Problemas p/ liberar as portas 5017 e 8017

hugovlmota
(usa CentOS)

Enviado em 14/08/2007 - 16:13h

Boa tarde galerinha,
estou com um problema em meu servidor (squid+iptables)
Preciso liberar as portas 5017(CAT)e 8017(sintegra), vasculhei nas dicas do VOL e encontrei uma regra de iptables para liberar estas portas, eu a utilizei mas continuo com o mesmo problema, a mensagem quando vou tentar executar o programa CAT é: o seguinte servidor não pode ser acessado, e o nome do servidor da CAT.

A regra que coloquei em meu IPTABLES é:
iptables -t nat -A PREROUTING -p tcp --dport 5017 -j ACCEPT -s 192.168.1.0/24

Cheguei a acrescentar uma acl no squid para esta porta: acl Safe_ports port 5017

MAs mesmo assim não consigo me conectar ao servidor da dataprev.

Agradeço desde já pela atenção e colaboração de todos.

cesargodoy
(usa Slackware)

Enviado em 14/08/2007 - 16:29h

tente assim...

iptables -t nat -A PREROUTING -p tcp eth0 --dport 5017 -j DNAT --to 192.168.1.x:5017
iptables -t nat -A PREROUTING -p udp eth0 --dport 5017 -j DNAT --to 192.168.1.x:5017

192.168.1.x = maquina que vc vai fazer um nat
veja que fiz um nat para tcp e udp na porta direcionando a maquina que vai acessar

hugovlmota
(usa CentOS)

Enviado em 14/08/2007 - 16:33h

Vou tentar, mas eu posso fazer isso para mais de uma estação de trabalho, pois aqui no serviço temos 3 máquinas que utilizam este programa.

juno
(usa Linux Mint)

Enviado em 14/08/2007 - 16:42h

Cara,

Usa essa regra:

iptables -A INPUT -p tcp --destination-port 5017 -j ACCEPT

iptables -A INPUT -p tcp --destination-port 8017 -j ACCEPT

e libera no secure ports do squid essas portas também ...

Falou!

hugovlmota
(usa CentOS)

Enviado em 14/08/2007 - 17:49h

galerinha,
testei as duas opções e nenhuma deu certo, pode estar havendo outra coisa travando o meu acesso?
Estou testando outras coisas aqui.
Valeu.

neonx
(usa Slackware)

Enviado em 14/08/2007 - 20:35h

tenta fazer assim...

#CAT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5017 -j ACCEPT
#Sintegra
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 8017 -j ACCEPT

eu uso e está funcionando de boa....

tatototino
(usa Slackware)

Enviado em 14/08/2007 - 20:42h

Não Entendi o porque do prerouting, se é para liberar para rede interna?
se fosse para colocar para rede interna faria igual ao usuário "neo" que está acima

hugovlmota
(usa CentOS)

Enviado em 15/08/2007 - 09:07h

Galerinha, fiz alguns testes e vc's acreditam que ainda nÃo funciona, irei postar o meu iptables, pois acho que deve haver alguma regra redundante, que está travando a este acesso.
#placa interna =eth0
#placa externa =eth1
# IP do Servidor Web 192.168.1.250
# O IP da Rede Interna vai do 192.168.1.1 até 192.168.1.249

# ----------------------------------------------------------
# Zera regras
# ----------------------------------------------------------

iptables -F
iptables -X
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
# ----------------------------------------------------------
# Ativa modulos
# ----------------------------------------------------------
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 8080 -j REDIRECT --to-port 3128

# ----------------------------------------------------------
# Mascaramento ( NAT )
# ----------------------------------------------------------
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

#----------------------------------------------------------
# VNC regras de iptables pra repassar pra maquina local
# ----------------------------------------------------------
iptables -A FORWARD -i eth1 -p tcp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 5800:5900 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.1:5800-5900
iptables -t nat -A PREROUTING -p udp -i eth1 --dport 5800:5900 -j DNAT --to 192.168.1.1:5800-5900

# ----------------------------------------------------------
# Proteções Contra Ataques
# ----------------------------------------------------------

#Bloquear Trin00
iptables -A INPUT -p tcp -i eth1 --dport 1524 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 27665 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 27444 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 31335 -j DROP

# Proteção contra pacotes danificados ou suspeitos.
iptables -A FORWARD -m unclean -j DROP

#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

# Protege contra os "Ping of Death"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# Protege contra os ataques do tipo "Syn-flood, DoS, etc"
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

# Protege contra port scanners avançados (Ex.: nmap)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

# Protege AS PORTAS PROIBIDAS
iptables -A INPUT -p tcp --dport 21 -j LOG --log-prefix "Porta do FTP "
iptables -A INPUT -p tcp --dport 23 -j LOG --log-prefix "Porta do TELNET "
iptables -A INPUT -p tcp --dport 22 -j LOG --log-prefix "Porta do SSH "
iptables -A INPUT -p tcp --dport 137:139 -j LOG --log-prefix "Porta do NETBEUI "

# Protege contra BackDoors Wincrash e BackOrifice
iptables -A INPUT -p tcp --dport 5042 -j LOG --log-prefix "Porta do Wincrash "
iptables -A INPUT -p tcp --dport 12345 -j LOG --log-prefix "Porta do BackOrifice "

# ----------------------------------------------------------
#libera o loopback
# ----------------------------------------------------------
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT

# ----------------------------------------------------------
# libera conexões de fora pra dentro
# ----------------------------------------------------------
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 563 -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp --dport 563 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

# ----------------------------------------------------------
#Liberar portas para minha Correio
# ----------------------------------------------------------
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 201.7.95.96 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s 192.168.1.0/24 -d 201.7.95.96 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -s 201.7.95.96 --sport 53 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p tcp -s 201.7.95.96 --sport 53 -d 192.168.1.0/24 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.1.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.1.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

# ----------------------------------------------------------
#Libera porta para a Conectividade Social
# ----------------------------------------------------------
iptables -A FORWARD -p tcp --dport 2631 -j ACCEPT
iptables -A FORWARD -p udp --dport 2631 -j ACCEPT

#-----------------------------------------------------------
#Libera CAT-5017 / SINTEGRA-8017
#-----------------------------------------------------------
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 5017 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 8017 -j ACCEPT

# ----------------------------------------------------------
#Libera porta HTTPS
# ----------------------------------------------------------
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 563 -j ACCEPT

# ----------------------------------------------------------
# Libera conexoes de dentro pra fora:
# ----------------------------------------------------------
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 86 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 5190 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 1863 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 563 -j ACCEPT

# ----------------------------------------------------------

elgio
(usa OpenSuSE)

Enviado em 15/08/2007 - 10:25h

Tenta tirar isto: (ainda vou escrever um artigo sobre esta regra!!!)

#Proteção contra Syn-floods
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

Tu estás limitando a 1/s qualquer conexão tcp.
Isto não resolve Syn-flood (sei que tem muita gente na Internet dizendo que sim, mas eu digo que NÃO).

Ora, um SYN flood tem como meta tirar o serviço do ar pelo esgotamento de recursos. Com esta regra o trabalho fica ainda mais fácil para o hacker: basta ele manter uma taxa de 1 syn por segundo que o serviço sai do ar!!! tsctsctsc

elgio
(usa OpenSuSE)

Enviado em 15/08/2007 - 10:27h

Ok.
Mantenho minha afirmação de que a regra anterior não resolve DOS.

Mas analisando melhor, vi que teu problema não deve ser este, pois tu não dá um DROP logo em seguida...

elgio
(usa OpenSuSE)

Enviado em 15/08/2007 - 10:34h

Olha só Hugo.

Olhei atentamente teu script e me dei conta que tu praticamente não bloqueia NADA!

Veja, tu não altera as políticas padrões de Nenhuma lista, logo estão todas em ACCEPT (aceita tudo que não foi bloqueado).

Garimpei apenas ESTAS regras que fazem DROP:
#Bloquear Trin00
iptables -A INPUT -p tcp -i eth1 --dport 1524 -j DROP
iptables -A INPUT -p tcp -i eth1 --dport 27665 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 27444 -j DROP
iptables -A INPUT -p udp -i eth1 --dport 31335 -j DROP

Que facilmente se observa que não teria nada a ver com teu problema.

# Proteção contra pacotes danificados ou suspeitos.
iptables -A FORWARD -m unclean -j DROP

Que bloqueia pacotes mal formados.
De resto, não tem mais NENHUM DROP!!
Logo, teu firewall não está realmente protegendo bem tua rede :-D

Com este levantamento, a única regra que pode estar te atrapalhando é esta do unclean (e tem outras de nat, desviando portas, mas nenhuma nesta faixa de ips).

Rodrigo-PG
(usa Conectiva)

Enviado em 05/11/2007 - 16:01h

Olá!
Resgatando o tópico gostaria de pedir a ajuda aos amigos do VOL em um "pequeno" problema...CAT e SINTEGRA

Depois de alguns dias tentando axar a solução para liberar esses programas, nao tenho obtido exito.
Uso squid/iptables

já tentei algumas regras no iptables:

#$ipt -t nat -A PREROUTING -p tcp -i $local_if --dport 5017 -j ACCEPT
#$ipt -t nat -A PREROUTING -p tcp -i $local_if -d $cat -j ACCEPT
#$ipt -t nat -A POSTROUTING -s $rede -d $cat -j $rede_ip
#$ipt -t nat -A PREROUTING -i $local_if -p tcp -d ! $cat --dport 5017 -j REDIRECT --to-port 3128
#$ipt -A INPUT -p tcp --dport 5017 -j ACCEPT
#$ipt -A INPUT -p tcp --dport 8017 -j ACCEPT
#$ipt -A OUTPUT -p tcp --dport 5017 -j ACCEPT
#$ipt -A OUTPUT -p tcp --dport 8017 -j ACCEPT
#$ipt -A FORWARD -s $rede -p tcp --dport 5017 -j ACCEPT
#$ipt -A FORWARD -s $rede -p tcp --dport 8017 -j ACCEPT
#$ipt -A FORWARD -p TCP -s $rede -d 200.152.32.148 --dport 5017
#$ipt -A FORWARD -i $local_ip -p TCP --dport 5017 -d cafe.dataprev.gov.br -j ACCEPT
#$ipt -A FORWARD -i $local_ip -p TCP --dport 5017 -d 200.152.32.148 -j ACCEPT
$ipt -A INPUT -p tcp --destination-port 5017 -j ACCEPT
$ipt -A INPUT -p tcp --destination-port 8017 -j ACCEPT


tenho a linha de acl para as portas 5017 e 8017 no squid.

Apesar de tudo nao consigo utilizar os programas.

Desde já Grato!