iptables + conectividade social no fcr7

heroes
(usa CentOS)

Enviado em 30/11/2007 - 10:26h

Li varios artigos sobre iptables mas nenhum me ajudou... todos dão a mema dica, para liberar o ip da caixa pra não passar pelo proxy, com a regra:

iptables -t nat -A PREROUTING -i ethx -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

Mas não tem adiantado... só desabilitando o proxy funciona...


#------minhas regras-----#
iptables -F
iptables -F -t nat

touch /var/lock/subsys/local

modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
#regra que obriga o uso de proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1:3128

#------fim------#

Não sei mais como resolver...
Desde já agradeço a atenção.

hugovlmota
(usa CentOS)

Enviado em 05/12/2007 - 14:46h

meu caro amigo,
estou com o mesmo problema a uns 2 meses e até hoje nada funcionou.
acho que o pessoal da caixa é que tinha que mudar o jeito pelo qual os seus programas se comunica.

T+

heroes
(usa CentOS)

Enviado em 05/12/2007 - 14:50h

Amigo resolvi este problema ontem mesmo... adicionei o dominio da caixa na lista de sites liberados para o proxy... ai quando qualquer micro da rede mesmo tendo que autenticar, fizer pedidos para o site da caixa.gov.br ele deixa passar pela porta 80 e não direciona para a porta do proxy...
Nao precisei fazer regra de iptables.

alexandre_mpm
(usa Debian)

Enviado em 05/12/2007 - 15:10h

cara uma vez eu estava com esse problema e consegui resolver com uma regra similar a essa, deixando o acesso para caixa liberado sem passar pelo proxy, e resolveu as vezes pode ser alguma outra regra no seu firewall que está barrando mas como já esta resolvido é isso que importa.


caso precise vamos deixar registradas essas dicas:


Primeiro teste, na regra que redireciona o trafego da porta 80 para o proxy, exclua o IP da estação que deseja testar, no meu firewall utilizo esta regra para excluir do redirecionamento a maquina com ip 192.168.1.53.

/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -s \! 192.168.1.53 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128

e mais essas:

# opção 1 - passou a falhar a prtir de out/2005 - estou usando a opção 3

#INTERNA=eth1 # placa ligada à rede interna
#CAIXA=200.201.174.0/24 # IP da CAIXA a ser liberado para toda a rede.
$iptables -t nat -A PREROUTING -i $INTERNA -d 200.201.174.0/24 -j ACCEPT
$iptables -t filter -A FORWARD -i $INTERNA -d 200.201.174.0/24 -j ACCEPT


# opção 2 - copia da net - não lembro de onde.

CAIXA="200.252.47.0/24 200.201.160.0/20"
for ip in $CAIXA
do
$iptables -t nat -A PREROUTING -p tcp -d $ip -j ACCEPT
$iptables -A FORWARD -p tcp -d $ip -j ACCEPT
done


# opção 3

# ambiente utilizado e testado, estação win98 configurada para acessar internet via Squid,
# em propriedades do TCP está configurado o gateway e DNS, no I.E cofigurado em
# conexões para acessar via proxy, no Squid esta maquina está anjaulada para acessar somente
# sites .gov.br e .caixa.gov.br, com as regras abaixo acessa CS sem problemas.
# não tive tempo de analizar, veja que libera acesso a toda rede 200.201 e pode acessar algo
# além da caixa, embora funcione, procure evita-la.
$iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
$iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT


No inicio do script de firewall são definidas as variaves; $INTERNA=eth1 # placa de rede interna ligada ao HUB $EXTERNA=eth0 # placa de rede externa ligada ao modem ADSL

Após a regra da CAIXA vem regra do redirecionamento, NAT e forward, exemplo;

/usr/sbin/iptables -t nat -A PREROUTING -i eth1 -s \! 192.168.1.53 -p tcp -m multiport --dport 80,443 -j REDIRECT --to-ports 3128

$iptables -A POSTROUTING -t nat -o $EXTERNA -j MASQUERADE
echo "1" > /proc/sys/net/ipv4/ip_forward


Opção 4 a mais indicada por liberar somente o IP da Caixa

Nas regras abaixo pode substituir a variável mrede pelo IP da rede interna, ou ajuste a variável conforme classe da rede.

MREDE = 192.168.1.0/24
$iptables -A FORWARD -s $MREDE -p tcp -d 200.201.174.207 --dport 80 -j ACCEPT
$iptables -A FORWARD -s $MREDE -p tcp -d 200.201.174.204 --dport 80 -j ACCEPT
$iptables -A FORWARD -s $MREDE -p tcp -d 200.201.174.204 --dport 2631 -j ACCEPT

fonte: http://www.zago.eti.br/squid/conectividade-social.html