
$IPTABLES -A FORWARD -p tcp -s $LANNET -d $BLOCKED_WEBFILTER --dport 80 -j WEBFILTER

$IPTABLES -A FORWARD -p tcp -s $LANNET -d BLOCKED_WEBFILTER --dport 1080 -j WEBFILTER
echo " IP Bloqueado pelo WEBFILTER: $BLOCKED_WEBFILTER"
done

# Bloqueia String maliciosas pelo WEBFILTER
# Necessita do Modulo 'string' do pactch-o-matic compilado
#for BLOCKED_STRING in `grep -v ^# $STRING_LIST`
#do
# $IPTABLES -A FORWARD -p tcp -m string --string "BLOCKED_STRING" -j WEBFILTER

# echo " String Bloqueada pelo WEBFILTER: $BLOCKED_STRING"
#done

# Aqui devo habilitar a passagem dos pacotes NAT para IPs full que passaram fora do proxy
# Ver tabela abaixo NAT onde informa o IP liberado
#$IPTABLES -A FORWARD -p tcp -s xxx.xxx.xxx.xxx -d $NET -j ACCEPT

# Bloqueia tudo que nao estiver especificado acima
$IPTABLES -A FORWARD -p tcp --syn -j DROP
$IPTABLES -A FORWARD -p udp -j DROP

################################################-------NAT-------################################################

# Aqui Inicia a Chain NAT

# Exemplos

# Habilitando o mascaramento de saida
$IPTABLES -t -nat -A POSTROUTING -o $NET -j MASQUERADE

# Nessa Chain passara o IP informado fora do Proxy como full
#$IPTABLES -t nat -A POSTROUTING -s xxx.xxx.xxx.xxx -o $NET -j MASQUERADE

# Regras para redirecionar portas e ips que estao saindo
#$IPTABLES -t -nat -A PRETOURING -p tcp --dport 25 -j REDIRECT --to-port 25
# Exemplos

# Redireciona a porta 25 do smtp para esta maquina 192.168.xxxxxxx:25
#$IPTABLES -t -nat -A PREROUTING -p tcp --dport 25 -j DNAT --to 192.168.xxxxx:25

# Redireciona o trafego http para alpha.algumacoisa.no-ip.org
#$IPTABLES -t -nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-dest 192.168.xxxxx

# Redireciona a porta 25 do smtp para o servidor wwww.algumacoisa.com.br com ip xxx.xxx.xxx.xxx:25
#$IPTABLES -t -nat -A PREROUTING -p tcp --dport 25 -j DNAT --to xxx.xxx.xxx.xxx:25

# Redireciona o trafego web para o proxy transparente
#$IPTABLES -t -nat -A PREROUTING -i $LANNET -p tcp --dport 80 -j REDIRECT --to-port 3128
#$IPTABLES -t -nat -A PREROUTING -i $LANNET -p tcp --dport 8080 -j REDIRECT --to-port 3128

#SERVIDOR_SMTP_LOCAL="false"
# se possuir servidor smtp LOCAL na maquina, habilite o 'transparent
# proxy' do SMTP, permitindo assim que qualquer acesso a servidores SMTP
# externos sejam atendidos pelo servidor local
# Basta colocar o IP aqui para passar pelo transparente proxy
# defina enderecos IPs que nao devem passar pelo transparent proxy
# 200.244.136.0/24 = dataprev homepage, usa 8080
# 200.246.143.0/24 = itau software de internet banking


#BYPASS_TRANSPARENT_PROXY="200.244.136.0/24 200.246.143.0/24 192.168.30.1"


# Transparent Proxy ( interface INTERNA )
# IPs que nao devem passar no Transparent Proxy
#for endereco in $BYPASS_TRANSPARENT_PROXY;
#do
# $IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET -d $NET --dport 80 -j ACCEPT
#done

# agora sim, transparent proxy pra galera !!!#
#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 80 -j REDIRECT --to-port 8080

#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 3128 -j REDIRECT --to-port 8080#
#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 8080 -j REDIRECT --to-port 8080

# redirecionando SMTP para servidor smtp local ( interface INTERNA )

#if [ $SERVIDOR_SMTP_LOCAL == "true" ]; then
#$IPTABLES -t nat -A PREROUTING -p tcp -i $LANNET --dport 25 -j REDIRECT --to-port 25

# Aqui vc devera colocar o ip para ser liberado a net
#endereco="192.168.0.0 192.168.0.1"

# Liberando NAT para alguns IPs especiais
#for endereco in $NAT_LIBERADO;
#do
#$IPTABLES -t nat -A POSTROUTING -s $endereco -o $NET -m state --state NEW,ESTABLISHED,RELATED -j SNAT --to-source $NET
#done

# IPs que nao devem passar no Transparent Proxy
#for endereco in $BYPASS_TRANSPARENT_PROXY;
#do
#$IPTABLES -t nat -A POSTROUTING -p tcp -o $NET -d $endereco --dport 80 -m state --state NEW,ESTABLISHED,RELATED -j SNAT --to-source $NET
#done

# Redireciona espertinhos para o site qqer.
#$IPTABLES -t -nat -A PREROUTING -s 192.168.xxx.xxx -d $WEB -j DNAT --to-destinantion $IPLAN

#############################################-------FIM-------####################################################


As informações estão nas chain´s FORWARD e NAT....

[ ] ´s

Bau[/u][/b]

---

Caro Bau, encontrei alguns erro no seu script, e aconselho que vc contrate um proficional na arera para corrigir os mesmo ou vc mesmo de uma estuda na ferramenta iptables e olhe regra por regra..

obs: na chain Forward recomendo vc deixa ela como drop ao inves de colocar um regra com drop all no final, outra coisa é em relacao a arquiterua do seu firewall.

bom.. o resto eh contigo..

abraço e boa sorte

Citação:

---

Postado originalmente por Brenno

desculpa mas ainda não concordo com sua regra "inversa"

o nosso colega disse q tem 1 (UM) firewall e um (1) proxy em maquinas separada, o proxy dele não eh transparente. ou seja, se ele não definir no browser o ip da maquina onde ta o proxy, o pacote vai direto para maquina rotiadora, que é o firewall. então entra a questao que eu falei, quando o chefe do nosso amigo for abri seu navegador e colocar um site, esse pacote vai chegar no firewall e vai consultar a primeira tabela que a nat(caso vc n conhecha como funcionar o fluxo de dados na ferramenta iptables, eu aconselho vc da uma olhada no guia focalinux) ai vem a questao que eu tava explicando, se tiver como drop all a tabena nat como a filter, ele irar ter q fazer do jeito q eu disse, ou seja, nesse caso não existe regra inversa, :) ... caso ainda continue sem entender, eu perco um tempo e faço um desenho e te mando eheheheh

sem mais...

---

aheuraruear piada isso, ainda não conseguiu entender o que eu escrevi, e assim tirou conclusões erradas ao meu ver, talvez você deva perder seu tempo lendo o guia foca ao invés de fazer desenhos no paint... eehehehehehehe

Depois dessa acho que vou parar de visitar esse tópico, a questão está mais do que resolvida...
[ ] 's

Citação:

---

Postado originalmente por aledr

Citação:

---

Postado originalmente por Brenno

desculpa mas ainda não concordo com sua regra "inversa"

o nosso colega disse q tem 1 (UM) firewall e um (1) proxy em maquinas separada, o proxy dele não eh transparente. ou seja, se ele não definir no browser o ip da maquina onde ta o proxy, o pacote vai direto para maquina rotiadora, que é o firewall. então entra a questao que eu falei, quando o chefe do nosso amigo for abri seu navegador e colocar um site, esse pacote vai chegar no firewall e vai consultar a primeira tabela que a nat(caso vc n conhecha como funcionar o fluxo de dados na ferramenta iptables, eu aconselho vc da uma olhada no guia focalinux) ai vem a questao que eu tava explicando, se tiver como drop all a tabena nat como a filter, ele irar ter q fazer do jeito q eu disse, ou seja, nesse caso não existe regra inversa, :) ... caso ainda continue sem entender, eu perco um tempo e faço um desenho e te mando eheheheh

sem mais...

---

aheuraruear piada isso, ainda não conseguiu entender o que eu escrevi, e assim tirou conclusões erradas ao meu ver, talvez você deva perder seu tempo lendo o guia foca ao invés de fazer desenhos no paint... eehehehehehehe

Depois dessa acho que vou parar de visitar esse tópico, a questão está mais do que resolvida...
[ ] 's

---

já li muito o guia, e ainda vou continuar lendo, em relacao a entender o que vc escreveu, eu entendir muito bem,
eu trabalho com iptables a quase 3 anos, e vc?
bom isso não vem ao caso.

agora vou argumentar oq vc falou no post passado, pois no outro post vc disse q eu n entendir a situação do bau, agora nesse vc ta falando que eu n entendir oq vc escreveu, por isso vou mostrar oq vc escreveu e dizer o pq;

Citação:

---

Ele tem um firewall e um proxy em máquinas separadas, mas se pra chegar ao firewall ele tivesse que passar pela máquina que tem o proxy (não pelo proxy, mas pela máquina), o caminho inverso deveria estar aberto, um caminho só de ida para os pacotes não resolveria, ele passaria pela máquina com o proxy e chegaria até o firewall, quando o firewall fosse retornar o pacote, ele tentaria passar pela máquina com o proxy e seria parado na chain Forward.

---

se ele não por ip da maquina onde ta o proxy no browser de qualquer maquina cliente, o pacote de vai direto a maquina rotiadora, que o firewall.

vc começa errando ae, pois o pacote n irar passa pelo proxy , e sim, vai direto para a maquina rotiadora que o firewall (isso quando ele n coloca o ip do proxy no browser na maquina cliente)

segunda situação (que n eh o caso do bau) ,
quando vc colocar o ip do proxy na no browser da maquina cliente, esse pacote irar ate o servidor proxy, que por sua vez irar fazer a consulta na internet, entao bastaria liberar a porta do proxy que a default 3128 do squid no firewall da na chain forward

iptables -A FORWARD -s ipdamaquinaproxy -p tcp --dport 3128 -j ACCEPT


voltando a primeira situação.


quando o pacote chegar direto ao firewall ele consultarar a tabela nat


e se la tiver a regra que geralmente a maiorias das pessoas colocam

iptables -t nat -A POSTROUNTIG -o ethinternet -j MASQUERADE

o pacote irar entrar nessa regra e logo em seguida irar consultar a chain forward da tabela filter

iptables -s ipdochefe -p tcp -j ACCEPT

ou seja, o ip do chefe estará sendo liberardo tudo pra fora.

em vez de ficar rindo, achando piada, pq vc nao agurmenta? pois até agora oq vc agurmentou não tem nem um nexo e mostra seu amadorismo, se não tem conhecimento para discutir tal assunto, pelo menos seja humilde dizendo que nao saber, ou reconlhar a sua insignificância.

sem mais...

Acho que 5 anos de experiência com iptables e mais 2 com shorewall seria o suficiente pra expressar a minha insignificância com relação a você, um pequeno garotinho que nem ao menos sabe se expressar ou usar corretamente a gramática (percebe-se pela escrita dos seus posts, ou seriam suas mãoes trêmulas).

As coisas aqui já estão bastante esclarecidas.. acho que você deveria baixar a bola e voltar a fazer uma faculdade, ou um curso de redes...
As minhas explanações são bem simples e você ainda não captou as idéias.

Respeitosamente!
[ ] 's

Obs: Se o propósito for ficar ofendendo, melhor nem postar mais, já usei do direito de resposta, e acho que o seu acabou...

Citação:

---

Postado originalmente por aledr

Acho que 5 anos de experiência com iptables e mais 2 com shorewall seria o suficiente pra expressar a minha insignificância com relação a você, um pequeno garotinho que nem ao menos sabe se expressar ou usar corretamente a gramática (percebe-se pela escrita dos seus posts, ou seriam suas mãoes trêmulas).

As coisas aqui já estão bastante esclarecidas.. acho que você deveria baixar a bola e voltar a fazer uma faculdade, ou um curso de redes...
As minhas explanações são bem simples e você ainda não captou as idéias.

Respeitosamente!
[ ] 's

Obs: Se o propósito for ficar ofendendo, melhor nem postar mais, já usei do direito de resposta, e acho que o seu acabou...

---

em relação a minha gramatica, realmente não sou bom, isso não vem ao caso, com seus 5 anos de experiência vc nao consegue argumentar o que eu falei, mas uma vez mostra seu amadorismo e sua insignificância.

falar que n entendir, que n souber enter o bau ou que n sei la oque eh facil

dificil eh explicar, argumentar..

quem sabe um dia quando aprender mais sobre o assunto, arguementa meu post que ficarei super feliz em discutir sobre o mesmo.

obs: só espero que não demore mais 5 anos.

Atenciosamente...
abraço.

Cara você ainda tem muito o que aprender...
Vou argumentar o que? Você expôs uma situação e eu outra!

Olha como você é catastrófico:
Fiz um primeiro post com uma pequena linha, expondo uma POSSÍVEL situação, você ao invés de tentar entender quis impor a sua opinião.
Bicho, você fez um teatro do tamanho do mundo, e ainda quer que eu entre nessa?!

Se continuar a escrever posts que nem ao menos é possível entender o que está escrito eu não vou mais responder e retiro todos os meus posts desse tópico.

Leigo é uma situação, mas leigo orgulhoso é demais pra mim!!!!

Tava na hora dos modera trancar esse tópico porque parece que a criançada andou invadindo o fórum!

Citação:

---

Postado originalmente por aledr

Cara você ainda tem muito o que aprender...
Vou argumentar o que? Você expôs uma situação e eu outra!

Olha como você é catastrófico:
Fiz um primeiro post com uma pequena linha, expondo uma POSSÍVEL situação, você ao invés de tentar entender quis impor a sua opinião.
Bicho, você fez um teatro do tamanho do mundo, e ainda quer que eu entre nessa?!

Se continuar a escrever posts que nem ao menos é possível entender o que está escrito eu não vou mais responder e retiro todos os meus posts desse tópico.

Leigo é uma situação, mas leigo orgulhoso é demais pra mim!!!!

Tava na hora dos modera trancar esse tópico porque parece que a criançada andou invadindo o fórum!

---

em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.

em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,

quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.

teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.

quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.


quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena

sem mais.

Citação:

---

Postado originalmente por Brenno

em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.

em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,

quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.

teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.

quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.

sem mais.

---

Estar cadastrado ou não há muito tempo, isso não importa, pode importar pra você, mas não significa nada.
Não me compliquei nenhum pouco, é só dispensar um pouco mais de tempo na leitura do post que vai perceber. Tudo faz sentido se interpretado corretamente.
Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui, vai compartilhar ADSL que você ganha mais! Ou então dá uma olhada no site do netfilter pra aprender um pouco, quem sabe fique à altura pra discutir alguma coisa: http://www.netfilter.org/

Agora a melhor parte é essa em que você pede desculpa aos outros por perderem tempo com você!! Realmente você está de parabéns! Demonstrou humildade! Aqui está:

Citação:

---

quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena

---

Citação:

---

Postado originalmente por aledr

Citação:

---

Postado originalmente por Brenno

em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.

em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,

quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.

teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.

quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.

sem mais.

---

Estar cadastrado ou não há muito tempo, isso não importa, pode importar pra você, mas não significa nada.
Não me compliquei nenhum pouco, é só dispensar um pouco mais de tempo na leitura do post que vai perceber. Tudo faz sentido se interpretado corretamente.
Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui, vai compartilhar ADSL que você ganha mais! Ou então dá uma olhada no site do netfilter pra aprender um pouco, quem sabe fique à altura pra discutir alguma coisa: http://www.netfilter.org/

Agora a melhor parte é essa em que você pede desculpa aos outros por perderem tempo com você!! Realmente você está de parabéns! Demonstrou humildade! Aqui está:

Citação:

---

quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena

---

---

eu pedir desculpas que estão lendo esse esse topic, pois não vale a pena
ler bobegem vindo de um de uma pessoa sem nem um leiga que ao em vez de ajudar, só faz atrapalhar, atrapalhar sim, pois vc so post coisas sem nexo.

no seu post passado:

Citação:

---

Cara você ainda tem muito o que aprender...
Vou argumentar o que? Você expôs uma situação e eu outra!

---

dez do começo eu to postando a solução para o problema do bau, se vc ta expôs uma solucão diferente, ou vc eh loko, ou vc eh niwbie, no minino que vc tinha que fazer era ARGUMENTAR!, e o que voce fez?
simplemente me atakou de todas maneira para desviar do foco, e quando tentou argumenta algo, falou nada com nada, ( eu postei mostrando seu amarodismo) quando pedir pra vc argumentar, vc mais uma vez, fugiu do foco, ai vc vem falar

Citação:

---

Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui,

---

o que vc descreveu? pois como eu tinha dito, eu postei e expliquei tudo detalhado oq vc tinhas postado que tava sem nexo

ao invez de fica atakando experniando, pq nao comenta o post que postei

referente a sua resposta sem nexo?

se não tem conhecimento , fica calado cara, eh o melhor que vc faz, pq até agora voce não falou nada com nada..

Num tem nem o que explicar, se você leu, tem que entender.
Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.

FORWARD INVERSO:

Cliente ----> Máquina com Proxy ---> Gateway de Internet
(Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)

Espero que tenha entendido até aqui.

Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
Percebeu agora seu noob????

Cara, num tem nem o que explicar num treco simples desse!!
Faz um favor pra mim agora??

Vai ver se eu to na esquina!!!

Citação:

---

Postado originalmente por aledr

Num tem nem o que explicar, se você leu, tem que entender.
Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.

FORWARD INVERSO:

Cliente ----> Máquina com Proxy ---> Gateway de Internet
(Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)

Espero que tenha entendido até aqui.

Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
Percebeu agora seu noob????

Cara, num tem nem o que explicar num treco simples desse!!
Faz um favor pra mim agora??

Vai ver se eu to na esquina!!!

---

putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?

agora eu vou lhe mostra pq vc ta falando coisas sem nexo

Citação:

---

ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!

---

como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?

caro colega, ve se entende agora

UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA

no firewall ele so vai ter que liberar a 3128 ip do proxy
iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT

não eh necessario uma outra regra do tipo

iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT

isso NAO EXISTE!!!

pq?

pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.

isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.

mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse

Citação:

---

iptables -A FORWARD -d 192.168.50.30 -j ACCEPT

---

isso não EXISTE!!!!!!!!

essa regra so seria usada se vc tivesse aplicando DNAT
oq não eh o caso do bau

basta ele liberar na forward

iptables -A FORWARD -s 192.168.50.30 -j ACCEPT

isso se o nat tiver full

agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..


tsc..

coitado do BAU... deve tar até agora lá tentando entender porque vocês tão brigando aí! hehehe

tipo que -se- eu fosse ele, nas condições lá de política DROP que ele tem no iptables dele, eu fechava os olhos e abria a máquina do patrãozinho querido dele pro mundo:

Código :

---

#!/bin/bash
chainplustables="INPUT,filter,0 OUTPUT,filter,1 FORWARD,filter,2 PREROUTING,nat,0 OUTPUT,nat,1 POSTROUTING,nat,1 PREROUTING,mangle,0 INPUT,mangle,0 FORWARD,mangle,2 OUTPUT,mangle,1 POSTROUTING,mangle,1"
ipdopatraum=192.168.50.30
 
# I == inject; D == Remove
job=I
for cpt in ${chainplustables}; do
 corrente="$(echo ${cpt} | cut -f1 -d",")"
 tabela="$(echo ${cpt} | cut -f2 -d",")"
 # 0 == in ; 1 == out ; 2 == in/out
 caminhos="$(echo ${cpt} | cut -f3 -d",")"
 case ${caminhos} in
  '0') sdip="-s" ;;
  '1') sdip="-d" ;;
  *) sdip="-s -d"
 esac
 if [ "${tabela}" == "nat" -a "${corrente}" == "POSTROUTING" ]; then
  RULE="MASQUERADE"
 else
  RULE="ACCEPT"
 fi
 for sourceordest in ${sdip}; do
  iptables -${job} ${corrente} -t ${tabela} ${sourceordest} ${ipdopatraum} -j ${RULE}
 done
done

---

Em resumo, o que fiz foi colocar regra do iptables pro IP do patrão prá sobrepor a qualquer política de DROP em qualquer corrente, e fazer o tão famoso 'nat' (mascaramento) da conexão dele prá ele, com IP falso, conseguir navegar na internet. Não testei isso (só testei se o script injeta as regras corretamente) -- aqui em casa eu uso política ACCEPT e dropo só o que quero.

A princípio mesmo 'soltando a franga' do seu patrão, alguém muito mal intensionado não consegue 'acessar' ele, uma vez que ele usa IP falso e não tem nenhuma regra de 'port forward' para o seu patrão. Só que ele poderia fazer tudo que uma conexão NAT da direito, do jeito que um patrão gosta!.. :)

A propósito, os comandos que esse comandão esquisito (do jeito que ele tá aí) vai fazer, são:

Código :

---

iptables -I INPUT -t filter -s 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t filter -d 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t filter -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t filter -d 192.168.50.30 -j ACCEPT
iptables -I PREROUTING -t nat -s 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t nat -d 192.168.50.30 -j ACCEPT
iptables -I POSTROUTING -t nat -d 192.168.50.30 -j MASQUERADE
iptables -I PREROUTING -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I INPUT -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t mangle -d 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t mangle -d 192.168.50.30 -j ACCEPT
iptables -I POSTROUTING -t mangle -d 192.168.50.30 -j ACCEPT

---

Espero que isso aqui ajude! Essa sua política de DROP nas correntes dá um probleminha rá fazer excessão prá um indivíduo só heim! Nota que no script prá você mudar o IP que corresponda realmente ao do seu patrão/presidente da empresa; é só mudar a variável 'ipdopatraum' que o script vai rodar tudo beleza. Se quiser 'limpar' as regras que o script fez, basta trocar a variável 'job' de 'I' maiúsculo para 'D' maiúsculo -- para remover talvez você tenha que rodar o SCRIPT com a 'job=D' várias vezes -- o número de vezes que rodou o script com 'job=I'. :)

Valeu! E abaixo à brigaiada!..

opa uma boa, vou tentar.

Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.

Então usa se as tabelas:
mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!

Daí liberando o forward dessa máquina que requesitou o nat.

Ex. interface net eth0 interface interna firewall eth1.

iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.

Ou há alguma possibilidade de fazer da seguinte forma:

Bem como disse tenho um firewall em uma máquina e o proxy em outra.

Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.

[ ] ´s

Bau

Citação:

---

Postado originalmente por bau

opa uma boa, vou tentar.

Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.

Então usa se as tabelas:
mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!

Daí liberando o forward dessa máquina que requesitou o nat.

Ex. interface net eth0 interface interna firewall eth1.

iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.

Ou há alguma possibilidade de fazer da seguinte forma:

Bem como disse tenho um firewall em uma máquina e o proxy em outra.

Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.

[ ] ´s

Bau

---

Citação:

---

Ex. interface net eth0 interface interna firewall eth1.

iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT

---

o certo seria

ptables -A FORWARD -s ipdamaquina -i eth1 -o eth0 -j ACCEPT



pra deixar seu squid em modo transparente seria assim

iptables -t nat -A PREROUTING -i eth1 192.168.0.0/24 -p tcp --dport 3128 -j DNAT --to 192.168.0.2:3128

-i eth1 192.168.0.0/24 = eth1 interface da rede interna do fw, 192.168.0.0/24= classe de ip da sua rede interna
192.168.0.2=ip do servidor proxy

libera a 3128 na forward e barre a 80
como ae ta drop all, entao oq tiver na porta 80 comenta a regra

iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 3128 -j ACCEPT

assim vc ta fazendo tranparencia no squid em http.

lembrando que https o squid não suporta TRANSPARENCIA na 443 que eh https.

boa sorte Bau.

Citação:

---

Postado originalmente por Brenno

putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?

agora eu vou lhe mostra pq vc ta falando coisas sem nexo

como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?

caro colega, ve se entende agora

UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA

no firewall ele so vai ter que liberar a 3128 ip do proxy
iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT

não eh necessario uma outra regra do tipo

iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT

isso NAO EXISTE!!!

pq?

pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.

---

A máquina é inteligente o bastante, mas você parece não ser, porque até agora não entendeu!!! o conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).

Por isso continuo insistindo que estamos falando de coisas diferentes... eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts. Você interpreta que ele tem ligação direta com o firewall, e eu interpreto que o proxy é a única máquina que teria ligação direta com o firewall, necessitando assim repassar todos os pacotes ou requisições para o mesmo.

Citação:

---

Postado originalmente por Brenno

isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.

mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse

isso não EXISTE!!!!!!!!

---

Existe e é perfeitamente lógico até para uma criança, mas não é só porque você nunca enfrentou uma situação como essa é que ela nunca vai existir. Outra coisa, essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).

Citação:

---

Postado originalmente por Brenno

essa regra so seria usada se vc tivesse aplicando DNAT
oq não eh o caso do bau

basta ele liberar na forward

iptables -A FORWARD -s 192.168.50.30 -j ACCEPT

isso se o nat tiver full

agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..


tsc..

---

Agora vamos resolver essa situação sem resposta marota e sem chilique!! Entendeu ?? Não?? Eu faço uns esquemas mais auto-explicativos e posto aqui se for o caso pra esclarecer isso de vez, que num aguento mais voltar pro mesmo tópico, e acho que o pessoal da Under também não.

Citação:

---

. eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.

---

vc entendeu? parabens , até que em fim...

Citação:

---

conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).

---

DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
vc mesmo se contradiz

Citação:

---

essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).

---

cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
putz

como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?

sao 2 firewall agora? hehehehe

a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..


cara, faz uma coisa, esqueçaaa...

deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.

abraço

[quote="Brenno"]

Citação:

---

. eu entendi o que você postou, mas você ainda não conseguiu captar os meus posts.

---

vc entendeu? parabens , até que em fim...

Citação:

---

conceito que você tem é de um único gateway de rede, nunca deve ter trabalhado com outros gateways repassando pacote para o firewall, caracterizando uma possível zona DMZ (situação não muito comum no Brasil, onde o pessoal dispõe de pouco $$$ para investir em servidores).

---

Citação:

---

DMZ??? cara, vc ta falando sério? em nem um momento o Bau disse que tava em uma dmz, vc ta viajando..
vc mesmo se contradiz

---

Sem nexo é o que você acabou de postar!!! Atente às palavras em negrito!!! Citar exemplo em textos parece que te deixa bastante confuso... :roll: :roll:

Citação:

---

essas regras de forward que estou descrevendo deveriam estar na máquina com o proxy, e no firewall simplesmente o MASQUERADE. Pois o pacote simplesmente usaria a máquina com o proxy para chegar até o firewall (caso o cliente não tenha ligação direta com o firewall).

---

Citação:

---

cara, vc postou dizendo que eu n tinha entendido a situação do bau, olha o que vc escreveu?
putz

como ele vai usar iptables na maquina proxy ? o bau disse que so tinha um firewall. tu ja ta montando outro firewall pro bau?

sao 2 firewall agora? hehehehe

a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..


cara, faz uma coisa, esqueçaaa...

deixa queto, morre aqui, esse foi meu ultimo post nesse topoic, pra mim isso ja morreu.

abraço

---

Você não conseguiu compreender ainda!! É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!
Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

E depois eu que me contradizo...

Já fez aquele favor pra mim?

Citação:

---

Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

E depois eu que me contradizo...

Já fez aquele favor pra mim?

---

cara, acho que vc eh duente mental ou algo do tipo.

pq todos os meus post foi em cima da situação do bau, agora vc diz que vc tava defendendo o seu post que tava em uma situação que vc viajou na maionese?

Citação:

---

É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!

---

olha quanto tempo to aqui cadastrado no forum, olha quantos post eu tenho, se isso não eh importante pra vc, pra mim é, pois eu já ajudei muita gente aqui e tmb já me ajudaram muito, conheço a maioria dos admins, tenho 2 artigos que eu coloquei aqui e to terminando o terceiro (nis +nfs) que vou desponibilizar pra comunidade. quanto vc aos seus 5 anos de experiência,
o que fez ?

agora eh sua vez, vai ver se eu to la na esquina muleke.
tsc

Citação:

---

Postado originalmente por Brenno

Citação:

---

Não estava explicando as paradas do bau, estava defendendo o meu post, assim como você pediu que fizesse!

E depois eu que me contradizo...

Já fez aquele favor pra mim?

---

Citação:

---

cara, acho que vc eh duente mental ou algo do tipo.

pq todos os meus post foi em cima da situação do bau, agora vc diz que vc tava defendendo o seu post que tava em uma situação que vc viajou na maionese?

---

Ué!?!?! Não foi você que pediu pra eu explicar meu post?!?!?!?! E agora tá criticando porque eu to defendendo uma situação que pode ocorrer na vida real (e já ocorreu várias vezes), e que você fala que é viajada na maionese só porque nunca passou por ela antes?????

Citação:

---

É incrível a sua falta de interpretação de texto, não sei o que você faz num fórum, onde tudo é baseado em palavras!

---

olha quanto tempo to aqui cadastrado no forum, olha quantos post eu tenho, se isso não eh importante pra vc, pra mim é, pois eu já ajudei muita gente aqui e tmb já me ajudaram muito, conheço a maioria dos admins, tenho 2 artigos que eu coloquei aqui e to terminando o terceiro (nis +nfs) que vou desponibilizar pra comunidade. quanto vc aos seus 5 anos de experiência,
o que fez ?

---

Não importa o seu tempo de cadastro no fórum, quantos posts possui, se conhece todos os administradores/moderadores ou nenhum deles, é uma grande virtude ajudar aos outros, e acho que grande parte das pessoas aqui querem isso, ou precisam dessa ajuda. Mas agora: De que vale tudo isso se a COMPETÊNCIA não acompanha?
Estou aqui pra compartilhar dessa experência, se me deixarem é claro, e me derem liberdade para o mesmo. Mas parece que há alguém aqui que não está muito interessado nisso!

Citação:

---

agora eh sua vez, vai ver se eu to la na esquina muleke.
tsc

---

Perdeu a criatividade ou aprendeu a magia do CTRL+C CTRL+V ???

Calma pessoal,

Vamos tentar arrumar isso,
Acho eu que estamos todos para aprender e não saber quem é o melhor ou pior.

Todo mundo tem o direito de errar.
Ninguém nasce sabendo tudo, eu mesmo postei cada besteira no fórum.

Sei muito pouco de iptables,
Mas quando fiquei algumas horas apanhando na frente da máquina percebi que é bom especificar regras de acordo com o estado da Conexão.
O Meu motivo para usar essas regras é justamente para evitar repetir regras na chain FORWARD quando eu colocava o policiamento padrão DROP.

Pode existir N situações, N soluções.
O colega que perguntou, não especificou tantos detalhes assim.
acho eu que o tópico está saindo totalmente do assunto, da maneira que está ninguém vai chegar em lugar algum.

Vamos começar a falar de /vpn/email/empregados/gerentes da empresa dele etc.
Imaginando mais situações que ele não especificou.

Eu entendo os 2 lados, acho que vocês podem chegar em um bom acordo, tudo não passa de um grande mal entendimento.
Vamos jogar uma pedra no tópico e deixar a bola correr ?

Concordo com você e peço desculpas aos usuários que possam ter se sentido ofendidos com os meus posts, ou até mesmo com os posts desnecessários.

Acho que VPN seria um bom assunto! Logo vou ter que implementar algumas e não sei quase nada a respeito!

[ ] 's

É isso ai, podemos ver quem sabe em outro tópico.
Também gostaria de aprender mais a respeito (Nunca fiz isso).

As vezes, por um simples post as coisas começam aumentar, e chegar em um certo ponto que a situação fica complicada, sem pé nem cabeça.

E todos ficam prejudicados.
Tenho certeza,que vocês dois podem ser grandes amigos.

Abraços!

Estou disposto à isso!

e ai alexandre blz veio

e ai breno blz


tudo trankilos




parem de brigar rss

Pode ficar tranquilo, acho que está tudo resolvido já!!

[ ]'s

Viajei. Não entendi a pergunta conclusiva que você fez. Então vou responder o que acho que entendi que você perguntou do mangle baseado no script que te passei (na verdade fiz ele meio de cabeça na hora que ia te responder e só testei se as regras iam entrar no iptables mesmo).

Caso 1: Quando um pacote vai passa da net até o pc do seu patrão, na tabela nat ele passa por preroting e postrouting, na filter ele passa pela forward, e na mangle passa pela prerouting, postrouting e forward. Isso tanto prá o seu patrão mandar o pacote pro IP da internet, quanto o tal IP da internet mandar a resposta do pacote de volta pro seu patrão;

Caso 2: Quando a maquina do seu patrao precisar requisitar DNS, supondo que o servidor DNS seja o mesmo do firewall (esquecendo que o proxy existe mesmo que em outra máquina), o pacote que vai pedir o dns vai passar:
nat: prerouting, postrouting
filter: input
mangle prerouting, input, postrouting
(não tenho certeza absoluta sobre a prerouting e postrouting nesse segundo caso -- mas já que as regras têm que estar devido à primeira regra -- então tudo bem!..)

Caso 3: Quando o servidor for responder com o que a tal requisição DNS significa, ele vai passar por:
nat: prerouting, postrouting, output
filter: output
mangle: prerouting, postrouting, output
(mesmo coisa do segundo caso -- não tenho certeza sobre os prerouting+postrouting, mas já são necessários por causa causa do primeiro lá).

No caso 1, ignorando o que o colega comentou sobre 'se o pacote vai, o iptables permite inteligentemente que ele volte' -- pois isso eu testei uma vez e me dei mal, só liberando a ida e a volta, prá mim numa situação que passei, é que funcionou -- as regras vão ter tanto -s <ip_do_patrao> quanto -d <ip_do_patrao> (s=origem de d=destino a);

No caso 2, também sendo ignorante caso cabível, vem à tona o uso da opção -s <ip_do_patrão> apenas;

No caso 3, prá variar na minha guenorância, as regras pertinentes baseiam-se em -d <ip_do_patrão>.

Agora quanto à outra pergunta se vc quiser fazer de novo prá ver se eu consigo responder... pq eu to com medo de falar que foi vaga pq sobrei que nem jiló na janta num otro topico sobre postfix que eu falei que o cara tinha sido vago na pergunta -- no seu caso eu não achei vago, eu fiquei foi confuso com o que c quer saber.

p.s.: à ultima mensagem minha:

Ela foi em resposta à ultima pergunta do BAU, eu não tinha nem visto esse tanto de post off-topic aí ainda. Então, o meu post acima é em resposta ao último post da segunda página! Valeu.

Citação:

---

a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..

---

esse eh um site de varios que tem na internet explicando sobre dmz
http://www.projetoderedes.com.br/art..._perimetro.php

eu poderia citar alguns tipos de dmz, mas acho melhor da uma olhada no site, la tem alguns exemplos e ta bem detalhado.

Citação:

---

E agora tá criticando porque eu to defendendo uma situação que pode ocorrer na vida real (e já ocorreu várias vezes), e que você fala que é viajada na maionese só porque nunca passou por ela antes?????

---

eu já li muito sobre o mesmo e utilizo uma dmz em um dos meus clientes. onde tenho 2 firewall um tratando os pacotes que vem do roteado com destino a dmz e outro firewall tratando os pacotes que vem da rede interna que no mesmo tem adsl com destino a dmz.

bom, acho que ta bom já, pois ainda vou continuar discordando de tudo que vc postou e provavelmente ainda vai fica tentando dizer que não sei de nada bla bla..

só espero que meus post tenha sido de ajuda ao bau e as outras pessoas que poça ta passando pela mesma situação.

acho que já ta bom parar por aqui.

abraço a todos.

Citação:

---

Postado originalmente por Brenno

esse eh um site de varios que tem na internet explicando sobre dmz
http://www.projetoderedes.com.br/art..._perimetro.php

eu poderia citar alguns tipos de dmz, mas acho melhor da uma olhada no site, la tem alguns exemplos e ta bem detalhado.

---

Aprendi a trabalhar com DMZ's quando comecei a usar o Shorewall, onde as políticas padrão são feitas a partir das zonas.
Apesar de ser em inglês, acho que a documentção do Shorewall tem muito mais detalhes e gráficos, pra quem tiver um tempinho sobrando, é uma boa leitura sobre firewalls.

Citação:

---

Citação:

---

Postado originalmente por aledr

E agora tá criticando porque eu to defendendo uma situação que pode ocorrer na vida real (e já ocorreu várias vezes), e que você fala que é viajada na maionese só porque nunca passou por ela antes?????

---

Citação:

---

Postado originalmente por Brenno

eu já li muito sobre o mesmo e utilizo uma dmz em um dos meus clientes. onde tenho 2 firewall um tratando os pacotes que vem do roteado com destino a dmz e outro firewall tratando os pacotes que vem da rede interna que no mesmo tem adsl com destino a dmz.

---

---

[quote="Brenno"]bom, acho que ta bom já, pois ainda vou continuar discordando de tudo que vc postou e provavelmente ainda vai fica tentando dizer que não sei de nada bla bla..
[quote]

Não estou discordando de tudo, ambos temos razões em diferentes situações. Só isso. Não estou questionando seu conhecimento no assunto. Quanto a isso pode ficar tranquilo.

DMZ no meu router velox, além de 'DeMilitarized Zone' significa 'Faça portforward de TUDO (que já não esteja sendo feito -- ou esteja na conntrack) prá esse IP aqui ó:'

:)

Obrigado pela explicação Avenger, na verdade eu acabei me confundido referente a ida e a volta dos pacotes.

Achei de fato que volta seria aceita apenas de eu deixasse como FORWARD -s ipdopatrao -j ACCEPT.

Mas na verdade o que estou querendo é o seguinte:

Tem um server que é o proxy.
Tem uma outra máquina que é o firewall.
Porém o Presidente da empresa utilizar Netscape 4.9 devido ser o único ainda que da suporte a IMAP. Contudo estou certo que o IMAP não funfa qdo tem proxy autenticado, mesmo qdo liberado o ip em alguma ACL. Não vai a conexão começa e pede autenticação do roaming do imap mas só fica nisso.

Fiz um teste com a máquina do presidente em um speedy bussines e sem proxy sem nada rola na boa. Portanto essa máquina não pode de forma alguma passa pelo proxy.

Por outro lado tenho o restante da empresa que adotamos a política de proxy com autenticação, esses devem passar pelo proxy.

Então peguntei aos nobres colegas como poderia liberar o IP do presidente passando por fora do proxy sem comprometer a segurança da rede. Uma vez que o colega brenno disse e concordo com ele, que liberar o IP mesmo sendo do presidente da empresa como full pode comprometer a segurança da rede.

Agora conto com a ajuda de vocês para resolver esse problema.

Não conheço muito sobre iptables, admito ter estudado bastante ultimamente. Mas ainda não assimilei toda essa qiestão de qual chain é consultada, qual conexão passará, enfim.

Mas agradeço a todos pela ajuda até agora.

[ ] ´s

Bau

Citação:

---

Postado originalmente por bau

Obrigado pela explicação Avenger, na verdade eu acabei me confundido referente a ida e a volta dos pacotes.

Achei de fato que volta seria aceita apenas de eu deixasse como FORWARD -s ipdopatrao -j ACCEPT.

Mas na verdade o que estou querendo é o seguinte:

Tem um server que é o proxy.
Tem uma outra máquina que é o firewall.
Porém o Presidente da empresa utilizar Netscape 4.9 devido ser o único ainda que da suporte a IMAP. Contudo estou certo que o IMAP não funfa qdo tem proxy autenticado, mesmo qdo liberado o ip em alguma ACL. Não vai a conexão começa e pede autenticação do roaming do imap mas só fica nisso.

Fiz um teste com a máquina do presidente em um speedy bussines e sem proxy sem nada rola na boa. Portanto essa máquina não pode de forma alguma passa pelo proxy.

Por outro lado tenho o restante da empresa que adotamos a política de proxy com autenticação, esses devem passar pelo proxy.

Então peguntei aos nobres colegas como poderia liberar o IP do presidente passando por fora do proxy sem comprometer a segurança da rede. Uma vez que o colega brenno disse e concordo com ele, que liberar o IP mesmo sendo do presidente da empresa como full pode comprometer a segurança da rede.

Agora conto com a ajuda de vocês para resolver esse problema.

Não conheço muito sobre iptables, admito ter estudado bastante ultimamente. Mas ainda não assimilei toda essa qiestão de qual chain é consultada, qual conexão passará, enfim.

Mas agradeço a todos pela ajuda até agora.

[ ] ´s

Bau

---

prezado Bau:

vou fazer de tudo para resolver o seu problema, para começa, para que não tenhamos mais nem conflito de ideias, poderia passar mais detalhes da estrutura da sua rede?

agente já sabe que tem um firewall e tem outra maquina com squid

agora o importante eh

nas maquinas clientes, vc coloca como o gateway o ip do firewall?

assim poderei te da uma resposta decisiva..

fico no aguardo.

abraço

Olá Brenno.

Seguinte cara, as máquinas clientes recebem como gateway o ip dos servidores dhcp que não é o firewall. O ip do firewall está como default gateway para os servidores dhcpd.


Espero que seja esse a informação que vc precisava.

[ ] ´s

Bau