servidor [RESOLVIDO]

diegotesch
(usa Ubuntu)

Enviado em 04/06/2013 - 15:27h

boa tarde pessoal, estou com o seguinte dilema:
estou configurando meu primeiro servidor para a empresa onde trabalho.
basicamente será assim
o servidor com ubuntu 12.04 possui 3 placas de rede, onde a eth0 esta desativada, a eth1 recebera a conexao com a internet e a eth2 realizara o compartilhamento da conexao e distribuição de endereços IP (servidor DHCP), esta maquina também funcionara como firewall uma vez que será necessário o controle do que é acessado pelos usuários.

a configuração de minha rede está da seguinte forma:

#/etc/network/interfaces
auto lo eth1 eth2
iface lo inet loopback

iface eth1 inet dhcp

iface eth2 inet static
address 192.168.0.140
netmask 255.255.0.0
network 192.168.0.0
broadcast 192.168.255.255
 

tenho minhas duvidas se está correto.

e meu firewall está configurado da seguinte forma:

#!/bin/bash
iniciar(){
#bloqueando dominios
for end in `cat /etc/bloqueados`
do
iptables -A OUTPUT -d $end -j REJECT
iptables -A FORWARD -d $end -j REJECT
done

#compartilhando a conexão
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Compartilhamento ativado"

#permite conexões de rede local
iptables -A INPUT -i eth2 -j ACCEPT

#Regras básicas de firewall
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP

#gera o arquivo de LOG
iptables -A FORWARD -j LOG

#bloqueio de portas UDP
#iptables -A INPUT -p udp --dport (faixa de portas, utilize ":" entre o primeiro e o ultimo) -j DROP

echo "Regras de firewall e compartilhamento ativadas"
}

parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "Regras de firewall e compartilhamento desativadas"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start ou stop"
esac
 

após tudo isto configurado quando acesso uma maquina cliente com windows não tenho acesso (nulo ou limitado) e mesmo quando coloco IP estatico no cliente o problema persiste. Agradeceria muito a ajuda de todos.
obrigado desde já.

Buckminster
(usa Debian)

Enviado em 04/06/2013 - 15:54h

Deixe assim:

#/etc/network/interfaces

auto lo
iface lo inet loopback

# Primeira placa de rede
auto etho
iface etho inet dhcp

# Segunda placa de rede
auto eth1
iface inet eth1 dhcp

# Terceira placa de rede
auto eth2
iface eth2 inet static
address 192.168.0.140
netmask 255.255.0.0
network 192.168.0.0
broadcast 192.168.0.255


No Iptables:
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE << aqui vai a placa de rede de entrada da internet.


Espero que você não tenha apagado os comentários iniciais do arquivo interfaces.
Você tem servidor DHCP nessa máquina também?
Posta aqui o dhcpd.conf.

Te aconselharia a colocar Debian, CentOs ou OpenSuse. São melhores para servidores.

diegotesch
(usa Ubuntu)

Enviado em 04/06/2013 - 16:56h

o arquivo dhcpd.conf esta da seguinte forma.

ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
authoritative;

subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.10 192.168.1.250;
option routers 192.168.1.254;
option broadcast-address 192.168.1.255;
option domain-name-servers 8.8.8.8, 8.8.4.4;
}

depois de ter feito algumas mudanças nos arquivos de configuração da rede estou conseguindo compartilhar numa boa a conexão e o servidor dhcp está funcionando legal também. mas agora um novo problema surgiu.
na estação cliente quando tento acessar algum endereço que deveria ser bloqueado pelo firewall como http:www.facebook.com, não está acontecendo, ou seja estou acessando o site normalmente.
por que será que isto aconteceu?

Buckminster
(usa Debian)

Enviado em 04/06/2013 - 17:38h

for end in `cat /etc/bloqueados`
do
iptables -A OUTPUT -d $end -j REJECT
iptables -A FORWARD -d $end -j REJECT
done

Se dentro do arquivo /etc/bloqueados você colocou domínios não vai funcionar. O Iptables não lê domínios.

diegotesch
(usa Ubuntu)

Enviado em 04/06/2013 - 19:52h

entendo, cara eu meio que inventei uma regra meio maluca e até então parece estar dando certo.
foi mais ou menos assim

iptables -A FORWARD -p tcp --deport 443 -d $end -j REJECT

fiz alguns testes e está funcionando.

cara agradeço a juda mesmo.
estou trabalhando em cima de um servidor dhcp.
qualquer dúvida estamos aí.

Buckminster
(usa Debian)

Enviado em 04/06/2013 - 23:31h

Você colocou essa regra

iptables -A FORWARD -p tcp --deport 443 -d $end -j REJECT

e dentro do arquivo você colocou domínios?

diegotesch
(usa Ubuntu)

Enviado em 05/06/2013 - 06:56h

dentro do arquivo bloqueados ficaram os sites que não devem ser acessados
por exemplo:
www.facebook.com
www.twitter.com
www.orkut.com
...
...
...

e assim por diante, não estou utilizando FQDN.
vi este detalhe de bloquear sites no livro servidores linux do Morimoto, e como o cliente em questão não pretende utilizar um proxy, vi que era uma opção razoável de ser utilizada.
ele explica também que não é possivel utilizar domínios.

diegotesch
(usa Ubuntu)

Enviado em 05/06/2013 - 08:39h

bom dia amigo
acrescentei alguma regras no firewall para que algumas maquinas administrativas na rede pudessem ter acesso completo
ficando o script de firewall desta forma na parte de bloqueio

#bloqueando dominios
for end in `cat /etc/bloqueados`
do
iptables -A INPUT -m iprange --src-range 192.168.1.11-192.168.1.31 -d $end -j ACCEPT
iptables -A FORWARD -m iprange --src-range 192.168.1.11-192.168.1.31 -d $end -j ACCEPT
iptables -A OUTPUT -m iprange --src-range 192.168.1.11-192.168.1.31 -d $end -j ACCEPT
iptables -A INPUT -d $end -j REJECT
iptables -A OUTPUT -d $end -j REJECT
iptables -A FORWARD -d $end -j REJECT
iptables -A INPUT --p tcp --dport 443 -d $end -j REJECT
iptables -A OUTPUT -p tcp --dport 443 -d $end -j REJECT
iptables -A FORWARD -p tcp --dport 443 -d $end -j REJECT
done


porém o que ainda persiste em acontecer em alguns momentos nas outras máquinas que estão fora deste intervalo de IPs ainda entram em alguns sites que estão na lista de bloqueio.
e outra coisa que estou querendo fazer é:
ao invés de aparecer a página de que não é possível se conectar ao endereço queria que mostrasse uma pagina editada por mim mostrando que o sites está bloqueado pelo administrador da rede.

diegotesch
(usa Ubuntu)

Enviado em 05/06/2013 - 10:30h

bom akele velho ditado é sempre verdadeiro
"quem tem boca vai a roma", no nosso caso ele se aplica de forma diferente. "quem tem duvida pergunta ao google" kk.
bom depois de pesquisar um pouco consegui resolver parcialmente o problema do redirecionamento de paginas bloqueadas com a seguinte regra:

iptables -t nat -A PREROUTING -d $end -p tcp --dport 80 -j DNAT --to 192.168.1.254:80

eu disse parcialmente pois quando se trata de acesso em páginas https: (isto está me dando uma dor de cabeça), ainda não consigo redirecioná-las. porém o bloqueio parece estar funcionando normalmente por enquanto.
se alguém souber de uma maneira de fazer este direcionamento com sites que utilizam https, agradecerei e muito a ajuda.

saitam
(usa Slackware)

Enviado em 05/06/2013 - 10:49h

Quer bloquear sites via iptables ?
Simples...
iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "twitter.com" -j DROP
iptables -I FORWARD -m string --algo bm --string "youtube.com" -j DROP


Pronto!

diegotesch
(usa Ubuntu)

Enviado em 05/06/2013 - 16:10h

pessoal, estou muito satisfeito com a ajuda de todos e até agora estou conseguindo fazer tudo de acordo com as especificações do cliente. só que parei pra analizar a situação e por exemplo sites improprios (pornografia, jogos, redes sociais, etc...) existem aos montes. ouvi falar que existe uma forma de se fazer uma espécie de contador com o iptables, onde ele conta a quantidade de palavras em um determinado site e caso haja a palavra especificada um determinado numero de vezes o firewall bloqueia automaticamente, como disse antes não tenho certeza disso por isso pergunto a vocês que possuem mais experiencia que eu.
estou pensando seriamente em acrescentar um proxy, para um melhor desempenho, mas gostaria que estes trabalhassem em conjunto. Pensei nisto por causa do SquidGuardian que gera um relatorio de acessos onde o administrador poderá acrescentar os sites que desejar na lista de sites bloqueados.
aguardo a opnião de vocês.

Buckminster
(usa Debian)

Enviado em 05/06/2013 - 16:14h

Iptables + Squid + Sarg.