Liberar sofware no firewall

quemsoueu
(usa Fedora)

Enviado em 21/11/2011 - 10:16h

Galera eu to com um problema serio,

habilitei um proxy autenticado aqui na empresa, o problema é que o softaware que usamos precisa se concetar a alguns endereços, na net, eu liberei as portas e os ips no proxy mas não to conseguindo fazer isto no firewall.
Algume pode me ajudar:

meu squid.conf

#=====================================================

#		ONFIGURAÇO SQUID

#		RODRIGO ATTIQUE SANTANA

#=====================================================

http_port 3128

visible_hostname queops.imb.br

error_directory /usr/share/squid/errors/Portuguese/



### WEBMASTER

cache_mgr rodrigoattique@r7.com

#cache_effective_user nobody

#cache_effective_group nobody



### CACHE DE PÁINAS

cache_mem 512 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 512 MB

minimum_object_size 2 KB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid 2048 16 256

cache_access_log /var/log/squid/access.log

icon_directory /usr/share/squid/icons

short_icon_urls on



refresh_pattern ^ftp: 15 20% 2280

refresh_pattern ^gopher: 15 0% 2280

refresh_pattern . 15 20% 2280



### CACHE WINDOWS UPDATE ###

#refresh_pattern .windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims

#refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 resoad-into-ims

#refresh_pattern .microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims



### PORTAS QUE SERÃ USADAS PELO PROXY

### acl all src 0.0.0.0/0.0.0.0 contem todos os ips da rede

acl all src 0.0.0.0/0.0.0.0 

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl SSL_ports port 443 563 

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 # https, snews

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl Safe_ports port 901 # swat

acl Safe_ports port 1025-65535 # portas altas

acl Safe_ports port 25 110

acl purge method PURGE

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access allow purge localhost

http_access deny purge

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



#IPs sem senha

#DESTINEI ESTA ACL CASO HAJA ALGUMA MAQUINA QUE

#PRECISE PASSAR DIRETO PELO PROXY

#acl ip_no_password src 192.168.0.133



# LIBERA REDE LOCAL E BLOQUEIA QUEM NÃ PERTENCE A MESMA

acl redelocal src 192.168.0.0/24

http_access deny !redelocal

### SITES QUE SAO LIBERADOS A TODOS INDEPENDENDETE DA AUTENTICACAO

acl liberados url_regex -i "/etc/squid/regras/liberado"

http_access allow liberados

acl ipliberado dst 200.219.228.226 200.219.228.227 200.219.228.228

http_access allow ipliberado





### CONFIGURACAO PARA AUTENTICAR OS USUARIOS

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/usuarios

auth_param basic children 5

auth_param basic realm Proxy

auth_param basic casesensitive off

### EXIGE AUTENTICACAO DE USUARIO

acl usuarios proxy_auth REQUIRED



### AUTENTICACAO DE USUARIO POR GRUPOS



### esta acl eh especial pois eh o usuario adm que pode acessar tudo muito cudado

acl root proxy_auth adm

### acl da diretoria que pode tudo exceto sites considerados improprios ou perigosos

acl diretoria proxy_auth "/etc/squid/grupos/diretoria"

### os funcionarios nao acessam os mesmos sites que a diretoria e redes sociais, chats, downloads etc, 

acl funcionarios proxy_auth "/etc/squid/grupos/funcionarios"

### esta acl contem os estagiarios, convidados e outros ainda nao definido

### os deste grupo soh acessam o que for permitido o resto ta bloqueado

acl outros proxy_auth "/etc/squid/grupos/outros"



### WEB MSN, CHATS E AFINS ###

acl webmessenger_hotmail url_regex -i "/etc/squid/regras/deny_hotmail"

#acl MSN req_mime_type -i ^application/x-msn-messenger$

#http_access deny MSN

http_access deny webmessenger_hotmail



### CONTROLE DE ACESSOS DOS USUARIOS ####

### esta regra contem os sites que ninguem pode acessar somente o adm

acl deny_geral url_regex -i "/etc/squid/regras/deny_geral"

### esta regra bloqueia sites p/ os funcionarios

acl deny_funcionarios url_regex -i "/etc/squid/regras/deny_funcionario"

### esta regra permite apenas alguns sites p/ os "outros"

acl allow_outros url_regex -i "/etc/squid/regras/allow_outros"



### FAZENDO O CONTROLE DE ACESSO

http_access allow root

http_access allow allow_outros

http_access deny deny_geral

http_access allow diretoria

http_access deny deny_funcionarios

http_access allow funcionarios

http_access deny outros



## LIBERA ACESSO A REDE LOCAL, LOCALHOST E AUTENTICADOS

## BLOQUEIA OS DEMAIS

http_access allow localhost

http_access allow redelocal

http_access deny all

icp_access deny all  

Daniel Macedo
(usa Debian)

Enviado em 21/11/2011 - 14:34h

BLOQUEAR PORTA:
iptables -A INPUT -p tcp --dport <NÚMERO da porta> -j DROP
DESLBLOQUEAR PORTA:
iptables -D INPUT -p tcp --dport <NÚMERO da porta> -j DROP

quemsoueu
(usa Fedora)

Enviado em 28/11/2011 - 09:39h

Desculpa a demora em responder, mas eu precisei adotar outra solução na rede, liberei todas as portas e o software continua sem conectar a internet.

enlace
(usa Outra)

Enviado em 28/11/2011 - 11:17h

O sistema em questão é um sistema web ou um software desktop?

veja as questões que pode ser útil:

Quando o proxy é autenticado a aplicação (browser, Aplicativo MNS entre outros)tem que ter suporte a proxy ou seja a opção de colocar IP, PORTA e SENHA do proxy, igual é colocado no navegador.

Se a aplicaçao não tiver suporte a proxy ai vai ter que compartilhar a internet via NAT, que voce pode escolher em compartilhar somente as portas e ip de destino necessárias.


Compartilha a internet:
"iptables -t nat -A POSTROUTING -s 10.2.2.1 -o eth1 -j SNAT --to 192.168.200.250" somenta para uma máquina e testa o software, caso funcionar pode gerar logs no firewall para ver as portas e ip que o sistema usa.


10.2.2.1 - IP da maquina client3
eth1 - Interface onde chega a internet
192.168.200.250 - IP que o firewall recebe para navegar

quemsoueu
(usa Fedora)

Enviado em 28/11/2011 - 14:21h

Esse software é desktop, possui uma opção de proxy autenticado em seu servidor,
eu havia configurado um firewall pois os emais não estavam passando pelo squid,
peguei esse material de um amigo aqui do VOL e tentei adaptar as minhas necessidades.
No caso aí para resolver o problema com o programa da empresa precisei compartilhar a conexão com alias eth0:1 mudei o gateway no servidor para o gateway do roteador, e os outros clientes eu mantive o gateway do proxy.

#!/bin/bash

#=====================================================================================
# CONFIGURAÇO DE FIREWAL TIRADA DO VIVA O LINUX
# ESCRITO POR: jesiel82
# http://www.vivaolinux.com.br/topico/Servidores-Linux-para-iniciantes/Como-liberar-Outlook-no-Squid
# Esta configuraç eh utilizada para permitir o outlook na rede
#==========================================================================================

REDE=192.168.0.0/24 #mascara da rede
WAN=eth0 #interface da internet eht0
LAN=eth1 #interface da rede interna eht1
IPSERVIDOR=192.168.0.1 #Ip do proxy na rede interna

#Ativa o roteamento no firewall
/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
/sbin/iptables -t nat -A POSTROUTING -s $REDE -o $WAN -j MASQUERADE

#Redireciona conexao da porta 80 para 3128 do Squid
/sbin/iptables -t nat -A PREROUTING -i $LAN -p tcp --dport 80 -j REDIRECT --to-port 3128
/sbin/iptables -A INPUT -p tcp --dport 3128 -s ! $IPSERVIDOR -j ACCEPT

'
#Habilita servidos de pop3 e smtp portas 25 e 110
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT

#Unio software
iptables -A INPUT -p tcp --dport 1433 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -s 200.219.228.226 -j ACCEPT
iptables -A INPUT -p tcp -s 200.219.228.227 -j ACCEPT
iptables -A INPUT -p tcp -s 200.219.228.228 -j ACCEPT


#Ativa serviç de DNS
iptables -A INPUT -p tcp -s $REDE --dport 54 -j ACCEPT
iptables -A INPUT -p udp -s $REDE --source-port 53 -j ACCEPT
'

enlace
(usa Outra)

Enviado em 01/12/2011 - 00:53h

O software usado fica no servidor ou em cada estação tem um software instalado?

quem é que precisa acessar os endereços da a internet os clientes ou somente o servidor?



Caso o software fique somente no servidor, o mesmo pode ficar acessando a internet sem passar pelo proxy. Caso sim coloca só o ip dele para não passar pelo proxy.

quemsoueu
(usa Fedora)

Enviado em 01/12/2011 - 02:04h

O software desktop precisa sincronizar dados com um banco de dados virtual, as portas que me pedirão para liberar é para isto, então no servidor que fica o banco de dados há uma aplicação que faz o sincronismo essa aplicação que não estava conectando a internet, o que fiz foi, utilizar um roteador e compartilhar a conexão do proxy por uma placa só, daí para os clientes não passarem direto, coloquei no gateway padrão o Ip do proxy e os clientes se conectam a internet por ele de certa forma, já o servidor eu coloquei o gateway do roteador, mas isto não é a forma correta.

A propósito como faço para que esse servidor passe direto no proxy.

iptables -A INPUT -p tcp 192.168.0.2 -j ACCEPT