Liberando acesso total [RESOLVIDO]

Cr1stt0f3r
(usa Outra)

Enviado em 30/11/2009 - 09:10h

Certo, testei este ultimo tb nao deu...

./firewall
iptables v1.3.8: host/network `!10.54.6.101' not found
Try `iptables -h' or 'iptables --help' for more information.


Enfim, como tinha digo, a proxy nao eh transparente..
Alguma outra dica amigos?

magnolinux
(usa Debian)

Enviado em 30/11/2009 - 10:59h

Se o seu proxy não é transparente, nao é necessario redirecionar o acesso da porta 80 para a 3128.

Porque o micro deve estar com a configuração editada manualmente no navegado..

Posta aí a conf do seu firewall e proxy..

Com certeza vc esta com alguma conf errada..

Flw..

Cr1stt0f3r
(usa Outra)

Enviado em 30/11/2009 - 11:01h

#limpa e indica modulos
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat


REDE_LOCAL="eth1"

#rede
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128

---

meu firewall eh apenas isto..

magnolinux
(usa Debian)

Enviado em 30/11/2009 - 11:05h

Se vc esta utilizando proxy transparente nao pe necessario essa regra.
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128

Até aqui blz..

que equipamento da rede esta fazendo o nat. pq vc nao tem nenhuma regra de firewall fazendo isso..

Cr1stt0f3r
(usa Outra)

Enviado em 30/11/2009 - 23:24h

estou usando um acess point para fazer os testes, mas mesmo assim, conectando com o cabo direto, eh soh definir o ip e a proxy e navego do mesmo jeito..
e ainda continua com bloqueio dos servicos citados no topico...

Desde ja agradeço.

magnolinux
(usa Debian)

Enviado em 01/12/2009 - 10:53h

Ao meu ver, o ap nao influencia em nda, desde que nao esteja fazendo nenhum tipo de filtro de pacote no mesmo.. Ele somente é um ponto de acesso...

vc esta fazendo nat atraves do AP? pq nao existe regra de firewall roteando a internet no servidor.!!?!?!?!

Pode estar aí o problema...!!!

Diede
(usa Debian)

Enviado em 01/12/2009 - 12:14h

magnolinux, eu sei, no primeiro post eu digitei PREROUTING ao invés de POSTROUTING para o MASQUERADE, mas a intenção do segundo post foi corrigir, ao que ficaria da seguinte forma:

iptables -t nat -A PREROUTING -s IP_DO_CHEFE -j ACCEPT
iptables -t nat -A POSTROUTING -s IP_DO_CHEFE -j MASQUERADE
iptables -t filter -A FORWARD -s IP_DO_CHEFE -j ACCEPT

Cr1stt0f3r, Seu firewall é só

iptables -F; iptables -t nat -F; iptables -t mangle -F; modprobe iptable_nat; REDE_LOCAL="eth1"
iptables -t nat -A PREROUTING -i $REDE_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128

Mas, como estão as políticas padrões?
Tente habilitar o ip forwarding (echo 1 > /proc/sys/net/ipv4/ip_forward), e ver se muda em algo.

vaini
(usa Debian)

Enviado em 01/12/2009 - 12:20h

Cara, li seu topico, e ja tive um caso parecido.

O que eu fiz foi o seguinte:

Como vc nao definiu nenhuma regra que feche todas a portas, não vejo a necessidade
de liberar portas. O que vc pode fazer manter a regra que vc usa atualmente, e liberar
no proxy o ip do seu chefe. Eu tinha um caso parecido, ou igual ao seu em um cliente.
Usava proxy autenticado, mas precisava liberar geral a net no PC do patrão e sem pedir senha.

Tente como abaixo:

### Firewall - /etc/init.d/firewall ###
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -s 192.168.1.0/24 --destination-port 80 -j DNAT --to-destination 192.168.1.1:3128

Agora no seu squid.conf vc deve liberar o ip do chefe antes de qualquer outra regra, inclusive antes das
acls que autenticam os usuarios. A sequencia das regras fazem muita diferença.

acl Chefe src 192.168.1.2


http_access allow Chefe

Para nao pedir a senha, e nem configurar o browser dele, inclua a linha de proxy transparente no inicio do
seu squid.conf, mesmo que vc incluir essa linha, sua autenticação nao vai parar de funcionar.

http_port 3128 transparent

Não tenho muita experiencia, mas no meu caso funcionou assim.

Cr1stt0f3r
(usa Outra)

Enviado em 01/12/2009 - 13:58h

magno, nao sei te responder, unica coisa q fiz foi instalar os servicos e o squid..
o squid esta bloqueando certinho, inclusive ja tem a regra de chefia nele, da qual funciona perfeitamente..

unica coisa que quero saber, eh como liberar o trafego pro ip do chefe, pra ele poder acessar qualquer coisa, como se tivesse espetado direto no modem, porem ainda sendo gerenciado pelo meu servidor, entende?


vaiani, testei sua regra e mesmo assim nao deu, o squid apenas faz bloqueio de requisiçoes http se nao me engano, oq desejo eh liberar o acesso total ao ip, como descrito acima para o amigo magno..

Desde já agradeço.

magnolinux
(usa Debian)

Enviado em 01/12/2009 - 14:13h

Boa tarde Diede..

Me desculpe se ofendi com a forma que me expressei.. Mais analisando a regra que vc postou, ela nao fala que ta liberado ou bloqueado..

A chain POSTROUTING tem a funcão de fazer "Nat", entao se ele colocar

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

R: Ele estara fazendo nat para todos classes de IPs possiveis. Com isso toda rede dele tera acesso a internet.

iptables -t nat -A POSTROUTING -s IP_chefe -o eth0 -j MASQUERADE

R: Se ele substituir para essa regra, somente o chefe dele ira navegar na internet, pq vc esta fazendo nat somente para o IP_chefe.

Se ele quiser fazer a liberação total ele tera que trabalha na tabela filter, onde o firewall trabalha em cima de liberação/bloqueio.

Abraço..

magnolinux
(usa Debian)

Enviado em 01/12/2009 - 14:19h

Cr1stt0f3r

o diede, colocou uma observção interessante acima, se o servidor linux estiver trabalhando como route, deve ter essa regra ativada..

echo 1 > /proc/sys/net/ipv4/ip_forward

Essa regra permite que o firewall faça roteamento de pacotes de uma classe para outra e vice versa.

Obs..

Para o seu servidor firewall estar trabalhando como router, ele deve ter essas duas regras, ativadas.

iptables -t nat -A PREROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Se essas duas regras nao estao ativas, quem esta roteando a internet é AP.

FLw;;;

vaini
(usa Debian)

Enviado em 01/12/2009 - 15:00h

O que esta estranho, é seu script de firewall nao tem politica padrão definida, quer dizer, nem drop nem accept, isso quer dize que o iptables nao esta filtrando nenhuma requisição. Não deveria estar bloqueando nada.

Peço aos amigos que estao acompanhando este topico que corrijam se eu estiver errado!!!

Mais um detalhezinho. Imagino que visto que seu proxy nao é transparente vc configurou o internet explorer do seu chefe para usar um servidor proxy, correto? Muitos programas usam as mesmas configurações de proxy do internet explorer para funcionar. Daí, por causa dessa configuração o programa que faz isso passa a depender do proxy. Um exemplo tipico é o MSN. Se vc notar, nem tem como mudar a configuração dele, pq ele ja pega automaticamente do IE. Por isso seria importante vc deixar seu proxy transparente e colocar aquela regrinha.