jhonboy
(usa Conectiva)
Enviado em 16/08/2008 - 21:16h
- Caros amigo sou novo no grupo e tb comecei a mexer com linux a pouco tempo espero que alguem me ajude estou com os seguintes problemas:
- primeiro gostaria que todos usuarios passase pelo meu proxy, com excessao de algumas maquinas, pois pelo taif nao pinga todas maquinas, e tem alguns usuarios q nao consigo bloquear o msn por este motivo.
- segundo usei a regra dhcpd amarrando mac ou ip, so que se alguma maquina nova conectar a rede, ele distribui um ip para maquina e acessa a rede normalmente, e eu nao gostaria. gostaria q eu liberaria esta maquina no server dpois q registrar seu mac e atribuir um ip a ele.
-terceiro gostaria que vcs me descem a opiniao se minha regra de firewall esta vulneravel? ou se estou fazendo algo de errado
desde ja muito obrigado
segue em anexo nas ordens 1 squid, 2 dhcpd, 3 firewall
1-SQUID
visible_hostname nome
http_port 192.168.0.1:3060
cache_mem 32 mb
cache_swap_low 90
cache_swap_high 95
maximum_object_size 10000 kb
minimum_object_size 0 kb
fqdncache_size 1024
cache_replacement_policy lru
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
client_netmask 255.255.255.255
dns_nameservers 200.204.1.430 200.204.1.158
quick_abort_min 16 kb
quick_abort_max 16 kb
quick_abort_pct 95
half_closed_clients on
acl all src 0.0.0.0/0.0.0.0
acl acesso_proxy src 192.168.0.0/255.255.255.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to-localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl safe_ports port 80
acl safe_ports port 21
acl safe_ports port 443 563
acl safe_ports port 70
acl safe_ports port 210
acl safe_ports port 1024-65535
acl safe_ports port 280
acl safe_ports port 488
acl safe_ports port 591
acl safe_ports port 777
acl CONNECT method CONNECT
#Limitar o tamanho de downloads
acl html rep_mime_type text/html
reply_body_max_size 0 allow html
reply_body_max_size 10485760 allow all
# liberar msn/orkut
acl iplib src "/etc/squid/rl/iplib.txt"
http_access allow iplib
# bloquear msn/orkut
acl trava_msn_orkut url_regex -i "/etc/squid/rl/trava_msn_orkut.txt"
http_access deny trava_msn_orkut
acl dominio_msn_orkut dstdomain "/etc/squid/rl/trava_msn_orkut.txt
header_access Accept-Encoding deny dominio_msn_orkut
# bloquear sites
acl site_bloq url_regex -i "/etc/squid/rl/sitebloq.txt"
#acl termobloq dstdom_regex "/etc/squid/rl/bloq.txt"
# liberar sites
acl site_lib url_regex "/etc/squid/rl/lib.txt"
#bloquear internet por ip
acl usuariobloq src 192.168.0.45
http_access deny usuariobloq
http_access allow SSL_ports
http_access allow manager localhost
http_access deny !safe_ports
http_access deny CONNECT !SSL_ports
http_access deny site_bloq !site_lib
#http_access deny site_bloq
#http_access deny termobloq
http_reply_access allow all
#deixando proxy transparente
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
_______________________________________________________________________________________________________________
2-dhcpd
authoritative;
ddns-update-style none;
default-lease-time 600;
max-lease-time 7200;
#option domain-name-servers 200.211.22.122;
option domain-name-servers 200.221.22.100,192.168.1.200;
option domain-name "nome";
subnet 192.168.0.0 netmask 255.255.255.0 {
option routers 192.168.0.1;
range 192.168.0.100 192.168.0.200;
option broadcast-address 192.168.0.255;
}
host pcfabiano.name {
hardware ethernet 00:16:ec:1d:66:aa;
fixed-address 192.168.0.216;
}
_________________________________________________________________________________________________________
3-firewall
#!/bin/sh
### Carrega módulos de connection tracking
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp
### Define políticas de acesso padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
### Limpa regras e cadeias de usuário prévias
iptables -X
iptables -F
iptables -t nat -F
### Habilita repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
### Interface externa
EXT_IF=eth0
### Interface Interna
INT_IF=eth1
### Rede interna
INT_NET=192.168.0.0/24
### Habilita comunicação interna entre processos locais
iptables -A INPUT -i lo -j ACCEPT
### Habilita acesso pela rede interna a esse host
iptables -A INPUT -i $INT_IF -j ACCEPT
iptables -A FORWARD -i $INT_IF -j ACCEPT
### Habilita SSH externo - use isso se for acessar o servidor externamente
iptables -A INPUT -i $EXT_IF -m tcp -p tcp --dport 22 -j ACCEPT
### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), Gmail(465,955)
iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,995 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE
### Proxy transparente
iptables -t nat -A PREROUTING -p tcp --dport 80 -i $INT_IF -s $INT_NET -j REDIRECT --to-port 3128