Página 3 de 3 PrimeiroPrimeiro 123
+ Responder ao Tópico



  1. #41
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    4.181
    Posts de Blog
    1

    Padrão Liberar 1 IP para passa pelo proxy......

    e ai alexandre blz veio

    e ai breno blz


    tudo trankilos




    parem de brigar rss

  2. #42

    Padrão Liberar 1 IP para passa pelo proxy......

    Pode ficar tranquilo, acho que está tudo resolvido já!!

    [ ]'s

  3. #43
    Avenger
    Visitante

    Padrão Liberar 1 IP para passa pelo proxy......

    Viajei. Não entendi a pergunta conclusiva que você fez. Então vou responder o que acho que entendi que você perguntou do mangle baseado no script que te passei (na verdade fiz ele meio de cabeça na hora que ia te responder e só testei se as regras iam entrar no iptables mesmo).

    Caso 1: Quando um pacote vai passa da net até o pc do seu patrão, na tabela nat ele passa por preroting e postrouting, na filter ele passa pela forward, e na mangle passa pela prerouting, postrouting e forward. Isso tanto prá o seu patrão mandar o pacote pro IP da internet, quanto o tal IP da internet mandar a resposta do pacote de volta pro seu patrão;

    Caso 2: Quando a maquina do seu patrao precisar requisitar DNS, supondo que o servidor DNS seja o mesmo do firewall (esquecendo que o proxy existe mesmo que em outra máquina), o pacote que vai pedir o dns vai passar:
    nat: prerouting, postrouting
    filter: input
    mangle prerouting, input, postrouting
    (não tenho certeza absoluta sobre a prerouting e postrouting nesse segundo caso -- mas já que as regras têm que estar devido à primeira regra -- então tudo bem!..)

    Caso 3: Quando o servidor for responder com o que a tal requisição DNS significa, ele vai passar por:
    nat: prerouting, postrouting, output
    filter: output
    mangle: prerouting, postrouting, output
    (mesmo coisa do segundo caso -- não tenho certeza sobre os prerouting+postrouting, mas já são necessários por causa causa do primeiro lá).

    No caso 1, ignorando o que o colega comentou sobre 'se o pacote vai, o iptables permite inteligentemente que ele volte' -- pois isso eu testei uma vez e me dei mal, só liberando a ida e a volta, prá mim numa situação que passei, é que funcionou -- as regras vão ter tanto -s <ip_do_patrao> quanto -d <ip_do_patrao> (s=origem de d=destino a);

    No caso 2, também sendo ignorante caso cabível, vem à tona o uso da opção -s <ip_do_patrão> apenas;

    No caso 3, prá variar na minha guenorância, as regras pertinentes baseiam-se em -d <ip_do_patrão>.

    Agora quanto à outra pergunta se vc quiser fazer de novo prá ver se eu consigo responder... pq eu to com medo de falar que foi vaga pq sobrei que nem jiló na janta num otro topico sobre postfix que eu falei que o cara tinha sido vago na pergunta -- no seu caso eu não achei vago, eu fiquei foi confuso com o que c quer saber.

  4. #44
    Avenger
    Visitante

    Padrão Liberar 1 IP para passa pelo proxy......

    p.s.: à ultima mensagem minha:

    Ela foi em resposta à ultima pergunta do BAU, eu não tinha nem visto esse tanto de post off-topic aí ainda. Então, o meu post acima é em resposta ao último post da segunda página! Valeu.

  5. #45

    Padrão Liberar 1 IP para passa pelo proxy......

    a sua versão não tem nem um nexo com a situação do bau. e mesmo se foce uma zona delimitada, estaria errado..
    esse eh um site de varios que tem na internet explicando sobre dmz
    http://www.projetoderedes.com.br/art..._perimetro.php

    eu poderia citar alguns tipos de dmz, mas acho melhor da uma olhada no site, la tem alguns exemplos e ta bem detalhado.

    E agora tá criticando porque eu to defendendo uma situação que pode ocorrer na vida real (e já ocorreu várias vezes), e que você fala que é viajada na maionese só porque nunca passou por ela antes?????
    eu já li muito sobre o mesmo e utilizo uma dmz em um dos meus clientes. onde tenho 2 firewall um tratando os pacotes que vem do roteado com destino a dmz e outro firewall tratando os pacotes que vem da rede interna que no mesmo tem adsl com destino a dmz.

    bom, acho que ta bom já, pois ainda vou continuar discordando de tudo que vc postou e provavelmente ainda vai fica tentando dizer que não sei de nada bla bla..

    só espero que meus post tenha sido de ajuda ao bau e as outras pessoas que poça ta passando pela mesma situação.

    acho que já ta bom parar por aqui.

    abraço a todos.

  6. #46

    Padrão Liberar 1 IP para passa pelo proxy......

    Citação Postado originalmente por Brenno
    esse eh um site de varios que tem na internet explicando sobre dmz
    http://www.projetoderedes.com.br/art..._perimetro.php

    eu poderia citar alguns tipos de dmz, mas acho melhor da uma olhada no site, la tem alguns exemplos e ta bem detalhado.
    Aprendi a trabalhar com DMZ's quando comecei a usar o Shorewall, onde as políticas padrão são feitas a partir das zonas.
    Apesar de ser em inglês, acho que a documentção do Shorewall tem muito mais detalhes e gráficos, pra quem tiver um tempinho sobrando, é uma boa leitura sobre firewalls.

    Citação Postado originalmente por aledr
    E agora tá criticando porque eu to defendendo uma situação que pode ocorrer na vida real (e já ocorreu várias vezes), e que você fala que é viajada na maionese só porque nunca passou por ela antes?????
    Citação Postado originalmente por Brenno
    eu já li muito sobre o mesmo e utilizo uma dmz em um dos meus clientes. onde tenho 2 firewall um tratando os pacotes que vem do roteado com destino a dmz e outro firewall tratando os pacotes que vem da rede interna que no mesmo tem adsl com destino a dmz.
    [quote="Brenno"]bom, acho que ta bom já, pois ainda vou continuar discordando de tudo que vc postou e provavelmente ainda vai fica tentando dizer que não sei de nada bla bla..
    [quote]

    Não estou discordando de tudo, ambos temos razões em diferentes situações. Só isso. Não estou questionando seu conhecimento no assunto. Quanto a isso pode ficar tranquilo.

  7. #47
    Avenger
    Visitante

    Padrão Liberar 1 IP para passa pelo proxy......

    DMZ no meu router velox, além de 'DeMilitarized Zone' significa 'Faça portforward de TUDO (que já não esteja sendo feito -- ou esteja na conntrack) prá esse IP aqui ó:'


  8. #48
    bau
    Visitante

    Padrão Liberar 1 IP para passa pelo proxy......

    Obrigado pela explicação Avenger, na verdade eu acabei me confundido referente a ida e a volta dos pacotes.

    Achei de fato que volta seria aceita apenas de eu deixasse como FORWARD -s ipdopatrao -j ACCEPT.

    Mas na verdade o que estou querendo é o seguinte:

    Tem um server que é o proxy.
    Tem uma outra máquina que é o firewall.
    Porém o Presidente da empresa utilizar Netscape 4.9 devido ser o único ainda que da suporte a IMAP. Contudo estou certo que o IMAP não funfa qdo tem proxy autenticado, mesmo qdo liberado o ip em alguma ACL. Não vai a conexão começa e pede autenticação do roaming do imap mas só fica nisso.

    Fiz um teste com a máquina do presidente em um speedy bussines e sem proxy sem nada rola na boa. Portanto essa máquina não pode de forma alguma passa pelo proxy.

    Por outro lado tenho o restante da empresa que adotamos a política de proxy com autenticação, esses devem passar pelo proxy.

    Então peguntei aos nobres colegas como poderia liberar o IP do presidente passando por fora do proxy sem comprometer a segurança da rede. Uma vez que o colega brenno disse e concordo com ele, que liberar o IP mesmo sendo do presidente da empresa como full pode comprometer a segurança da rede.

    Agora conto com a ajuda de vocês para resolver esse problema.

    Não conheço muito sobre iptables, admito ter estudado bastante ultimamente. Mas ainda não assimilei toda essa qiestão de qual chain é consultada, qual conexão passará, enfim.

    Mas agradeço a todos pela ajuda até agora.

    [ ] ´s

    Bau

  9. #49

    Padrão Liberar 1 IP para passa pelo proxy......

    Citação Postado originalmente por bau
    Obrigado pela explicação Avenger, na verdade eu acabei me confundido referente a ida e a volta dos pacotes.

    Achei de fato que volta seria aceita apenas de eu deixasse como FORWARD -s ipdopatrao -j ACCEPT.

    Mas na verdade o que estou querendo é o seguinte:

    Tem um server que é o proxy.
    Tem uma outra máquina que é o firewall.
    Porém o Presidente da empresa utilizar Netscape 4.9 devido ser o único ainda que da suporte a IMAP. Contudo estou certo que o IMAP não funfa qdo tem proxy autenticado, mesmo qdo liberado o ip em alguma ACL. Não vai a conexão começa e pede autenticação do roaming do imap mas só fica nisso.

    Fiz um teste com a máquina do presidente em um speedy bussines e sem proxy sem nada rola na boa. Portanto essa máquina não pode de forma alguma passa pelo proxy.

    Por outro lado tenho o restante da empresa que adotamos a política de proxy com autenticação, esses devem passar pelo proxy.

    Então peguntei aos nobres colegas como poderia liberar o IP do presidente passando por fora do proxy sem comprometer a segurança da rede. Uma vez que o colega brenno disse e concordo com ele, que liberar o IP mesmo sendo do presidente da empresa como full pode comprometer a segurança da rede.

    Agora conto com a ajuda de vocês para resolver esse problema.

    Não conheço muito sobre iptables, admito ter estudado bastante ultimamente. Mas ainda não assimilei toda essa qiestão de qual chain é consultada, qual conexão passará, enfim.

    Mas agradeço a todos pela ajuda até agora.

    [ ] ´s

    Bau
    prezado Bau:

    vou fazer de tudo para resolver o seu problema, para começa, para que não tenhamos mais nem conflito de ideias, poderia passar mais detalhes da estrutura da sua rede?

    agente já sabe que tem um firewall e tem outra maquina com squid

    agora o importante eh

    nas maquinas clientes, vc coloca como o gateway o ip do firewall?

    assim poderei te da uma resposta decisiva..

    fico no aguardo.

    abraço

  10. #50
    bau
    Visitante

    Padrão Liberar 1 IP para passa pelo proxy......

    Olá Brenno.

    Seguinte cara, as máquinas clientes recebem como gateway o ip dos servidores dhcp que não é o firewall. O ip do firewall está como default gateway para os servidores dhcpd.


    Espero que seja esse a informação que vc precisava.

    [ ] ´s

    Bau

  11. #51

    Padrão Liberar 1 IP para passa pelo proxy......

    Citação Postado originalmente por bau
    Seguinte cara, as máquinas clientes recebem como gateway o ip dos servidores dhcp que não é o firewall. O ip do firewall está como default gateway para os servidores dhcpd.
    O servidor DHCP estaria localizado em qual máquina? Seria legal se você pudesse fazer um diagrama pra deixar mais claro como é a estrutura.

  12. #52
    Visitante

    Padrão Liberar 1 IP para passa pelo proxy......

    Vou procurar fazer um relato aqui para q vc´s possam me ajudar.
    Existem 4 sub-redes aqui.
    1 - 192.168.100.1
    2 - 192.168.200.1
    3 - 192.168.30.1
    4 - 192.168.50.1
    5 - 192.168.0.2 DNS / Proxy
    6 - 192.168.0.7 Firewall

    Todos passam por proxy autenticado. no browser das estações está o ip do server 192.168.0.2

    Nesses servers rodam smb, http, oracle, java.

    Cada Server com 2 placas de rede, uma para dhcp e outra para roteamento.

    As estações passam por esses servidores dhcp, cujo os mesmos tem como default gateway o firewall.

    A estação do presidente pertence a rede 50.

    Espero que esses informações ajudem.

    [ ] ´s
    Bau

  13. #53

    Padrão Liberar 1 IP para passa pelo proxy......


    As estações passam por esses servidores dhcp, cujo os mesmos tem como default gateway o firewall.
    então ta como eu esperava,

    se vc não definir no browser das suas maquinas cliente o ip do proxy, como firewall eh o gateway, o pacote vai direto pra maquina roteadora(que eh o firewall)

    entendido isso agora vamos pra segunda parte, eu tava olhando seu scrip e notei que vc faz nat full (o que eu não recomendo pois vc tenho um proxy)

    mas voltando ao assunto.

    se vc não especificar o ip que no browser que eh o caso do seu chefe, então o pacote vai direto pro firewall, como ta nat full, entao esse pacote ira logo em seguinda pra tabela filter na chain forward. sabendo disso, basta vc liberar na forward as portas que o seu chefe usar.

    vou da alguns exemplos de porta default.

    ex:

    iptables -A FORWARD -s ipdoseuchefe -p tcp -m multiport 80,443,21,22,25,110 -j ACCEPT

    depois teste na maquina do seu chefe se ele ta navegando e acompanhe se ta passando os pacotes pela regra com o comando iptables -L -v |more

    espero ter ajudado, abraço