Acesso ao site do Banco do Brasil

[violinista]

Olá, galera !!!

Pessoal ... tenho um proxy transparente funfando blzinha, e um firewall usando o iptables ... mas estou tendo problemas para acessar o site do Banco do Brasil ...

Na página inicial ele entra numa boa ... mas qdo clico em "Sua conta", ele não entra ... demora pra burro e depois aparece que "A página não pode ser exibida" ...

Depois que eu "zero" o iptables e dou um "MASQUERADE" em tudo, daí ele acessa numa boa ...

Alguém sabe o que eu tenho que liberar pra ele acessar essa área do site ???

Valew !!!!!!!!!

[1c3m4n]

Essa pagina apesar de ainda num estar autenticada ela usa HTTPS vc habilitou https no proxy dos seus clientes?? (porta 443)
Detalhe essa pagina tb vai precisar de java.... por isso demora

[violinista]

ops: ops: hehehe ... é, k-ra ... não tinha colocado o https na configuração do proxy dos clientes ! rs ... eu mudei e deu certo ... valew pela dica, 1c3_m4n ! Funcionou !

Mas eu estava querendo usar o proxy transparente ... só não funcionou pra https, tá funfando pro resto ... eu até tentei colocar a regra iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 443 -j DNAT --to-destination 192.168.0.2:3128 assim como tem pra porta 80, mas não funcionou ...
Ah, já tenho a regra iptables -A INPUT -i eth0 -p tcp --sport 443 -j ACCEPT no meu firewall ...

Alguma sugestão ?????

Valew !!!!!

[1c3m4n]

como ta sua regra pra porta 80?

[violinista]

Tá assim, ó:

iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.2:3128

É tudo o que eu tenho em relação à porta 80 ...

[1c3m4n]

tenta assim:
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128

[Jim]

vc tem que adicionar a regra para a porta 443 dentro do squid.conf

acl Safe_ports port 443

salva e dá um:

squid -k reconfigure

Isso deve resolver...

[1c3m4n]

eh tem essa mesmo, mas geralmente ele jah vem com a 443 nas acl

[violinista]

Aê, 1c3_m4n ... fiz do jeito q vc falou e não funcionou ...

Jim, dei uma olhada no meu squid.conf e lá já tem a linha q vc falou ...

[1c3m4n]

bom sei lah entaum.... eu nunca fiz proxy transparente um https.... soh com http mesmo... alias eh bem capaz dele num aceitar redirecionamento tb....

[violinista]

É mesmo ... faz sentido ele não aceitar redirecionamento da porta 443 ... eu acho q se redirecionar da 443 pra 80, por exemplo, daí já deixa de ser uma conexão segura, ou falei besteira ??? ops:

Mas blz ... qquer coisa eu configuro o proxy dos clientes para https na mão mesmo ... pelo menos já dá pra resolver o meu problema ... valew !

Se eu descobrir alguma coisa a respeito eu posto aki, blz ? (e se alguém descobrir, por favor, me mande ! )

Até + !

[Jim]

Eu uso sem problema nenhum amigo... acho que seria legal vc dar uma revisada geral nas suas regras pra ver se não tá se perdendo em algum lugar aí... :-D

[violinista]

Sério, Jim ? Como vc faz ???

O meu script tá assim, ó:

Código :

#!/bin/sh
#
# Script de configuracao do firewall
#
 
# Regras do Firewall
iptables -F
iptables -F -t nat
iptables -Z
iptables -X
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
 
# Libera o INPUT para a interface de loopback
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 200.200.200.200 -i lo -j ACCEPT
 
# Para conexao estabelecida ou relacionada deve ser mantida
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# Libera as respostas do DNS para o firewall
iptables -A INPUT -p udp -s 200.204.0.10 --sport 53 -d 200.200.200.200 -j ACCEPT
iptables -A INPUT -p udp -s 200.204.0.138 --sport 53 -d 200.200.200.200 -j ACCEPT
 
# Trava os pacotes fragmentados
iptables -A INPUT -i eth1 -f -j DROP
 
# Evitando o Spoofing
iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
iptables -A INPUT -i eth1 -s 172.16.0.0/12 -j DROP
iptables -A INPUT -i eth1 -s 192.168.0.0/16 -j DROP
iptables -A INPUT -i eth1 -s 224.0.0.0/4 -j DROP
iptables -A INPUT -i eth1 -s 240.0.0.0/5 -j DROP
 
# Liberando o ping para a rede interna
iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
 
# Libera o acesso ao squid para a rede interna ...
iptables -A INPUT -p tcp -i eth0 -s 192.168.0.0/24 --dport 3128 -j ACCEPT
# ... e tambem ao servidor dns
iptables -A INPUT -p udp -i eth0 -s 192.168.0.0/24 --dport 53 -j ACCEPT
 
# Libera o acesso ao ssh para a rede interna ...
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 22 -j ACCEPT
 
# Libera o acesso ao Webmin para a rede interna
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 10000 -j ACCEPT
 
# Libera o envio e recebimento de e-mails deste servidor ...
# ... para a rede interna ...
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 -i eth0 --dport 110 -j ACCEPT
# ... e para a rede externa ...
iptables -A INPUT -p tcp --dport 110 -i eth1 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -i eth1 -j ACCEPT
 
# Libera resposta de servidores www para o squid ...
iptables -A INPUT -p tcp -i eth1 --sport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 443 -j ACCEPT
iptables -A INPUT -p tcp -i eth1 --sport 20 -j ACCEPT
iptables -A INPUT -p udp -i eth1 --sport 21 -j ACCEPT
 
# Travando inutilidades
iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP
 
# Barra pesada com o FORWARD
iptables -A FORWARD -m state --state INVALID -j DROP
 
# Aceitando as conexoes estabelecidas e relacionadas com outras feitas
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
 
# "Dropar" o restante e logar
iptables -A FORWARD -j DROP
 
# Proxy transparente
iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-ports 3128
iptables -t nat -A PREROUTING -p tcp --dport 443 -j REDIRECT --to-ports 3128

O que pode estar errado ?

Valew !

[1c3m4n]

Tira essas daki;
# Travando inutilidades
iptables -A INPUT -p tcp --dport 3128 -j REJECT --reject-with tcp-reset
iptables -A INPUT -j DROP

se vc tem lah no comeco do arquivo iptables -P INPUT DROP vc num vai precisar dela

[1c3m4n]

mais uma coisa da um lsmod e cola aki

[violinista]

Dei um lsmod ... olha aí ...

Código :

Module                  Size  Used by    Not tainted
ipt_REDIRECT             736   2  (autoclean)
smbfs                  31296   1  (autoclean)
ipt_state                608   3  (autoclean)
ipt_REJECT              2816   1  (autoclean)
ipt_MASQUERADE          1216   3  (autoclean)
ipt_LOG                 3136   0  (autoclean)
iptable_nat            12660   1  (autoclean) [ipt_REDIRECT ipt_MASQUERADE]
ip_conntrack           12684   2  (autoclean) [ipt_REDIRECT ipt_state ipt_MASQUERADE iptable_nat]
iptable_filter          1728   1  (autoclean)
ip_tables              10432   9  [ipt_REDIRECT ipt_state ipt_REJECT ipt_MASQUERADE ipt_LOG iptable_nat iptable_filter]
nls_cp437               4384   0  (autoclean)
apm                     9148   1  (autoclean)
3c59x                  24648   2  (autoclean)
keybdev                 1664   0  (unused)
usbkbd                  2848   0  (unused)
input                   3072   0  [keybdev usbkbd]
usb-ohci               17472   0  (unused)
usbcore                48032   0  [usbkbd usb-ohci]

[1c3m4n]

Eh os modulos estao certos....
bom oq vc acha de comecar a montar o firewall ao contario
remove todas as regras deixa tudo como ACCEPT e depois cria soh a regra do MASQUERADE e as duas redirect pra porta do squid

[violinista]

Eh, acho q esse deve ser "o caminho" ... vou tentar por aki ... qquer coisa eu posto novamente !

Valew !

[hitmam]

como eu libero uma maquina para acessar o msn com ipfw
ele ta bloqueando tada as coneções na porta do msn mas eu quero tea acesso em uma uni camaquina da rede como faço isso........

[guardian_metal]

As minhas regras estão abaixo e funciona perfeito:

#Start Serv
#Escript de Firewall e Roteamento de portas
#
#Apaga Regras pre Definidas
iptables -F
iptables -t nat -F
#
#APAGANDO REGRAS
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -X
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
#adicionando modulos
modprobe ip_conntrack
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe iptable_filter
#
#Abilita o Roteamento de Kernel
echo 1 > /proc/sys/net/ipv4/ip_forward
#
#Abilita (NAT) Para converter ip 192.168.1.x para 200.x.x.x
iptables -t nat -A POSTROUTING -s 192.168.172.0/24 -o eth0 -j MASQUERADE
#
#Redireciona Todas as portas para a 8080 (http) (Squid)
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to 8080
#
#-------------------- CONTROLA TODAS AS INPUT NO SERVIDOR ---------------------
#
#Libera as portas para entrada no servidor
#
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 8080 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
iptables -A INPUT -p udp -s 192.168.172.0/24 --dport 137:139 -j ACCEPT
#Mantem a conexao das portas liberada acima
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#--------------------- CONTROLA TODOS OS FORWARD NO SERVIDOR ------------------
#
#libera as portas para passar pelo servidor e ter acesso externo
iptables -A FORWARD -s 192.168.172.0/24 -i eth1 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.172.0/24 --dport 80 -j ACCEPT
#Mantem a conexao das portas acima liberada
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Portas Bloqueadas (MSN)
iptables -A FORWARD -p TCP --dport 1863 -j DROP
iptables -A FORWARD -d 64.4.13.0/24 -j REJECT