Liberar Portas

diegotesch
(usa Ubuntu)

Enviado em 18/07/2013 - 12:02h

Boa tarde, cliente inventa cada uma que só vendo.
galera é o seguinte.
levei o proxy ao cliente totalmente funcional, estava efetuando os bloqueios de sites normalmente.
ao chegar no cliente alguns programas não rodavam (como o teamview e outros softwares do cliente), acredito que o fato se deve pelo fato de algumas portas estarem liberadas.
o cliente então me pede para deixar apenas os sites bloqueados e por demais liberar todas as portas
0-65535 tcp e udp.
Basicamente meu firewall e proxy estao desta forma.


Firewall

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUNTING -o eth0 -j MASQUERADE
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -p udp -i eth1 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 443 -j ACCEPT
iptables -A FORWARD -i eth1 -j LOG
iptables -A FORWARD -p tcp -i eth1 -j REJECT
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -p tcp --syn -j DROP

iptables -A FORWARD -p
Proxy

#Porta default do proxy
http_port 192.168.1.254:3128 intercept

#O nome do servidor
visible_hostname servidor

#Cache
cache_mem 64 mb
maximum_object_size_in_memory 64 kb
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 2048 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Regras de acesso para rede local
acl manager proto cache_object
acl localhost src 127.0.0.1
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 443 563 #https e snews
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

redirect_program /usr/bin/squidGuard

error_directory /usr/share/squid-langpack/pt/

acl redelocal src 192.168.1.0/24
http_access allow redelocal
http_access allow localhost
http_access deny all


pensei em retirar as seguintes linhas do firewall
iptables -A FORWARD -p udp -i eth1 --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -i eth1 -j REJECT


o que me dizem.
agradeço a ajuda de todos

qxada07
(usa Slackware)

Enviado em 18/07/2013 - 14:22h

Cara não manjo muito de proxy.... Mas será que não seria a linha abaixo que estaria bloqueando??

acl Safe_ports port 1025-65535 #portas altas


Ou ela esta dizendo o que deve ser liberado....

diegotesch
(usa Ubuntu)

Enviado em 18/07/2013 - 15:57h

Cara esta regra nao desabilita nenhuma porta uma vez que mais abaixo a regra deny procede !Safe_ports isto diz que ela bloqueia todas exceto as portas Safe_posts.
o que preciso é o seguinte.
os clientes iram acessar a web e neste ponto deve ser efetuado bloqueio dos sites contidos na lista negra do SquidGuard
porém alguns usuários realizam acesso remoto e utilizam alguns softwares proprietarios que utilizam tanto portas entre 0-1024 quanto superiores. logo desta forma nenhuma porta deve ser bloqueada.
um exemplo de erro em testes de bancada. em uma maquina cliente instalei o teamview e o mesmo não efetua conexões com nenhuma outra maquina da rede.

arasouza
(usa Debian)

Enviado em 23/07/2013 - 05:44h

Cara vc tem uma white list no squidguard ? se tem as maquinas q estão nela acessam tranquilimente o team viewer por exemplo?

saitam
(usa Slackware)

Enviado em 23/07/2013 - 08:07h

ERRO na regra iptables -A FORWARD -p tcp -i eth1 -j REJECT


Organiza melhor as regras iptables, pois estão bagunçadas, por exemplo, libera, bloqueia...


O ideal seria iniciar tudo em DROP e liberar apenas o que for necessário...

O Teamviewer usa porta 80 e 443 por default, e se caso essas portas estiverem em uso na rede interna, então deve liberar a porta 5938 TCP.

http://www.teamviewer.com/pt/help/334-Which-ports-are-used-by-TeamViewer.aspx

Firewall: http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html