Bloqueio de https e proxy

mciacco
(usa Debian)

Enviado em 29/03/2012 - 09:59h

Meu iptables está assim, se alguém puder me ajudar a corrigir. Estou passando o proxy para autenticado.

iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
modprobe ipt_string

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --dport 137 -j ACCEPT

#bloqueio msn
iptables -I FORWARD -s 10.0.0.0/8 -p tcp --dport 1863 -j REJECT
iptables -I FORWARD -s 10.0.0.0/8 -d loginnet.passport.com -j REJECT
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP

#correio veiculos
modprobe nf_nat_ftp
iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.105 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.105 -p tcp --dport 20 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.107 -p tcp --dport 21 -j ACCEPT
iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.107 -p tcp --dport 20 -j ACCEPT

saitam
(usa Slackware)

Enviado em 29/03/2012 - 10:10h

com base das regras contidas no seu firewall adicionei algumas regras...

iptables -F

iptables -F INPUT

iptables -F OUTPUT

iptables -t nat -F

iptables -t mangle -F

modprobe iptable_nat

modprobe ipt_string



#política padrão

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT DROP



#Permitindo e filtrando conexões estabelecidas

iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT



#roteamento (com ip_forward setado '0' o TOR não conecta mais)

echo 0 > /proc/sys/net/ipv4/ip_forward

#compartilha conexão

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



#Proxy Squid

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



#considerando eth0=conexão e eth1=rede

#chain INPUT

ifaceInt="eth0"

ifaceExt="eth1"

iptables -A INPUT -p tcp –dport 80 -i $ifaceInt -j ACCEPT #apache

iptables -A INPUT -p tcp –dport 53 -i $ifaceInt -j ACCEPT #DNS

iptables -A INPUT -p udp –dport 53 -i $ifaceInt -j ACCEPT #DNS



#chain OUTPUT

iptables -A OUTPUT -p tcp –dport 80 -i $ifaceInt -j ACCEPT 

iptables -A OUTPUT -p tcp –dport 443 -i $ifaceInt -j ACCEPT 

iptables -A OUTPUT -p tcp –dport 53 -i $ifaceInt -j ACCEPT #DNS

iptables -A OUTPUT -p udp –dport 53 -i $ifaceInt -j ACCEPT #DNS

#ICMP (ping)

iptables -A OUTPUT -p icmp --icmp-type 0 -s $LAN -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 8 -s $LAN -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type 0 -m limit --limit 2/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type 3 -m limit --limit 2/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type 5 -m limit --limit 2/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type 8 -m limit --limit 2/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type 11 -m limit --limit 2/s -j ACCEPT

iptables -A FORWARD -p icmp --icmp-type 12 -m limit --limit 2/s -j ACCEPT



#Libera o tráfego de pacotes da rede interna para a rede externa na porta 53 (dns tcp)

iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p tcp --dport 53 -j ACCEPT



#Libera o tráfego de pacotes da rede interna para a rede externa na porta 53 (dns udp)

iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p udp --dport 53 -j ACCEPT



#Libera o tráfego de pacotes da rede interna para a rede externa na porta 25 (smtp)

iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p tcp --dport 25 -j ACCEPT



# Libera o tráfego de pacotes da rede interna para a rede externa na porta 110 (pop)

iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p tcp --dport 110 -j ACCEPT



#Libera o tráfego de pacotes da rede interna para a rede externa na porta 3389 (Terminal Server da Microsoft)

iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p tcp --dport 3389 -j ACCEPT



#Libera o tráfego de pacotes da rede externa para a rede interna na porta 3389 (Terminal Server da Microsoft)

iptables -A FORWARD -i $ifaceExt -o $ifaceInt -p tcp --dport 3389 -j ACCEPT



#Libera o tráfego de pacotes da rede externa para a rede interna na porta 5900 (VNC)

iptables -A FORWARD -i $ifaceExt -o $ifaceInt -p tcp --dport 5900 -j ACCEPT 



#Libera o tráfego de pacotes da rede interna para a rede externa na porta 5900 (VNC)

iptables -A FORWARD -i $ifaceInt -o $ifaceExt -p tcp --dport 5900 -j ACCEPT 

#O Samba esta no seu firewall ??? Não recomendado...

iptables -A INPUT -p udp --dport 139 -j ACCEPT

iptables -A INPUT -p tcp --dport 139 -j ACCEPT

iptables -A INPUT -p udp --dport 137 -j ACCEPT

iptables -A INPUT -p tcp --dport 137 -j ACCEPT



#bloqueio msn

iptables -I FORWARD -s 10.0.0.0/8 -p tcp --dport 1863 -j REJECT

iptables -I FORWARD -s 10.0.0.0/8 -d loginnet.passport.com -j REJECT

#melhor bloquear no squid.conf com ACLs

iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP



#correio veiculos

modprobe nf_nat_ftp

iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.105 -p tcp --dport 21 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.105 -p tcp --dport 20 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.107 -p tcp --dport 21 -j ACCEPT

iptables -A FORWARD -s 10.0.0.0/8 -d 189.114.60.107 -p tcp --dport 20 -j ACCEPT



 

com essas regras feitas e proxy autenticado configurado, agora tente conectar com TOR e/ou Ultrasurf =D

daniel_4fun
(usa Debian)

Enviado em 29/03/2012 - 11:09h

saitam, se ele tirar o samba do servidor Firewall, vai ter que deixar as regras referentes ao samba atuando ainda?.. vlw

mciacco
(usa Debian)

Enviado em 29/03/2012 - 11:14h

#O Samba esta no seu firewall ??? Não recomendado...
iptables -A INPUT -p udp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -j ACCEPT
iptables -A INPUT -p tcp --dport 137 -j ACCEPT

No caso, nós utilizamos um programa chamado correio motors, se acessar o servidor usando autenticação com samba ele não me gera os relatórios, a forma que consegui foi liberando essas 2 portas no iptables.

Vou implantar aqui o que me passou, muito obrigado.

rafa.lima.rr
(usa Ubuntu)

Enviado em 30/03/2012 - 16:08h

Ainda Faltam as regras para liberar os protocolos de e-mail no iptables.

Portas 25,110 e 143

Bem abordado pelo Saitam.

Quando falei do ip.forward = 1 era se o proxy fosse transparente.

Analise bem todos os serviços para não ser barrado pelo firewall.

#netstat -plantu

Para ver as portas abertas no seu sistema!