Wireless sem usar proxy. [RESOLVIDO]

jptudobem
(usa Debian)

Enviado em 19/07/2012 - 17:49h

Vamos lá:

Vamos criar um alias para essa rede Wireless. Supondo que sua rede seja 192.168.0.0/24 e sua interface da rede seja a eth2 faça:

# ifconfig eth2:1 192.168.1.1 up 

IMPORTANTE: Configure a LAN do Roteador Wireless na faixa 192.168.1.x e desabilite o DHCP. Ele será apenas uma AP. Conecte o cabo de rede em uma das suas portas LAN.

Feito isso, vamos configurar o DHCP, no exemplo que vou passar, a rede principal os IPs são distribuidos de acordo com o MAC e o HOTSPOT não:

shared-network eth2 {



        ddns-update-style none;

        ddns-updates off;

        log-facility local7;

        authoritative;

        default-lease-time 600;

        max-lease-time 7200;







subnet 192.168.1.0 netmask 255.255.255.0 {



        allow unknown-clients;

        option domain-name-servers 192.168.1.1;

        option domain-name "hotspot";

        option routers 192.168.1.1;

        range 192.168.1.100 192.168.1.200;

}



subnet 192.168.0.0 netmask 255.255.255.0 {



        deny unknown-clients;

        option domain-name-servers 192.168.0.254;

        option domain-name "intranet";

        option routers 192.168.0.254;



}



host pc1 {

        hardware ethernet 00:00:00:00:00:01;

        fixed-address 192.168.0.2;

}



host pc2 {

        hardware ethernet 00:00:00:00:00:02;

        fixed-address 192.168.0.3;

}

}

 

Agora as regras básicas do firewall que devem ser adicionadas e/ou adaptadas:

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP



echo 1 > /proc/sys/net/ipv4/ip_forward



iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



iptables -A FORWARD -s 192.168.1.0/24 -d 192.168.0.0/24 -j DROP

iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.1.0/24 -j DROP



iptables -A FORWARD -o eth2 -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -o eth2 -d 192.168.0.0/24 -m state --state ESTABLISHED,RELATED -j ACCEPT



iptables -A FORWARD -i eth2 -s 192.168.1.0/24 ! -d 192.168.0.0/24 -j ACCEPT

iptables -t nat -A PREROUTING -i eth2 -s 192.168.1.0/24 ! -d 192.168.0.0/24 -j ACCEPT



iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128



iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

 

johnnyb
(usa Fedora)

Enviado em 19/07/2012 - 20:18h

Amigo Tem alguma coisa errada

"eu acho que vc deve ter configurado o roteador com ip errado da uma verificada la usa ele como IPSTATIC ao inves de deixar ele pega o ip automatico do dhcp "

ai vc testa com o firewal drop se nao navega vc

faz assim deixe seu firewall todo aberto ou seja

aceitando tudo e todos e veja se navega


iptables -P INPUP ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o <placaexterna> -j MASQUERADE

iptables -A FORWARD -s <range de toda a rede> -d 0/0 -j ACCEPT

faz o teste ai e lembre de adapta para seu caso mais deixe tudo aberto
se navega vc vai fechando aos poucos

tipo
iptables -A FORWARD -p tcp --dport 8082:50000 -j DROP

ronan.rommis
(usa Debian)

Enviado em 19/07/2012 - 20:28h

Phrich meu brother, consegui aqui velho, mermão tuas dicas foram estremamente importantes só que uma delas que me deu dor de cabeça segue abaixo:

iptables -t nat -A POSTROUTING -o $ifnet -s 192.168.0.1 -j MASQUERADE

Assim que eu tirei o range e adicionei as duas regras que seguem abaixo, velho foi batata, a rede wireless funcionou numa boa e e quando eu coloco via cabo, no caso de ligar num swith ou no servidor atraves de cabo cross só acessa com o proxy ativado no navegador.


iptables -A INPUT -i $ifnet -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT

Foram essas 3 dicas acima que me resolveram o problema, vou deixar aqui a baixo o firewall caso alguém precise.

Mais uma vez obrigado ao Phrich, JohnnyB e ao Jptudobem, as dicas dos senhores me ajudaram e muito a compriender como é o funcionamento de um script de firewall, muito obrigado.

Obs: O que eu achei interessante foi que mesmo passando direto pelo proxy ele não está imune as regras do mesmo, testei aqui alguns bloqueios e funcionou numa boa, vou poder fazer fazer controle de banda direito agora.

#!/bin/bash

#Variaveis

#Internet

ifnet="eth0"

#Rede

ifred="eth1"

iniciar(){

#REGRAS

echo "LIMPANDO REGRAS"

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

echo "OK"

#MASCARANDO COMEXÃO

echo "MASCARAMENTO"

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $ifnet -j MASQUERADE

echo "OK"

#POLITICAS PADRÕES

echo "POLITICAS"

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

echo "OK"

#REGRAS INPUT

echo "LOOPBACK"

iptables -A INPUT -i lo -j ACCEPT

echo "ON"

echo "REDE"

iptables -A INPUT -s 192.168.0.1 -j ACCEPT

echo "OK"

echo "SQUID"

iptables -A INPUT -p tcp -i $ifred --dport 3128 -j ACCEPT

#iptables -t nat -A PREROUTING -i $ifred -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "OK"

echo "LIBERANDO CONEXÕES ESTABELECIDAS"

iptables -A INPUT -i $ifnet -m state --state ESTABLISHED,RELATED -j ACCEPT

echo "OK"

#LIBERANDO RETORNO

echo "RETORNO"

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -j ACCEPT
echo "OK"


}

parar(){

iptables -t nat -F


}

case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar;;

*) echo "Usar start ou stop"

esac

johnnyb
(usa Fedora)

Enviado em 19/07/2012 - 20:37h

Amigo essa regra tinha que ser assim

iptables -t nat -A POSTROUTING -o $ifnet -s 192.168.0.0/24 -j MASQUERADE
e nao assim
iptables -t nat -A POSTROUTING -o $ifnet -s 192.168.0.1 -j MASQUERADE

johnnyb
(usa Fedora)

Enviado em 19/07/2012 - 20:40h

Que bom que deu tudo certo :D precisando

tamo ai blz

ronan.rommis
(usa Debian)

Enviado em 19/07/2012 - 20:42h

Mermão, sem problema, velho 2 semanas tu me aturando aqui velho, po valeuzão tu não sabe o galho que tu quebrou ( sei que tu não é macaco gordo pra tá quebrando galho ), antes de pedir help aqui eu já tinha alguns dias que vinha tentando e nada brother e a tua ajuda e a do JohnnyB foram fundamentais como já disse!

Porra valeuzão mesmo bicho !