Servidor teria como me ajudar [RESOLVIDO]

1. Servidor teria como me ajudar [RESOLVIDO]

jhonboy
(usa Conectiva)

Enviado em 16/08/2008 - 21:59h

- Caros amigo sou novo no grupo e tb comecei a mexer com linux a pouco tempo espero que alguem me ajude estou com os seguintes problemas:
- primeiro gostaria que todos usuarios passase pelo meu proxy, com excessao de algumas maquinas, pois pelo taif nao pinga todas maquinas, e tem alguns usuarios q nao consigo bloquear o msn por este motivo.
- segundo usei a regra dhcpd amarrando mac ou ip, so que se alguma maquina nova conectar a rede, ele distribui um ip para maquina e acessa a rede normalmente, e eu nao gostaria. gostaria q eu liberaria esta maquina no server dpois q registrar seu mac e atribuir um ip a ele.
-terceiro gostaria que vcs me descem a opiniao se minha regra de firewall esta vulneravel? ou se estou fazendo algo de errado
desde ja muito obrigado

segue em anexo nas ordens 1 squid, 2 dhcpd, 3 firewall

1-SQUID

visible_hostname nome
http_port 192.168.0.1:3060

cache_mem 32 mb

cache_swap_low 90

cache_swap_high 95

maximum_object_size 10000 kb

minimum_object_size 0 kb

fqdncache_size 1024

cache_replacement_policy lru

cache_dir ufs /var/spool/squid 10000 16 256

cache_access_log /var/log/squid/access.log

cache_log /var/log/squid/cache.log

client_netmask 255.255.255.255

dns_nameservers 200.204.1.430 200.204.1.158

quick_abort_min 16 kb

quick_abort_max 16 kb

quick_abort_pct 95

half_closed_clients on

acl all src 0.0.0.0/0.0.0.0

acl acesso_proxy src 192.168.0.0/255.255.255.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to-localhost dst 127.0.0.0/8

acl SSL_ports port 443 563

acl safe_ports port 80

acl safe_ports port 21

acl safe_ports port 443 563

acl safe_ports port 70

acl safe_ports port 210

acl safe_ports port 1024-65535

acl safe_ports port 280

acl safe_ports port 488

acl safe_ports port 591

acl safe_ports port 777

acl CONNECT method CONNECT

#Limitar o tamanho de downloads

acl html rep_mime_type text/html

reply_body_max_size 0 allow html

reply_body_max_size 10485760 allow all

# liberar msn/orkut
acl iplib src "/etc/squid/rl/iplib.txt"

http_access allow iplib

# bloquear msn/orkut

acl trava_msn_orkut url_regex -i "/etc/squid/rl/trava_msn_orkut.txt"

http_access deny trava_msn_orkut

acl dominio_msn_orkut dstdomain "/etc/squid/rl/trava_msn_orkut.txt

header_access Accept-Encoding deny dominio_msn_orkut

# bloquear sites

acl site_bloq url_regex -i "/etc/squid/rl/sitebloq.txt"

#acl termobloq dstdom_regex "/etc/squid/rl/bloq.txt"

# liberar sites
acl site_lib url_regex "/etc/squid/rl/lib.txt"

#bloquear internet por ip

acl usuariobloq src 192.168.0.45

http_access deny usuariobloq

http_access allow SSL_ports

http_access allow manager localhost

http_access deny !safe_ports
http_access deny CONNECT !SSL_ports
http_access deny site_bloq !site_lib
#http_access deny site_bloq

#http_access deny termobloq

http_reply_access allow all

#deixando proxy transparente

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

_______________________________________________________________________________________________________________
2-dhcpd

authoritative;

ddns-update-style none;

default-lease-time 600;

max-lease-time 7200;

#option domain-name-servers 200.211.22.122;

option domain-name-servers 200.221.22.100,192.168.1.200;

option domain-name "nome";

subnet 192.168.0.0 netmask 255.255.255.0 {
option routers 192.168.0.1;

range 192.168.0.100 192.168.0.200;

option broadcast-address 192.168.0.255;

}

host pcfabiano.name {

hardware ethernet 00:16:ec:1d:66:aa;

fixed-address 192.168.0.216;

}
_________________________________________________________________________________________________________
3-firewall

#!/bin/sh
### Carrega módulos de connection tracking
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_nat_ftp

### Define políticas de acesso padrão
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

### Limpa regras e cadeias de usuário prévias
iptables -X
iptables -F
iptables -t nat -F

### Habilita repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

### Interface externa
EXT_IF=eth0

### Interface Interna
INT_IF=eth1

### Rede interna
INT_NET=192.168.0.0/24

### Habilita comunicação interna entre processos locais
iptables -A INPUT -i lo -j ACCEPT

### Habilita acesso pela rede interna a esse host
iptables -A INPUT -i $INT_IF -j ACCEPT
iptables -A FORWARD -i $INT_IF -j ACCEPT

### Habilita SSH externo - use isso se for acessar o servidor externamente
iptables -A INPUT -i $EXT_IF -m tcp -p tcp --dport 22 -j ACCEPT

### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), Gmail(465,955)
iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,995 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE

### Proxy transparente
iptables -t nat -A PREROUTING -p tcp --dport 80 -i $INT_IF -s $INT_NET -j REDIRECT --to-port 3128

0 0

Quote

2. Reformular pergunta

davidsonpaulo
(usa Ubuntu)

Enviado em 18/08/2008 - 15:09h

Johnboy, gostaria de te dar uma sugestão para que você consiga obter respostas para essas suas dúvidas, tudo bem?

Primeiro, não coloque várias dúvidas e um único tópico, isso espanta as pessoas, pois dá a impressão que vai dar muito trabalho responder (de fato, responder todas as suas dúvidas de uma única vez dá um trabalho danado)...

Segundo, seja bem específico ao escolher o nome do tópico. "Servidor teria como me ajudar" é super-hiper-mega-power-thunder-master-plus-II-evolution-pro genérico. Quem lê esse título não tem a menor idéia do que se trata a sua dúvida. Nos seus tópicos, escolha títulos do tipo "Como fazer todos os usuários passarem pelo proxy", "Liberar acesso só para MAC cadastrado no DHCP" e "Como deixar meu firewall mais seguro".

E, claro, se você conseguir resolver o seu problema graças às respostas que lhe derem, não se esqueça de escolher qual a melhor resposta, isso dá pontos a quem respondeu e serve de incentivo para que ele responda mais e melhor.

Um grande abraço.

0 0

Quote