Liberar 1 IP para passa pelo proxy......
Citação:
Postado originalmente por aledr
Citação:
Postado originalmente por Brenno
em primeiro lugar, acho que vc ainda não notou a quanto tempo eu tou cadastrado aqui na under, já escrevi 2 howto para o mesmo, tenho 700 post, e a criança aqui acho quem ta sendo vc.
em segundo lugar, não quis impor nada, pelo contrario, todos os meus post foi bem detalhados em cima da situação que o prezado amigo bau estava passado,
quando postei a primeira vez falando que n existia a tal regra "inversa" vc ja no outro topic foi tentar explicar e se complicou mas ainda, pois repito, tudo que vc expois não tem nexo e mostra seu amadorismo.
teceiro, se quer tirar seus post, fique avontade, pois como tinha dito, tudo que vc posto n tem nexo e sem sentido.
quarto, se vc não tem capacidade para entender fluxo de dados sobre a ferramenta iptables ou aumenos tcp/ip, aconselho novamento que recolha a sua insignificância.
sem mais.
Estar cadastrado ou não há muito tempo, isso não importa, pode importar pra você, mas não significa nada.
Não me compliquei nenhum pouco, é só dispensar um pouco mais de tempo na leitura do post que vai perceber. Tudo faz sentido se interpretado corretamente.
Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui, vai compartilhar ADSL que você ganha mais! Ou então dá uma olhada no site do netfilter pra aprender um pouco, quem sabe fique à altura pra discutir alguma coisa:
http://www.netfilter.org/
Agora a melhor parte é essa em que você pede desculpa aos outros por perderem tempo com você!! Realmente você está de parabéns! Demonstrou humildade! Aqui está:
Citação:
quinto, peço desculpas aos demais , pois perder tempo com alguem que não tem nem uma qualificação,capacidade,maturidade para discutir sobre iptables ou etc. não vale a pena
eu pedir desculpas que estão lendo esse esse topic, pois não vale a pena
ler bobegem vindo de um de uma pessoa sem nem um leiga que ao em vez de ajudar, só faz atrapalhar, atrapalhar sim, pois vc so post coisas sem nexo.
no seu post passado:
Citação:
Cara você ainda tem muito o que aprender...
Vou argumentar o que? Você expôs uma situação e eu outra!
dez do começo eu to postando a solução para o problema do bau, se vc ta expôs uma solucão diferente, ou vc eh loko, ou vc eh niwbie, no minino que vc tinha que fazer era ARGUMENTAR!, e o que voce fez?
simplemente me atakou de todas maneira para desviar do foco, e quando tentou argumenta algo, falou nada com nada, ( eu postei mostrando seu amarodismo) quando pedir pra vc argumentar, vc mais uma vez, fugiu do foco, ai vc vem falar
Citação:
Cara, entender fluxo de dados??? Você nunca deve ter passado uma situação como eu descrevi aqui,
o que vc descreveu? pois como eu tinha dito, eu postei e expliquei tudo detalhado oq vc tinhas postado que tava sem nexo
ao invez de fica atakando experniando, pq nao comenta o post que postei
referente a sua resposta sem nexo?
se não tem conhecimento , fica calado cara, eh o melhor que vc faz, pq até agora voce não falou nada com nada..
Liberar 1 IP para passa pelo proxy......
Num tem nem o que explicar, se você leu, tem que entender.
Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.
FORWARD INVERSO:
Cliente ----> Máquina com Proxy ---> Gateway de Internet
(Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)
Espero que tenha entendido até aqui.
Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
Percebeu agora seu noob????
Cara, num tem nem o que explicar num treco simples desse!!
Faz um favor pra mim agora??
Vai ver se eu to na esquina!!!
Liberar 1 IP para passa pelo proxy......
Citação:
Postado originalmente por aledr
Num tem nem o que explicar, se você leu, tem que entender.
Fica aí, que nem uma xiliquenta, só empatando cara, para com isso.
FORWARD INVERSO:
Cliente ----> Máquina com Proxy ---> Gateway de Internet
(Requisição) --> Repasse (FORWARD) para o Gateway --> Mascaramento para a NET)
Espero que tenha entendido até aqui.
Tá certo, você fez o FORWARD das requisições do cliente permitindo que ele passe pela máquina com o proxy até chegar ao gateway. Como a regra padrão dele de FORWARD é DROP, ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
Percebeu agora seu noob????
Cara, num tem nem o que explicar num treco simples desse!!
Faz um favor pra mim agora??
Vai ver se eu to na esquina!!!
putz, tem condicoes uma coisa dessas não, eu expliquei varias vezes, tudo bem detalhado, algo tao simples, ainda vem vc postando bobagem?
agora eu vou lhe mostra pq vc ta falando coisas sem nexo
Citação:
ele tem que permitir que os pacotes que venham do GATEWAY e sejam destinados ao Cliente, também possa passar tranquilamente pela MÁQUINA COM O PROXY. Esta segunda parte seria a regra do FORWARD INVERSO!!!
como é que alguem com 5 anos de experiência em firewall, fala uma absurdo desses?
caro colega, ve se entende agora
UMA VEZ liberada na FORWARD , não É NECESSARIO criar uma outra regra pra liberar a VOLTAAAA
no firewall ele so vai ter que liberar a 3128 ip do proxy
iptables -A FORWARD -s ipdamaquinaquetaoproxy -p tcp -j ACCEPT
não eh necessario uma outra regra do tipo
iptables -A FORWARD -d ipdamaquinadoproxy -p tcp -j ACCEPT
isso NAO EXISTE!!!
pq?
pq quando o servidor proxy for fazer a consulta na net, a maquina eh rotiadora eh INTELIGENTE O BASTANTE pra devolver o pacote para a maquina que requisitou.
isso eu to falando na situação do bau quem tem um firewal em uma maquina e o proxy na outra maquina.
mesma coisa se aplica na maquina do chefe do bau, n existe o que vc disse
Citação:
iptables -A FORWARD -d 192.168.50.30 -j ACCEPT
isso não EXISTE!!!!!!!!
essa regra so seria usada se vc tivesse aplicando DNAT
oq não eh o caso do bau
basta ele liberar na forward
iptables -A FORWARD -s 192.168.50.30 -j ACCEPT
isso se o nat tiver full
agora, se vc acha que eu to errado, POSTE PORFAVOR , explique com detalhe, comente, não fique experniando, atakando, e sem fala nada, pq isso feiu e papai do céu castiga..
tsc..
Liberar 1 IP para passa pelo proxy......
coitado do BAU... deve tar até agora lá tentando entender porque vocês tão brigando aí! hehehe
tipo que -se- eu fosse ele, nas condições lá de política DROP que ele tem no iptables dele, eu fechava os olhos e abria a máquina do patrãozinho querido dele pro mundo:
Código :
#!/bin/bash
chainplustables="INPUT,filter,0 OUTPUT,filter,1 FORWARD,filter,2 PREROUTING,nat,0 OUTPUT,nat,1 POSTROUTING,nat,1 PREROUTING,mangle,0 INPUT,mangle,0 FORWARD,mangle,2 OUTPUT,mangle,1 POSTROUTING,mangle,1"
ipdopatraum=192.168.50.30
# I == inject; D == Remove
job=I
for cpt in ${chainplustables}; do
corrente="$(echo ${cpt} | cut -f1 -d",")"
tabela="$(echo ${cpt} | cut -f2 -d",")"
# 0 == in ; 1 == out ; 2 == in/out
caminhos="$(echo ${cpt} | cut -f3 -d",")"
case ${caminhos} in
'0') sdip="-s" ;;
'1') sdip="-d" ;;
*) sdip="-s -d"
esac
if [ "${tabela}" == "nat" -a "${corrente}" == "POSTROUTING" ]; then
RULE="MASQUERADE"
else
RULE="ACCEPT"
fi
for sourceordest in ${sdip}; do
iptables -${job} ${corrente} -t ${tabela} ${sourceordest} ${ipdopatraum} -j ${RULE}
done
done
Em resumo, o que fiz foi colocar regra do iptables pro IP do patrão prá sobrepor a qualquer política de DROP em qualquer corrente, e fazer o tão famoso 'nat' (mascaramento) da conexão dele prá ele, com IP falso, conseguir navegar na internet. Não testei isso (só testei se o script injeta as regras corretamente) -- aqui em casa eu uso política ACCEPT e dropo só o que quero.
A princípio mesmo 'soltando a franga' do seu patrão, alguém muito mal intensionado não consegue 'acessar' ele, uma vez que ele usa IP falso e não tem nenhuma regra de 'port forward' para o seu patrão. Só que ele poderia fazer tudo que uma conexão NAT da direito, do jeito que um patrão gosta!.. :)
A propósito, os comandos que esse comandão esquisito (do jeito que ele tá aí) vai fazer, são:
Código :
iptables -I INPUT -t filter -s 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t filter -d 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t filter -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t filter -d 192.168.50.30 -j ACCEPT
iptables -I PREROUTING -t nat -s 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t nat -d 192.168.50.30 -j ACCEPT
iptables -I POSTROUTING -t nat -d 192.168.50.30 -j MASQUERADE
iptables -I PREROUTING -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I INPUT -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t mangle -s 192.168.50.30 -j ACCEPT
iptables -I FORWARD -t mangle -d 192.168.50.30 -j ACCEPT
iptables -I OUTPUT -t mangle -d 192.168.50.30 -j ACCEPT
iptables -I POSTROUTING -t mangle -d 192.168.50.30 -j ACCEPT
Espero que isso aqui ajude! Essa sua política de DROP nas correntes dá um probleminha rá fazer excessão prá um indivíduo só heim! Nota que no script prá você mudar o IP que corresponda realmente ao do seu patrão/presidente da empresa; é só mudar a variável 'ipdopatraum' que o script vai rodar tudo beleza. Se quiser 'limpar' as regras que o script fez, basta trocar a variável 'job' de 'I' maiúsculo para 'D' maiúsculo -- para remover talvez você tenha que rodar o SCRIPT com a 'job=D' várias vezes -- o número de vezes que rodou o script com 'job=I'. :)
Valeu! E abaixo à brigaiada!..
Liberar 1 IP para passa pelo proxy......
opa uma boa, vou tentar.
Agora uma pergunta. qdo estou dentro da rede e irei sair para a net através de nat.
Então usa se as tabelas:
mangle output - nat output - filter output - mangle postrouting - nat postrouting... certo!!!
E qdo os pacotes retornam o iptables faz o caminho inverso correto!!!
Daí liberando o forward dessa máquina que requesitou o nat.
Ex. interface net eth0 interface interna firewall eth1.
iptables -A FORWARD -s ipdamaquina -i eth0 -o eth1 -j ACCEPT
Minha pergunta o implicaria em questão de segurança.... Pq embora o iptables entenda que uma requisição originada da rede interna ele saiba o caminho de volta, será preciso liberar a passagem dos pacotes.
Ou há alguma possibilidade de fazer da seguinte forma:
Bem como disse tenho um firewall em uma máquina e o proxy em outra.
Há possibilidade de fazer um proxy com requisição para usernormal e transparente para outros casos como esse do presidente da empresa por exemplo, uma vez que o Netscape não funfa legal como configuração do proxy no browser. Mas com proxy transparente acredito que irá funfa.
[ ] ´s
Bau