Liberando ping e portas do outlook

marcellod9
(usa Debian)

Enviado em 31/03/2009 - 09:32h

Olá galera, sou iniciante no mundo livre e estou subindo um servidor proxy, que esta rodando belezinha. o problema e que não consigo baixar e-mails no outlook 2003, e nem pingar em alguns sites externos.

Será que alguém pode me dar uma mão?

Obrigado

signout
(usa Slackware)

Enviado em 31/03/2009 - 12:58h

Marcelo,

Voce esta subindo um servidor proxy ou um firewall??
O proxy não bloqueia ping nem conexões do outlook com servidores pop/smtp.
Poste as regras utilizadas para verificarmos.

Att
Signout

marcellod9
(usa Debian)

Enviado em 31/03/2009 - 13:20h

Bom configurei o proxy, Eu sei que o squid não trabalha as portas 110 e 25, por isso e o firewall que esta bloqueando, já conseguir liberar o ping para fora, mas não consigo baixar e-mails e nem pingar no ip do meu servidor de e-mails.

signout
(usa Slackware)

Enviado em 31/03/2009 - 14:51h

Marcelo, como voce não postou as regras, vou supor que a politica padrão é DROP (INPUT e FORWARD)


iptables -A FORWARD -p tcp -s ipdasuarede/mascara -d ipdoservidordeemail --dport 110 -j ACCEPT

iptables -A FORWARD -p tcp -s ipdasuarede/mascara -d ipdoservidordeemail --dport 25 -j ACCEPT

Espero que ajude

marcellod9
(usa Debian)

Enviado em 31/03/2009 - 15:04h

Esse eo script que estou tentando usar, mas quando ele e executado, o squid para de funcionar, e ainda não baixar os e-mails.





#!/bin/sh
REDE=10.1.1.0/24 #MASCARA DE REDE
WAN=eth1 # INTERFACE LIGADA A INTERNET
LAN=eth0 # INTERFACE LIGADA A REDE
IPSERVIDOR=10.1.1.1 #IP DA INTERFACE DE REDE INTERNA DO SERVIDOR

#comprartilhe a internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $REDE -o $WAN -j MASQUERADE

#caso use proxy squid
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --dport 3128 -s ! $IPSERVIDOR -j DROP

#serviço pop3
iptables -A INPUT -p tcp -s $REDE --dport 110 -j ACCEPT

#serviço smtp
iptables -A INPUT -p tcp -s $REDE --dport 25 -j ACCEPT

#serviço dns
iptables -A INPUT -p tcp -s $REDE --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s $REDE --source-port 53 -j ACCEPT

signout
(usa Slackware)

Enviado em 31/03/2009 - 15:37h

Marcelo,


Vc esta fazendo somente regras para INPUT e nenhuma para FORWARD, e algumas regras estão invertidas (pela configuracao que voce passou)
estou comentando os pontos e abaixo mando um outr script para voce testar

#!/bin/sh
REDE=10.1.1.0/24 #MASCARA DE REDE
WAN=eth1 # INTERFACE LIGADA A INTERNET
LAN=eth0 # INTERFACE LIGADA A REDE
IPSERVIDOR=10.1.1.1 #IP DA INTERFACE DE REDE INTERNA DO SERVIDOR

#comprartilhe a internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $REDE -o $WAN -j MASQUERADE

#caso use proxy squid
iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128


iptables -A INPUT -p tcp --dport 3128 -s ! $IPSERVIDOR -j DROP
##(tudo que não tiver como source o IPSERVIDOR e a porta de destino seja 3128 será dropado, creio que por isso o squid não funciona qdo voce habilita essa regra)

#serviço pop3
iptables -A INPUT -p tcp -s $REDE --dport 110 -j ACCEPT
## (tudo que vier da sua rede na porta 110 sera aceito, porem não sera encaminhado)


#serviço smtp
iptables -A INPUT -p tcp -s $REDE --dport 25 -j ACCEPT
## (tudo que vier da sua rede na porta 25 sera aceito, porem não sera encaminhado)


#serviço dns
iptables -A INPUT -p tcp -s $REDE --dport 53 -j ACCEPT
##(tudo na porta 53 tcp sera aceito)

iptables -A INPUT -p udp -s $REDE --source-port 53 -j ACCEPT
##(tudo que vier da sua rede, com porta de origem udp 53 sera aceito)


Creio que voce esteja fazendo confusão com origem,destino e chains no iptables e tambem com os ports usados para serviços, de uma olhada aqui no VOL mesmo, existem muitos artigos, dicas e confs que voce pode aproveitar para o que voce precisa e tambem para entender um pouco mais sobre o que voce esta fazendo

http://www.vivaolinux.com.br/artigo/Firewall-com-Iptables-+-Squid/

http://www.vivaolinux.com.br/dica/Iptables-e-proxy-transparente-(Squid)-definitivo

***************************************************************
Teste este script e veja se o squid, smtp e pop estao funcionando


#!/bin/bash


REDE=10.1.1.0/24 #MASCARA DE REDE
WAN=eth1 # INTERFACE LIGADA A INTERNET
LAN=eth0 # INTERFACE LIGADA A REDE
IPSERVIDOR=10.1.1.1 #IP DA INTERFACE DE REDE INTERNA DO SERVIDOR

#Define politica padrão para DROP

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT



#Habilita forward

echo 1 > /proc/sys/net/ipv4/ip_forward


#Habilita Masquerade
iptables -t nat -A POSTROUTING -s $REDE -j MASQUERADE

# Toda requisição que vier da rede na porta 80 sera direcionada para o servidor na oprta 3128
iptables -t nat -A PREROUTING -s $REDE -p tcp --dport 80 -j DNAT --to $IPSERVIDOR:3128


# REGRAS PARA INPUT

#Permite que ips da REDE conectem no proxy
iptables -A INPUT -p tcp -s $REDE --dport 3128 -j ACCEPT


# Libera consulta a DNS
iptables -A FORWARD -p udp -s $REDE --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d $REDE --sport 53 -j ACCEPT


# Libera acesso POP/SMTP
iptables -A FORWARD -p tcp -s $REDE --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp -d $REDE --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp -s $REDE --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp -d $REDE --sport 25 -j ACCEPT


*****************************************************

Espero que ajude

marcellod9
(usa Debian)

Enviado em 01/04/2009 - 09:40h

Olá amigo, obrigado pela ajuda e desculpe minha falta de conhecimento, rs.. bom, pedi pra rodar o script que vc me enviou so que depois que eu executo, o squid para de funcionar, as maquinas simplismente não pingão mais na eth0 e não recebem mais a tele de autenticação do squid.

Esse e meu squid.conf


http_port 3128
visible_hostname gdh
error_directory /usr/share/squid/errors/Portuguese/
cache_mem 256 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

###Grupos de usuarios##################################

acl diretoria proxy_auth “/etc/squid/diretoria”
acl diretoria proxy_auth “/etc/squid/comercial”
acl diretoria proxy_auth “/etc/squid/vendas”
acl diretoria proxy_auth “/etc/squid/financeiro”
acl diretoria proxy_auth “/etc/squid/estoque”
acl diretoria proxy_auth “/etc/squid/gerencia”

acl bloqueio url_regex -i “/etc/squid/bloqueados
acl bloqueio_exp dstdom_regex “/etc/squid/palavrasproibidas”
acl extban_ext url_regex -i “/etc/squid/extban”

http_access deny bloqueio vendas financeiro estoque comercial
http_access deny bloqueio_exp vendas financeiro estoque comercial
http_access deny bloqueio_ext vendas financeiro estoque comercial
http_access allow gerencia
http_access allow diretoria

###Bloqueios##########################################

acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas
acl extban url_regex -i "/etc/squid/extban"
http_access deny extban

###Autenticação#########################################

auth_param basic realm Squid
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados

acl redelocal src 10.1.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all

signout
(usa Slackware)

Enviado em 01/04/2009 - 10:08h

Marcelo,

Vc esta tentando configurar um proxy com autenticação, mas ao fazer o redirecionamento das requisições da porta 80 para a porta 3128, voce esta configurando para ser um proxy transparente.
Particularmente, não configuro um proxy transparente com autenticação, dependendo da situação, ambiente, necessidade, escolho um ou outro.

Se voce quiser configurar o proxy transparente (sem autenticacao), entao no squid.conf (a partir da versao 2.6)
altere a seguinte linha

http_port 3128 transparent

Se for para configurar o proxy com autenticacao, entao retire o redirecionamento da porta 80 no iptables.

Caso queira fazer o proxy transparente + autenticacao, existe um artigo no VOL que fala sobre isso

http://www.vivaolinux.com.br/artigo/Squid-+-proxy-transparente-+-autentificacao-+-SSL/

Para liberar ping a partir das estações inclua esta regra junto com as regras de INPUT

#Responde a requisições ICMP originadas da rede
iptables -I INPUT -p icmp -d $REDE -j ACCEPT

Novamente, recomendo que busque materiais de leitura sobre squid, iptables, protocolos,aqui mesmo no VOL existem excelentes artigos sobre o assunto. Há tambem o site:

http://www.linuxman.pro.br/squid/


Espero que ajude.