Iptables mais louco que o Batman [RESOLVIDO] [netfilter/iptables]

37. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 27/08/2014 - 13:25h

andrecanhadas escreveu:

Acho que agora o problema é no squid:

http_access deny extensoes
http_access deny proibir_palavras_na_url !liberar_root
http_access deny proibir_palavras_no_dominio !liberar_root
http_access allow localhost
http_access allow liberar_root
http_access deny redelocal !liberar_root
http_access deny all

Não tem nada liberado para a rede local tente assim:

http_access deny extensoes
http_access allow localhost
http_access allow liberar_root
http_access allow redelocal !proibir_palavras_na_url !proibir_palavras_no_dominio
http_access deny all

fiz o que me pediu, mas continuou o problema, reiniciei o servidor para garantir, segue minha configuração de rede

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.200.11
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255
gateway 192.168.200.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

allow-hotplug eth1
iface eth1 inet static
address 192.168.100.2
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255
gateway 192.168.100.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

0 0

Quote

38. Re: Iptables mais louco que o Batman [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 27/08/2014 - 15:42h

Qual a interface que recebe a internet? Eth0 ou eth1

0 0

Quote

39. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 27/08/2014 - 15:52h

andrecanhadas escreveu:

Qual a interface que recebe a internet? Eth0 ou eth1

eth0 - internet
eth1 - rede local

**André, na minha rede, todas as maquinas funcionam apenas com o DNS 192.168.200.17, por isso não sei se a configuração do /etc/network/interfaces que te passei está correta.

0 0

Quote

40. Re: Iptables mais louco que o Batman [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 27/08/2014 - 18:50h

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.200.11
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255
gateway 192.168.200.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

allow-hotplug eth1
iface eth1 inet static
address 192.168.100.2
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255
gateway 192.168.100.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

Mude suas configurações de rede:



iface eth0 inet static

	address 192.168.200.11

	netmask 255.255.255.0

	network 192.168.200.0

	broadcast 192.168.200.255

	gateway 192.168.200.1

	



allow-hotplug eth1

iface eth1 inet static

	address 192.168.100.2

	netmask 255.255.255.0

	network 192.168.100.0

	broadcast 192.168.100.255

Agora altere o dns usando o /etc/resolv.conf



echo "search rafitecxxe" > /etc/resolv.conf

echo "nameserver 192.168.200.17" >> /etc/resolv.conf

Vc tinha definido dois gateways e isto não funcionaria normalmente sem criação de rotas manuais.

Reinicie a maquina apos isso e defina o gateway das estações como sendo este IP address 192.168.100.2

0 0

Quote

41. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 28/08/2014 - 08:56h

andrecanhadas escreveu:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.200.11
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255
gateway 192.168.200.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

allow-hotplug eth1
iface eth1 inet static
address 192.168.100.2
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255
gateway 192.168.100.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

Mude suas configurações de rede:



iface eth0 inet static

	address 192.168.200.11

	netmask 255.255.255.0

	network 192.168.200.0

	broadcast 192.168.200.255

	gateway 192.168.200.1

	



allow-hotplug eth1

iface eth1 inet static

	address 192.168.100.2

	netmask 255.255.255.0

	network 192.168.100.0

	broadcast 192.168.100.255

Agora altere o dns usando o /etc/resolv.conf



echo "search rafitecxxe" > /etc/resolv.conf

echo "nameserver 192.168.200.17" >> /etc/resolv.conf

Vc tinha definido dois gateways e isto não funcionaria normalmente sem criação de rotas manuais.

Reinicie a maquina apos isso e defina o gateway das estações como sendo este IP address 192.168.100.2

Deixei assim

# The loopback network interface
auto lo
iface lo inet loopback

iface eth0 inet static
address 192.168.200.11
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255
gateway 192.168.200.1

allow-hotplug eth1
iface eth1 inet static
address 192.168.100.2
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255

Alterei o resolv.conf conforme voce me pediu, porém após iniciar o sistema, eth0 não reconhece mais

****** adicionei allow-hotplug eth0

Após as alterações, o ping para 187.52.171.201 funcionou, porém para o www.google.com.br não, acredito que seja algo com o DNS

Segue meu resolv.conf

echo "search rafitecxxe" > /etc/resolv.conf
echo "nameserver 192.168.200.17" >> /etc/resolv.conf

0 0

Quote

42. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 29/08/2014 - 17:37h

andrecanhadas escreveu:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address 192.168.200.11
netmask 255.255.255.0
network 192.168.200.0
broadcast 192.168.200.255
gateway 192.168.200.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

allow-hotplug eth1
iface eth1 inet static
address 192.168.100.2
netmask 255.255.255.0
network 192.168.100.0
broadcast 192.168.100.255
gateway 192.168.100.1
dns-nameservers 192.168.200.17
dns-search rafitecxxe

Mude suas configurações de rede:



iface eth0 inet static

	address 192.168.200.11

	netmask 255.255.255.0

	network 192.168.200.0

	broadcast 192.168.200.255

	gateway 192.168.200.1

	



allow-hotplug eth1

iface eth1 inet static

	address 192.168.100.2

	netmask 255.255.255.0

	network 192.168.100.0

	broadcast 192.168.100.255

Agora altere o dns usando o /etc/resolv.conf



echo "search rafitecxxe" > /etc/resolv.conf

echo "nameserver 192.168.200.17" >> /etc/resolv.conf

Vc tinha definido dois gateways e isto não funcionaria normalmente sem criação de rotas manuais.

Reinicie a maquina apos isso e defina o gateway das estações como sendo este IP address 192.168.100.2

Help kkkkkk

0 0

Quote

43. Re: Iptables mais louco que o Batman [RESOLVIDO]

andrecanhadas
(usa Debian)

Enviado em 29/08/2014 - 19:05h

Foi mal cara to enrolado aqui no trampo.
Só isso é o suficiente o calculo de network e broadcast é automático.



auto lo

iface lo inet loopback

auto eth0

auto eth1

allow-hotplug eth1

allow-hotplug eth0



iface eth0 inet static

   address 192.168.200.11

   netmask 255.255.255.0

   gateway 192.168.200.1

    

iface eth1 inet static

   address 192.168.100.2

   netmask 255.255.255.0

A parte do DNS (resolv.conf) era pra rodar estes comando no terminal. Se for definir manualmente deve colocar apenas isso no /etc/resolv.conf:



search rafitecxxe"

nameserver 192.168.200.17

Veja se agora vai...
Este DNS 192.168.200.17 é um Active Directory? se for entre nas configurações dele e habilite o forward e defina um dns externo como 8.8.8.8 ou outro de sua preferencia para que use outro dns para resolver domínios externos.

0 0

Quote

44. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 18/09/2014 - 11:51h

andrecanhadas escreveu:

Foi mal cara to enrolado aqui no trampo.
Só isso é o suficiente o calculo de network e broadcast é automático.



auto lo

iface lo inet loopback

auto eth0

auto eth1

allow-hotplug eth1

allow-hotplug eth0



iface eth0 inet static

   address 192.168.200.11

   netmask 255.255.255.0

   gateway 192.168.200.1

    

iface eth1 inet static

   address 192.168.100.2

   netmask 255.255.255.0

A parte do DNS (resolv.conf) era pra rodar estes comando no terminal. Se for definir manualmente deve colocar apenas isso no /etc/resolv.conf:



search rafitecxxe"

nameserver 192.168.200.17

Veja se agora vai...
Este DNS 192.168.200.17 é um Active Directory? se for entre nas configurações dele e habilite o forward e defina um dns externo como 8.8.8.8 ou outro de sua preferencia para que use outro dns para resolver domínios externos.

Andre, bom dia!

A saga continua rsrs, ao alterar as regras no firewall de DROP para ACCEPT, para INPUT, FORWARD e OUTPUT, a internet funciona comentando a linha abaixo.

#echo " Redirecionando portas para o SQUID (Proxy Transparente) ............... [ OK ]"
#iptables -t nat -A PREROUTING -i eth1 -m multiport -p tcp --dports 21,80,443 -j REDIRECT --to-port 3128

Então acredito que meu problema esteja relacionado a firewall, não sei mais o que fazer kk

0 0

Quote

45. Re: Iptables mais louco que o Batman [RESOLVIDO]

n4t4n
(usa Arch Linux)

Enviado em 18/09/2014 - 19:24h

A resolução de nomes DNS não funcionou pelo SQUID porque você não tinha setado a configuração de DNS que informei no squid.conf

http://www.squid-cache.org/Doc/config/dns_nameservers/
http://etutorials.org/Server+Administration/Squid.+The+definitive+guide/Appendix+A.+Config+File+Refe...

Encontrei outro erro. Quando você faz uso do NAT para redirecionar portas você precisa então lidar com as portas redirecionadas, pois as de destino "antigas" sequer chegam no chain INPUT ou FORWARD.

Então você precisa trocar

echo " Liberando acesso FTP, HTTP, HTTPS, DNS, através do SQUID .............. [ OK ]"

iptables -A INPUT -p tcp -i eth1 -m multiport --dports 21,80,443 -j ACCEPT

Por

echo " Liberando acesso FTP, HTTP, HTTPS, DNS, através do SQUID .............. [ OK ]"

iptables -A INPUT -p tcp -i eth1 --dport 3128 -j ACCEPT

Depois disso pode ativar a política DROP para INPUT e FORWARD para testar se tudo funciona.

0 0

Quote

46. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 18/09/2014 - 20:00h

n4t4n escreveu:

A resolução de nomes DNS não funcionou pelo SQUID porque você não tinha setado a configuração de DNS que informei no squid.conf

http://www.squid-cache.org/Doc/config/dns_nameservers/
http://etutorials.org/Server+Administration/Squid.+The+definitive+guide/Appendix+A.+Config+File+Refe...

Encontrei outro erro. Quando você faz uso do NAT para redirecionar portas você precisa então lidar com as portas redirecionadas, pois as de destino "antigas" sequer chegam no chain INPUT ou FORWARD.

Então você precisa trocar

echo " Liberando acesso FTP, HTTP, HTTPS, DNS, através do SQUID .............. [ OK ]"

iptables -A INPUT -p tcp -i eth1 -m multiport --dports 21,80,443 -j ACCEPT

Por

echo " Liberando acesso FTP, HTTP, HTTPS, DNS, através do SQUID .............. [ OK ]"

iptables -A INPUT -p tcp -i eth1 --dport 3128 -j ACCEPT

Depois disso pode ativar a política DROP para INPUT e FORWARD para testar se tudo funciona.

Boa noite N4t4n!

Estou na faculdade e mesmo assim nao abandono o trabalho, existe outra forma de resolver o DNS? Pois essa rede será simples, é necessário que seja resolvido no squid?

Ainda não testei o que me sugeriu, pois terei que testar amanha no trabalho, percebi que ao deixar em ACCEPT, (INPUT,FORWARD e OUTPUT) e comentando a linha abaixo, a internet funciona, mas sem bloqueios pelo squid.

#echo " Redirecionando portas para o SQUID (Proxy Transparente) ............... [ OK ]"
#iptables -t nat -A PREROUTING -i eth1 -m multiport -p tcp --dports 21,80,443 -j REDIRECT --to-port 3128.

0 0

Quote

47. Re: Iptables mais louco que o Batman [RESOLVIDO]

wiliampegoraro
(usa Outra)

Enviado em 19/09/2014 - 11:09h

andrecanhadas escreveu:

Foi mal cara to enrolado aqui no trampo.
Só isso é o suficiente o calculo de network e broadcast é automático.



auto lo

iface lo inet loopback

auto eth0

auto eth1

allow-hotplug eth1

allow-hotplug eth0



iface eth0 inet static

   address 192.168.200.11

   netmask 255.255.255.0

   gateway 192.168.200.1

    

iface eth1 inet static

   address 192.168.100.2

   netmask 255.255.255.0

A parte do DNS (resolv.conf) era pra rodar estes comando no terminal. Se for definir manualmente deve colocar apenas isso no /etc/resolv.conf:



search rafitecxxe"

nameserver 192.168.200.17

Veja se agora vai...
Este DNS 192.168.200.17 é um Active Directory? se for entre nas configurações dele e habilite o forward e defina um dns externo como 8.8.8.8 ou outro de sua preferencia para que use outro dns para resolver domínios externos.

n4t4n escreveu:

A resolução de nomes DNS não funcionou pelo SQUID porque você não tinha setado a configuração de DNS que informei no squid.conf

http://www.squid-cache.org/Doc/config/dns_nameservers/
http://etutorials.org/Server+Administration/Squid.+The+definitive+guide/Appendix+A.+Config+File+Refe...

Encontrei outro erro. Quando você faz uso do NAT para redirecionar portas você precisa então lidar com as portas redirecionadas, pois as de destino "antigas" sequer chegam no chain INPUT ou FORWARD.

Então você precisa trocar

echo " Liberando acesso FTP, HTTP, HTTPS, DNS, através do SQUID .............. [ OK ]"

iptables -A INPUT -p tcp -i eth1 -m multiport --dports 21,80,443 -j ACCEPT

Por

echo " Liberando acesso FTP, HTTP, HTTPS, DNS, através do SQUID .............. [ OK ]"

iptables -A INPUT -p tcp -i eth1 --dport 3128 -j ACCEPT

Depois disso pode ativar a política DROP para INPUT e FORWARD para testar se tudo funciona.

Boas novas Andre e N4t4n

Squid rodando e fazendo os bloqueios, porém deixei ainda tem uma questão

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

Quando eu deixo da forma indicada por vocês, abaixo, nada funciona, internet não funciona e squid também não

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

0 0

Quote

48. Re: Iptables mais louco que o Batman [RESOLVIDO]

n4t4n
(usa Arch Linux)

Enviado em 19/09/2014 - 16:58h

Cara, como você está executando esse script?

Como você muda essas políticas? muda dentro do arquivo, salva e executa ou manda os comandos diretos no terminal?

0 0

Quote

Iptables mais louco que o Batman [RESOLVIDO]

37. Re: Iptables mais louco que o Batman [RESOLVIDO]

38. Re: Iptables mais louco que o Batman [RESOLVIDO]

39. Re: Iptables mais louco que o Batman [RESOLVIDO]

40. Re: Iptables mais louco que o Batman [RESOLVIDO]

41. Re: Iptables mais louco que o Batman [RESOLVIDO]

42. Re: Iptables mais louco que o Batman [RESOLVIDO]

43. Re: Iptables mais louco que o Batman [RESOLVIDO]

44. Re: Iptables mais louco que o Batman [RESOLVIDO]

45. Re: Iptables mais louco que o Batman [RESOLVIDO]

46. Re: Iptables mais louco que o Batman [RESOLVIDO]

47. Re: Iptables mais louco que o Batman [RESOLVIDO]

48. Re: Iptables mais louco que o Batman [RESOLVIDO]

Patrocínio

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts