Squid + Firewall = Down!!! HelP

[Magnun]

Eu não o estava ofendendo Magnun, apenas estava expressando a minha opinião, assim como ele fez....xD

Valeu cara, não precisava apagar tudo, só o final que tava meio provocativo e podia gerar uma discursão séria...

Só uma pergunta besta aqui, como que faço para ver essas regras do iptables, eu fui no /etc/sysconfig/iptables, só que ele nao é um arquivo comum que eu possa edita-lo com o gedit ou mcedit.....como que eu faço???

Não é um arquivo comum?! iii... Como te disse tenho pouca experiência com OpenSuSe... O que achei no google falava que era esses dois arquivos... o jeito é pesquisar...

[Magnun]

Cara, tava pesquisando... Essa pasta /etc/sysconfig/ só vai ter declaração de variáveis... Ainda não consegui descobrir onde ficam as regras... Mas pensei em uma solução. No Yast quando o firewall está "desabilitado" ele não está desabilitado de verdade só está sem regra nenhuma... Então faz o seguinte, desabilita esse firewall no yast e vamos criar um script de inicialização que configura o firewall quando você inicia o computador, pode ser?!

[maverickv12]

Cara, tava pesquisando... Essa pasta /etc/sysconfig/ só vai ter declaração de variáveis... Ainda não consegui descobrir onde ficam as regras... Mas pensei em uma solução. No Yast quando o firewall está "desabilitado" ele não está desabilitado de verdade só está sem regra nenhuma... Então faz o seguinte, desabilita esse firewall no yast e vamos criar um script de inicialização que configura o firewall quando você inicia o computador, pode ser?!

Cara, agradeceria muito se você podesse me ajudar a criar esse arquivo, vc não sabe como.
Tipo, qual a primeira regra que tenho que colocar no arquivo???

Fiz umas pesquisas tbm e parece que primeiramente tenho que criar um arquivo e colocar na primeira linha o seguinte comando:

#!/bin/bash

certo???

e depois como faco para que todos os PC's na rede passe primeiramente pelo proxy autenticado e depois entre na net, e tbm que nenhum PC passe direto pro LINk ( Sinal de internet sem antes passar pelo proxy autenticado)???

Grato!!!

[Magnun]

Isso, um script tem q começar com essas linhas e ser "executável". Pra isso precisamos dar a permisão de execução:

Código :

chmod 7777 <nome_do_arquivo>

Essa linha dá a permissão de escrita, leitura e execução pra todos os usuários.

Depois colocar esse script pra ser rodado na inicialização do Linux.
Pra isso você precisa saber sobre os runlevel's do Linux. Ao todo são 6, cada runlevel é referente a um estágio de inicialização/desligamento do Linux.

Runlevel 1 - monousuário, inicilializa o sistema sem opções de segurança, no modo monousuário sem rede;
Runlevel 2 - multiusuário, inicializa o sistema com todas as opções de multiusuários e segurança;
Runlevel 3 - multiusuário com rede, o mesmo do runlevel 2, mas com opções de rede ativas, o runlevel mais comum;
Runlevel 4 - não utilizado;
Runlevel 5 - multiusuário em modo gráfico, igual ao runlevel 3, mas inicia o servidor X automaticamente;
Runlevel 6 - reboot, reinicializa o sistema.
Runlevel 0 - conhecido como halt, é o runlevel que desliga o sistema;

Dentro da pasta /etc temos as pastas rc's: rc0, rc1, rc2, rc3...
Dentro de cada pasta existem scripts que inicalizam os processos de cada runlevel. Os scipts seguem um padrão, eles começam com a letra S ou K. S é de start e K de kill, geralmente os scripts com K só são encontrados nas pastas rc0.d, rc1.d e rc5. Depois tem um número de 2 dígitos. Esse número define a ordem em que os script são executados dentro desse runlevel. depois um nome que identifica o script.

Pra criar o script do firewall pode ser utilizado o runlevel 2. Se você quiser pode copiar um script já existente dentro do runlevel 2 com o comando cp. Confirma as permissões de execução e limpa o script todo deixando só o #!/bin/bash e põe as novas regras.

Vamos começar devaga já que você não ta acostumado com Linux e eu não to acostumado com o OpenSuSe!!! Cria esse script e põe uma regra qualquer, por exemplo:

Código :

iptables -A INPUT -s 10.20.30.40 -j ACCEPT

Essa regra não é pra nada, é só pra ver se o script ta funcionando. Quando o linux tiver terminado de iniciar você abre um terminal e lista as regras com o comando iptables -nL e verifica se essa regra está lá. Se estiver o script ta ok, falta só as regras...

Até a próxima...

[maverickv12]

Isso, um script tem q começar com essas linhas e ser "executável". Pra isso precisamos dar a permisão de execução:

Código :

chmod 7777 <nome_do_arquivo>

Essa linha dá a permissão de escrita, leitura e execução pra todos os usuários.

Depois colocar esse script pra ser rodado na inicialização do Linux.
Pra isso você precisa saber sobre os runlevel's do Linux. Ao todo são 6, cada runlevel é referente a um estágio de inicialização/desligamento do Linux.

Runlevel 1 - monousuário, inicilializa o sistema sem opções de segurança, no modo monousuário sem rede;
Runlevel 2 - multiusuário, inicializa o sistema com todas as opções de multiusuários e segurança;
Runlevel 3 - multiusuário com rede, o mesmo do runlevel 2, mas com opções de rede ativas, o runlevel mais comum;
Runlevel 4 - não utilizado;
Runlevel 5 - multiusuário em modo gráfico, igual ao runlevel 3, mas inicia o servidor X automaticamente;
Runlevel 6 - reboot, reinicializa o sistema.
Runlevel 0 - conhecido como halt, é o runlevel que desliga o sistema;

Dentro da pasta /etc temos as pastas rc's: rc0, rc1, rc2, rc3...
Dentro de cada pasta existem scripts que inicalizam os processos de cada runlevel. Os scipts seguem um padrão, eles começam com a letra S ou K. S é de start e K de kill, geralmente os scripts com K só são encontrados nas pastas rc0.d, rc1.d e rc5. Depois tem um número de 2 dígitos. Esse número define a ordem em que os script são executados dentro desse runlevel. depois um nome que identifica o script.

Pra criar o script do firewall pode ser utilizado o runlevel 2. Se você quiser pode copiar um script já existente dentro do runlevel 2 com o comando cp. Confirma as permissões de execução e limpa o script todo deixando só o #!/bin/bash e põe as novas regras.

Vamos começar devaga já que você não ta acostumado com Linux e eu não to acostumado com o OpenSuSe!!! Cria esse script e põe uma regra qualquer, por exemplo:

Código :

iptables -A INPUT -s 10.20.30.40 -j ACCEPT

Essa regra não é pra nada, é só pra ver se o script ta funcionando. Quando o linux tiver terminado de iniciar você abre um terminal e lista as regras com o comando iptables -nL e verifica se essa regra está lá. Se estiver o script ta ok, falta só as regras...

Até a próxima...

Obrigado Magnun pelo post.

Te falar, não encontrei essas pastas rc's dentro do /etc, mas encontrei umas delas dentro de /etc/rc.d/ >>> lá tinha as rc0.d, rc1.d, rc2.d, rc3.d, rc4.d, rc5.d rc6.d ai coloquei o o script dentro de rc2.d com esse comando que você me falou, dentro dela tinha varios scripts comecando com S e K entao acho que deve ser lá mesmo.

Porem não apareceu essa regra no iptables -nL não, será que fiz algo errado????

Muito Obrigado pela ajuda que esta me dando.


UPDATE

Com o firewall habilitado e desabilitado não estava dando, mas acho que descobri o que era. Parece que o Script não estava sendo executado. Fiz o ./ScriptIptables ( ScriptIptables = nome dado ao script ) e ele rodou, parece que ele não esta rodando automaticamente.

E agora apareceu a regra no iptables -nL, e agora o que fazemos adiante????

Grato

[Magnun]

Legal, no OpenSuse fica em um arquivo diferente...
Acho que não expliquei direito... o script tem que seguir o padrão dos outros: começar com S, ter um número de dois dígitos e um nome. Por exemplo, ontem criei um script pra testar o nível de execução. Criei dentro de rc2.d o script S20firewall.

Não se esqueça de setar as permissões do script.
chmod 777 S20firewall

Até mais...

[maverickv12]

Legal, no OpenSuse fica em um arquivo diferente...
Acho que não expliquei direito... o script tem que seguir o padrão dos outros: começar com S, ter um número de dois dígitos e um nome. Por exemplo, ontem criei um script pra testar o nível de execução. Criei dentro de rc2.d o script S20firewall.

Não se esqueça de setar as permissões do script.
chmod 777 S20firewall

Até mais...

Hum...ok...parece que as coisas agora estão andando, vou coloca-lo com o nome começado com S10iptables.

Porem quais serão as regras que tenho que colocar, pra começar pelo menos a usar o servidor com a autenticação e iptables bloqueando tudo e liberando apenas o acesso ao proxy???

Agradeço desde já!!!

[Magnun]

Cara, vamos primeiro ver se esse script funciona... depois agente põe as regras...

[maverickv12]

Cara, vamos primeiro ver se esse script funciona... depois agente põe as regras...

Blz, como faço pra ver se ele está funcionando, basta apenas digitar o comando iptables -nL ????

Se for jah tah feito e ta aparecendo lá essa regra.

Grato...

[Magnun]

Isso depois de reiniciar o OpenSuse??

[maverickv12]

Isso depois de reiniciar o OpenSuse??

É, realmente ao reiniciar a maquina não entrou as regras, porem executando o script ( ./S20Iptables ) aparece a regra.

Obs: Eu não estou usando o Firewall do proprio Opensuse o firewall2 estou apenas colocando esse script...certo???


Como faço pra aparecer a regra com o boot???

Grato!!!

UPDATE

Notei que todos os scripts estão como link apenas esse script que coloquei que não está, será que tem alguma coisa a ver???

Grato

[Magnun]

A questão do script ser um link não tem muito a ver. É porque normalmente agente coloca o script em /etc/init.d/ e linka ele pra um rc.

Cara, você verificou as permissões do arquivo?? faz o seguinte, você colocou ele como S10firewall ne? Põe como S20firewall, às vezes pode ser que no 10 o serviço de rede ainda não está up.

To quase baixando um ISO desse OpenSuse pra fazer uns testes...

Fico no aguardo...

[maverickv12]

A questão do script ser um link não tem muito a ver. É porque normalmente agente coloca o script em /etc/init.d/ e linka ele pra um rc.

Cara, você verificou as permissões do arquivo?? faz o seguinte, você colocou ele como S10firewall ne? Põe como S20firewall, às vezes pode ser que no 10 o serviço de rede ainda não está up.

To quase baixando um ISO desse OpenSuse pra fazer uns testes...

Fico no aguardo...

Certo. Troquei e vou fazer os testes aqui e posto as resposta amanha...

Grato!!!

UPDATE

Oi Magnun, coloquei e testei e continua não inicializando junto com o sistema, vou pesquisar aqui o que pode ser.

Se tiver alguma ideia estou a disposição....rsrrs

Grato!!!

[maverickv12]

Oi Magnun, editei o arquivo, troquei de nome, troquei de lugar e ate mesmo editei o rc.local em varios lugares, mas mesmo assim não está executando junto com o opensuse, apenas quando inicio ele com o comando ./"script"

Será que vc tem ideia de como que posso fazer para ele entrar junto com o sistema???

Obs: o Firewall do proprio suse o firewall2 esta desativado, tem que ficar assim né???

Grato!!!

[Magnun]

Sim, o firewall fica "desabilitado". Na verdade esse desabilitado só não sobre as regras defaults do OpenSuse.

Cara, faz o seguinte teste. Move esse script pra /etc/init.d/ e renomeia ele. Deixa ele com o nome "firewall". Confirma as permissões de execução. Depois dentro da pasta /etc/init.d executa o seguinte comando:

Código :

update-rc.d firewall defaults

Esse comando vai adicionar o seu script automaticamente em todos os runlevels. Reinicia o linux e ve se a regra sobe...

Cara, se assim não funcionar...

[maverickv12]

Sim, o firewall fica "desabilitado". Na verdade esse desabilitado só não sobre as regras defaults do OpenSuse.

Cara, faz o seguinte teste. Move esse script pra /etc/init.d/ e renomeia ele. Deixa ele com o nome "firewall". Confirma as permissões de execução. Depois dentro da pasta /etc/init.d executa o seguinte comando:

Código :

update-rc.d firewall defaults

Esse comando vai adicionar o seu script automaticamente em todos os runlevels. Reinicia o linux e ve se a regra sobe...

Cara, se assim não funcionar...

(Smiles) Magnun, ate que enfim cara, conseguimos colocar ele pra rodar junto com o sistema, só que esse comando que você me passou não funciona no OpneSuse 10.3, tive que usar o

chkconfig firewall on

e pronto, o script firewall inicia junto com o sistema, agora sim podemos continuar com as regras né????

O que devo fazer agora????

Muito Obrigado pela ajuda que você está me dando!!!

[Magnun]

Aeee.... Não conheço esse comando, mas se ele for igual ao uptate-rc.d ele põe esse script pra ser rodado em todos os rcs. Provavelmente tem alguma diferença de serviços do rc entre Debian e OpenSuSe...

Ok, fiz esse script ontem de noite bem rápido. Ele não é perfeito nem o mais seguro, mas já é alguma coisa! Como disse fiz ele correndo, podem haver algum erro... Mas qualquer coisa agente resolve...

Código :

#!/bin/bash 
eth_ext=
eth_int=
rede_interna=
#################################
######### Inicialização #########
#################################
 
# limpando as tabelas
iptables -F 
iptables -t nat -F 
iptables -t mangle -F 
 
# Ativando o roteamento 
echo 1 > /proc/sys/net/ipv4/ip_forward 
 
#################################
#########  Proteções ############
#################################
 
# Protege contra os "Ping of Death" 
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 
 
# Protege contra os ataques do tipo "Syn-flood, DoS, etc" 
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT 
 
# Protege contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
 
# Mascarando a rede 
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE 
 
# libera acesso interno da rede 
iptables -A INPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A OUTPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --syn -i eth1 -j ACCEPT 
 
# Políticas Padrões
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
 
 
#################################
#####  Regras de filtragem ######
#################################
 
#### Chain INPUT ####
# Libera interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
 
# Libera entrada de pacotes de conexões estabelecidas
iptables -A INPUT -i $eth_ext -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Libera entrada de pacotes de novas conexões
iptables -A INPUT -i $eth_int -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s $rede_interna -i $eth_int -j ACCEPT
 
#### Chain OUTPUT ####
 
#### Chain FORWARD ####
#Libera forwarding da rede interna pra internet
iptables -A FORWARD -s $rede_interna -i eth_int -o eth_ext -j ACCEPT
 
#Libera forwarding da internet pra rede interna 
iptables -A FORWARD -d $rede_interna -i eth_ext -o eth_int -j ACCEPT
 
 
#################################
######## Regras de NAT ##########
#################################
 
#### Chain PREROUTING ####
 
 
#### Chain POSTROUTING ####
#Bloqueia acessos à web que não sejam atraves do Squid
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -p tcp --dport 80 -j DROP
 
#Regra de NAT
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -j MASQUERADE
 
#### Chain OUTPUT ####

Só preenche as variáveis do início, por exemplo:
eth_ext=eth1
eth_int=eth0
rede_interna=192.168.1.0/24

Qualquer coisa posta ai...
Se alguém tiver alguma crítica ou sugestão ao script posta também!

Tenho que trabalhar... Fui...

[maverickv12]

Aeee.... Não conheço esse comando, mas se ele for igual ao uptate-rc.d ele põe esse script pra ser rodado em todos os rcs. Provavelmente tem alguma diferença de serviços do rc entre Debian e OpenSuSe...

Ok, fiz esse script ontem de noite bem rápido. Ele não é perfeito nem o mais seguro, mas já é alguma coisa! Como disse fiz ele correndo, podem haver algum erro... Mas qualquer coisa agente resolve...

Código :

#!/bin/bash 
eth_ext=
eth_int=
rede_interna=
#################################
######### Inicialização #########
#################################
 
# limpando as tabelas
iptables -F 
iptables -t nat -F 
iptables -t mangle -F 
 
# Ativando o roteamento 
echo 1 > /proc/sys/net/ipv4/ip_forward 
 
#################################
#########  Proteções ############
#################################
 
# Protege contra os "Ping of Death" 
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 
 
# Protege contra os ataques do tipo "Syn-flood, DoS, etc" 
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT 
 
# Protege contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
 
# Mascarando a rede 
iptables -t nat -A POSTROUTING -s [COLOR=Red]10.83.96.0/24[/COLOR] -o eth0 -j MASQUERADE 
 
# libera acesso interno da rede 
iptables -A INPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A OUTPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --syn -i eth1 -j ACCEPT 
 
# Políticas Padrões
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
 
 
#################################
#####  Regras de filtragem ######
#################################
 
#### Chain INPUT ####
# Libera interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
 
# Libera entrada de pacotes de conexões estabelecidas
iptables -A INPUT -i $eth_ext -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Libera entrada de pacotes de novas conexões
iptables -A INPUT -i $eth_int -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s $rede_interna -i $eth_int -j ACCEPT
 
#### Chain OUTPUT ####
 
#### Chain FORWARD ####
#Libera forwarding da rede interna pra internet
iptables -A FORWARD -s $rede_interna -i eth_int -o eth_ext -j ACCEPT
 
#Libera forwarding da internet pra rede interna 
iptables -A FORWARD -d $rede_interna -i eth_ext -o eth_int -j ACCEPT
 
 
#################################
######## Regras de NAT ##########
#################################
 
#### Chain PREROUTING ####
 
 
#### Chain POSTROUTING ####
#Bloqueia acessos à web que não sejam atraves do Squid
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -p tcp --dport 80 -j DROP
 
#Regra de NAT
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -j MASQUERADE
 
#### Chain OUTPUT ####

Só preenche as variáveis do início, por exemplo:
eth_ext=eth1
eth_int=eth0
rede_interna=192.168.1.0/24

Qualquer coisa posta ai...
Se alguém tiver alguma crítica ou sugestão ao script posta também!

Tenho que trabalhar... Fui...

Obrigadão magnun, coloquei esse script que você montou ai, agora estou com uma dúvida nessa linha que coloquei em vermelho ai no seu post, esse IP eh da rede interna????

Se for já mudei pra minha rede, vou fazer uns testes aqui e posto o resultado!!!

Grato!!!

[Magnun]

Opa... viagem minha...
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE
na verdade era pra ser
iptables -t nat -A POSTROUTING -s $rede_interna -o eth0 -j MASQUERADE

Foi mal...pequei de um exemplo e esqueci de editar...
Qualquer dúvida sobre os comandos posta ai! É EXTREMAMENTE importante que você entenda as regras...

Uma ótima fonte de pesquisa: Guia Foca GNU/Linux - Firewall iptables

[maverickv12]

Opa... viagem minha...
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE
na verdade era pra ser
iptables -t nat -A POSTROUTING -s $rede_interna -o eth0 -j MASQUERADE

Foi mal...pequei de um exemplo e esqueci de editar...
Qualquer dúvida sobre os comandos posta ai! É EXTREMAMENTE importante que você entenda as regras...

Uma ótima fonte de pesquisa: Guia Foca GNU/Linux - Firewall iptables

Hum, certo vou editar aqui e colocar umas adaptações pra minha rede e já posto o que "deu"....Vlew galera do under...e obrighadão pela ajuda prestada Magnun.

voltarei...rsrsrs

Abraço