- Open Proxy
+ Responder ao Tópico
-
Open Proxy
Galera!!
O Terra Empresa tá falando que o firewall/proxy da empresa do meu amigo está permitindo "OPEN PROXY".
Já pesquisei na net e achei diversos documentos mas nenhum está claro o que é exatamente open proxy; alguém sabe me definir o que é isto exatamente??, pois li tanta coisa que estou confuso e o que eu estava pensando sobre o assunto agora está mais sombrio do que esclarecido.
Alguém sabe o que é exatamente OPEN PROXY e o que precisamos verificar pra barrar isso??
p.s.: na empresa dele tem um micro com ADSL, rolando firewall em iptables + proxy squid, a distro é Slackaware.
Obrigado galera.
Abraços.
-
block
Caro Wal,
Bloquear
libera
iptables -A INPUT -s iplan -p tcp --syn --dport porta_proxy -j ACCEPT
bloqueia o resto.
iptables -A INPUT -s 0/0 -p tcp --syn --dport porta_proxy -j DROP
falou,
-
Open Proxy
wrochal2002 e galera!!
Gostaria de dicas de vcs pra saber se as regras que vou colocar no meu firewall estão legais.
Estas regras peguei aqui no site e serviam exatamente pra que eu preciso (proxy + outlook express); depois que estas regras estiverem vou acrescentar mais umas (DNAT - redirecionamento para meus servidores internos - FTP / WEB / DNS).
Configuração geral da rede:
Rede: 172.16.64.0
Eth0: rede interna (172.16.64.206)
Eth1: plugada no link ADSL Speedy
------------------------------------------------
Iníco do script!
#!/bin/sh
#/bin/fi2
#descrição:firewall
#
#Regras do Firewall
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#habilitando roteamento e demais coisinhas
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#INPUT
#Liberando o INPUT para a interface loopback
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 172.16.64.206 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 200.xxx.xx.xx -i lo -j ACCEPT
#Para conexao estabilizada ou relacionada com meu firewall deve ser mantida
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#Liberando as respostas dos DNS para meu firewall
iptables - A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
iptables - A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.xxx.xx.xx -j ACCEPT
#Travando os pacotes fragmentados
iptables -A INPUT -i eth1 -f -j LOG --log-prefix "Pacote INPUT fragmentado:"
iptables -A INPUT -i eth1 -f -j DROP
#Evitando Spoofing:
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
#Liberando ping
iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp -s 200.xxx.xx.xx -d 200.xxx.xx.xx -j ACCEPT
#Liberando o acesso ao squid para minha rede interna
iptables -A INPUT -p tcp -i eth0 -s 172.16.0.0/16 --dport 3128 -j ACCEPT
#Libera o acesso ao ssh
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#Libera o acesso ao ftp
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#Libera resposta de servidores www para meu squid
iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 20 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --sport 21 -j ACCEPT
#Travando as porcarias
iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
iptables -A INPUT -j LOG --log-prefix "Pacote input descartado:"
iptables -A INPUT -j DROP
#FORWARD
#Barra pesada com o FORWARD
iptables -A FORWARD -m state --state INVALID -j DROP
#Aceitando as conexoes estabilizadas e relacionadas com outras feitas
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
#Para outlook funfar
iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.10 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 172.16.0.0/16 -d 200.204.0.138 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 200.204.0.10 --sport 53 -d 172.16.0.0/16 -j ACCEPT
iptables -A FORWARD -p udp -s 200.204.0.138 --sport 53 -d 172.16.0.0/16 -j ACCEPT
#Liberando as portas do outlook para acessar os servidores externos
iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 172.16.0.0/16 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT
#dropar o restante e logar
iptables -A FORWARD -j LOG --log-prefix "Pacote forward descartado:"
iptables -A FORWARD -j DROP
#Mascarando minha rede interna
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
Dúvidas:
1) com estas regras estou seguro? (não 100% é lógico, sempre existe aqueles que conseguem acessar);
2) onde eu posso acrescentar a regra de proxy transparente e tb as regras de DNAT pra elas funcionarem.
3) wrochal2002 - coloquei a regra que vc me passou mas depois que coloco a mesma o proxy não funciona na rede interna; tem uma dica pra mim.
Abraços.
Obrigado por todas as dicas.
-
Open Proxy
Galera e wrochal2002!!
Nenhuma dica????
Obrigado.
-
Open Proxy
Caro,
Faz o que te disse fecha a porta do proxy e só abre para a sua rede.
falou,
-
Open Proxy
Galera!
As regras acima estão funcionando corretamente, inclusive liberando a porta do proxy pra rede interna e travando para o restante.
Agora eu precisava implementar as regras abaixo, vou montar uma DMZ, no firewall anterior estas regras funcionavam corretamente, porém eu estava bem desprotegido em diversas coisas.
Onde é o melhor local pra eu colocar estas regras pra elas funcionarem?? coloquei elas no final das minhas regras mas elas não estão funcionando; nem o proxy transparente está funcionando, o que estou fazendo de errado??
Segue as regras abaixo que estou colocando no final das atuais:
#Proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128
#Redirecionando para o ftp interno na porta 21
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 21 -j DNAT --to 172.16.64.25
#Redirecionando vnc na maquina interna
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800 -j DNAT --to 172.16.64.48
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5900 -j DNAT --to 172.16.64.48
#Redirecionando para o servidor web na porta 80
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j DNAT --to 172.16.64.25
Obrigado pelas dicas!
-
Open Proxy
Não tenho certeza, mas acho q essa regra de INPUT de lixo pelo iptables, tá impedindo o repasse de pacotes para a porta 3128.
Experimente jogar o PREROUTING para 3128 em cima da regra de INPUT.
O restante vc vai mudando se esta der certo !!
Abraço,
Abutre
-
Open Proxy
Que treta!!
Não deu certo; coloquei a regra de proxy-transparente antes de todas e nada.
Será que fica segura eu mudar o seguinte:
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
para
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
tipo para eu liberar o que eu quiser e depois sim eu dropar os INPUT, FORWARD??
O que eu não queria é ficar insegura e deixar portas abertas.
Agradeço todas as dicas.
-
Open Proxy
Beleza galera!!
O problema do Open-Proxy está resolvido.
Vou finalizar este tópico por aqui, mas vou abrir outro sobre configurações ideais para firewall.
Obrigado pelas dicas!!
Abraços.