Liberando acesso total [RESOLVIDO]

Cr1stt0f3r
(usa Outra)

Enviado em 21/11/2009 - 10:58h

Olá amigos, tenho a seguinte topologia:

Internet via modem - brasil telecom
Servidor linux - ubuntu 8.04
Rede Wi-Fi - 5 acess point`s


Então, o servidor está configurado certinho, usando squid e iptables..
Estou fazendo uso da proxy em modo NAO transparente, é eu sei, proxy nao transparente em wireless eh dureza..

Enfim, o meu problema é o seguinte: Preciso liberar o ip ou mac do meu chefe.

O squid tem a regra de liberar ips, porem, aquela regra libera apenas requisiçoes web, nao libera torrents, mirc, jogos etc, esta é a realidade ...

Se possivel, gostaria de uma solucao para este problema, e tb um exemplo de script de firewall especifico para este modelo de proxy, por nao ser transparente..

Seria facil liberar portas espeficas de softwares? como programas da receita e afins para usuarios comuns?
Desde já agradeço.

Diede
(usa Debian)

Enviado em 21/11/2009 - 11:35h

Amigo, a regra do squid só libera requisições web, porque o squid é "apenas" um proxy web.
Para liberar mirc, torrents, msn, ftp, blá, blá, blá, quem entra em cena é o iptables.
Um bom modo é já permitir o acesso do seu chefe direto, sem nem passar pelo proxy, com em:
iptables -t nat -A PREROUTING -s IP_DO_CHEFE -j ACCEPT
iptables -t nat -A PREROUTING -s IP_DO_CHEFE -j MASQUERADE
iptables -t filter -A FORWARD -s IP_DO_CHEFE -j ACCEPT

Cr1stt0f3r
(usa Outra)

Enviado em 23/11/2009 - 09:02h

Opa amigo, obrigado por responder!

Entao, fiz o teste e nao deu certo, me retornou o seguinte erro:

root@****:/etc# ./firewall
iptables: Invalid argument

Alguma outra dica?
Desde já agradeço.

Diede
(usa Debian)

Enviado em 23/11/2009 - 09:53h

Substitua "iptables -t nat -A PREROUTING -s IP_DO_CHEFE -j MASQUERADE" por "iptables -t nat -A POSTROUTING -s IP_DO_CHEFE -j MASQUERADE"

Cr1stt0f3r
(usa Outra)

Enviado em 23/11/2009 - 10:06h

Certo, nada ainda amigo, eu estou colocando essas linhas antes do redirecionamento da porta 80 pro squid, tb estou removendo a proxy do navegador.

ele nao navega e nem libera as portas "extras".
Obrigado pela dica, mas ainda não consegui..

Desde já agradeço.

Cr1stt0f3r
(usa Outra)

Enviado em 24/11/2009 - 09:54h

alguem teria mais alguma dica?

acollucci
(usa Debian)

Enviado em 24/11/2009 - 10:10h

copie e cole o seu script de firewall aqui que eu tento te ajudar

Cr1stt0f3r
(usa Outra)

Enviado em 24/11/2009 - 11:23h

Meu arquivo de firewall ta limpo, justamente pra tentar evitar algum conflito para fazer funcionar essa liberacao...


REDE_LOCAL="eth1"


#red
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128




apenas isto, tb aceito dicas de um novo firewall..
Desde já agradeço.

Cr1stt0f3r
(usa Outra)

Enviado em 30/11/2009 - 08:37h

Nada amigos? :/

magnolinux
(usa Debian)

Enviado em 30/11/2009 - 08:46h

Meu caro amigo Diede, nao se utiliza a Target MASQUERADE na chain PREROUTING. Todas duas postagem sua esta incorreta..

O que deve ser é feito é liberado o ip do seu chefe para forward.

A regra ficaria assim,,

iptables -t filter -A FORWARD -s IP -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

Tudo que vir desse endereço ip e mac, com destino a todos protocolos todas as portas sera redirecionado pelo FW..

O firewall é uma hierarquia de regra, entao uma regra mal posicionada pode anular esta...

Entao poste se firewall para analise..

gesousa
(usa Ubuntu)

Enviado em 30/11/2009 - 08:57h

Nada disso vai adiantar ....

olha a regra do firewall dele:

iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128


ou seja mesmo se vc mascarar o ip e liberar forward, a menos que crie uma exceção para o ip do chefe não ser redirecionado para o squid não vai funcionar...


iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp -s !ip_chefe --dport 80 -j REDIRECT --to-port 3128

o caso é que a regra acima é aplicado no squid transparente, então acho que está um pouco contraditorioo que vc falou sobre usar o squid em outro modo ....

magnolinux
(usa Debian)

Enviado em 30/11/2009 - 09:00h

com essa excesão vc simplesmente evita que o ip do chefe seja filtrado pelo proxy.. mais nao libera nenhuma outra porta de acesso...

Se ele estiver utilizando ip do proxy no navegador, essa regra sua nem sera utilizada......

Ouve com certeza uma contradição do post com a regra que ele setou no firewall.