-
Re: Conectividade social
Boa Noite Pessoal.
e o seguinte, vou escrever passo a passo e vou colocar o firewall atual de todas as regras que eu estou usando no momento, que esta funcionando o conectividade social, receitanet e tb o TED (SINTEGRA), esse último estava dando trabalho, mas foi resolvido.
1) Squid - Proxy Transparente (quem quiser eu passo a configuração necessaria para fazer o proxy transparente.
O proxy transparente tem que estar configurado para o funcionamento.
2) Firewall - segue abaixo as regras que eu coloquei.
#! /bin/bash
iptables=/sbin/iptables
## LIMPA OS IPTABLES ##
iptables -F
iptables -t nat -F
## CARREGA OS MODULOS DOS IPTABLES ##
modprobe ip_tables
modprobe iptable_nat
## FECHA OS MODULOS DOS IPTABLES ##
## ATIVA ROTEAMENTO VIA KERNEL ##
echo 1 > /proc/sys/net/ipv4/ip_forward
## COMPARTILHANDO O ACESSO A INTERNET ##
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
## LIBERA A PORTA 22 SSH ##
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
## ACEITA NA REDE O IP INTERNO E EXTERNO ##
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.255.255.0 -j ACCEPT
## FIM DE PROTOCOLOS ACEITOS NA REDE INTERNA ##
## SOCKETES VALIDOS ##
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
## PROXY TRANSPARENTE ##
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80 -j REDIRECT --to-port 3128
* importante , referente ao Proxy Transparente
## LIBERACAO PARA CONECTIVIDADE SOCIAL ##
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
### REGRAS PARA RECEITANET ###
iptables -A FORWARD -p tcp --dport 8017 -i eth0 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3456 -i eth0 -d 0/0 -j ACCEPT
## REGRA PARA O TED - SINTEGRA ##
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.199.34.27 --dport 8017 -j REDIRECT --to-port 3128
## FECHA TUDO ##
iptables -A FORWARD -p icmp -j DROP
Eis aqui amigos da comunidade, este e o meu firewall que utilizo atualmente, estou ja preparando um outro firewall mais seguro.
Referente a configuração do squid para trabalhar como proxy transparente, quem quiser saber como funciona me avise que irei explicar sem problemas nenhum.
abraços a todos
La Valle
-
Re: Conectividade social
La Valle, coloquei seu firewall no lugar do meu e continuou sem funcionar.
Portela
-
Re: Conectividade social
Portela,
Entao você tem algum problema ai de rede ou configuração.
Sem Mais,
-
Re: Conectividade social
Ola Portela,
como o nosso amigo falou, vc deve estar com algum problema na sua rede.
Eu posso ate saber aonde estar ocorrendo o erro.
1) Configuração do seu squid
2) Configuração do seu firewall sendo.: Regras dos iptables, com mascaramento e compartilhamento.
Faz o seguinte, me passa as informações que eu te ajudo.
abraços
La Valle
* Preciso tb saber como vc configurou a sua estação de trabalho do ambiente de rede.
se puder, mande a imagem das informações do seu ambiente de rede.
-
Re: Conectividade social
La Valle ae vai o meu script do squid e do firewall:
# /etc/squid.conf
# Este é o principal arquivo de configuração do Squid.
# Esta versão incluída no Kurumin inclui apenas as opções mais usadas,
# comentadas de forma a facilitar a configuração. Se quiser ver o arquivo
# original incluído no pacote, leia o arquivo /etc/squid.conf.debian
# Comentários por Carlos E. Morimoto
http_port 3128
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 250 MB
maximum_object_size_in_memory 100 KB
maximum_object_size 10 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2000 16 64
cache_access_log /var/log/squid/access.log
visible_hostname carnaubanet
ftp_user [email protected]
refresh_pattern ^ftp: 100 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 100 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access deny proibidos
acl redelocal src 192.168.0.0/24
http_access allow redelocal
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
FIREWALL:
#!/bin/bash
# Script de configuração do iptables gerado pelo configurador do Kurumin
# Este script pode ser usado em outras distribuições Linux que utilizam o Kernel 2.4 em diante
# Por Carlos E. Morimoto
firewall_start(){
# Abre para uma faixa de endereços da rede local
iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.0.0/255.255.255.0 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Abre uma porta (inclusive para a Internet)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Ignora pings
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Bloqueia traceroute
iptables -A INPUT -p udp --dport 33435:33525 -j DROP
# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP
# Abre para a interface de loopback.
# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# Fecha as portas udp de 1 a 1024, abre para o localhost
iptables -A INPUT -p udp -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -p udp --dport 1:1024 -j DROP
iptables -A INPUT -p udp --dport 59229 -j DROP
# Bloqueia programas P2P
#iMesh
iptables -A FORWARD -d 216.35.208.0/24 -j REJECT
#BearShare
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#ToadNode
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#WinMX
iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
iptables -A FORWARD -d 64.49.201.0/24 -j REJECT
#Napigator
iptables -A FORWARD -d 209.25.178.0/24 -j REJECT
#Morpheus
iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
#KaZaA
iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
iptables -A FORWARD -p TCP --dport 1214 -j REJECT
iptables -A INPUT -m string --string "X-Kazaa" -j DROP
#Limewire
iptables -A FORWARD -p TCP --dport 6346 -j REJECT
#Audiogalaxy
iptables -A FORWARD -d 64.245.58.0/23 -j REJECT
# Esta regra é o coração do firewall do Kurumin,
# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.
iptables -A INPUT -p tcp --syn -j DROP
/etc/skel-fix/firewall-msg
}
firewall_stop(){
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
}
case "$1" in
"start")
firewall_start
;;
"stop")
firewall_stop
echo "O kurumin-firewall está sendo desativado"
sleep 2
echo "ok."
;;
"restart")
echo "O kurumin-firewall está sendo desativado"
sleep 1
echo "ok."
firewall_stop; firewall_start
;;
*)
iptables -L -n
esac