Massuel
(usa Outra)
Enviado em 04/01/2016 - 21:54h
Boa noite Amigos,
Sou iniciante, utilizo Debian, para um Firewall com squid e iptables
estou com o seguinte problema:
- Hotmail, site da VIVO da TIM, abrem, mais quando vou fazer o Login e senha não entra, fica carregando e não vai;
- Utilizamos um ERP para emissão de NFE, quando vai transmitir a NF, não vai tambem;
se eu coloco por fora do proxy vai de boa,
o mais curioso que os LOGS do squid apontam que o site foi liberado
ja tentei utilizar um firewall e squid bem basico para ver e nao tive sucesso
ja nao sei mais o que fazer...
________________________________________________________
SQUID.CONF
# ---- Proxy transparente ----
http_port 3128 transparent
# ---- Fim ----
# ---- Nome do servidor ----
visible_hostname servidor
# ---- Fim ----
# ---- Servidores DNS a serem consultados ----
dns_nameservers 186.225.255.249 186.225.255.250 8.8.8.8 8.8.4.4
# ---- Fim ----
# ---- Tempo de verificacao de alteracoes ----
refresh_pattern ^ftp: 1 20% 2280
refresh_pattern ^gopher: 1 0% 2280
refresh_pattern . 1 20% 2280
# ---- Fim ----
# ---- Inicio Cache ----
cache_mem 1724 MB
cache_dir ufs /var/spool/squid 10000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
# ---- Fim ----
# ---- Controles de ACL's Nativas ----
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 443 # https
acl Safe_ports port 81 # http
acl Safe_ports port 84 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe_ports port 443 # http
acl Safe_ports port 8080 # http
acl Safe_ports port 122
acl purge method PURGE
acl post method POST
acl CONNECT method CONNECT
http_access allow post
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny CONNECT !SSL_ports
# ---- Fim ----
# Define a faixa de IPs da rede
acl redelocal src 192.168.1.0/24
# ---- Fim ----
# ---- ACL's ----
acl sites_bloqueados url_regex "/etc/squid/lista/sites_bloqueados.txt"
acl nomes_negados url_regex -i "/etc/squid/lista/nomes_negados.txt"
acl ips_liberados src "/etc/squid/lista/ips_liberados.txt"
acl ip_restrito src "/etc/squid/lista/ip_restrito.txt"
acl site_livre url_regex -i "/etc/squid/lista/site_livre.txt"
# ---- Fim ----
# ---- Bloqueio de radios online / arquivos de streaming ----
acl streaming req_mime_type ^video/x-ms-asf
acl proibir_musica urlpath_regex -i \.aif$ \.aifc$ \.aiff$ \.asf$ \.asx$ \.avi$ \.au$ \.m3u$ \.med$ \.mp3$ \.m1v$ \.mp2$ \.mp2v$ \.mpa$ \.mov$ \.mpe$ \.mpg$ \.mpeg$ \.ogg$ \.pls$ \.ram$ \.ra$ \.ram$ \.snd$ \.wma$ \.wmv$ \.wvx$ \$
# ---- Inicio de liberacao/bloqueio de acessos ---
http_access allow localhost
http_access deny ip_restrito !site_livre
http_access deny sites_bloqueados
http_access deny nomes_negados
http_access allow ips_liberados
http_access deny proibir_musica
http_reply_access deny streaming
http_access deny all
# ---- Fim ----
________________________________________________
FIREWALL
!/bin/bash
INT=eth0
EXT=eth1
# ---- Inicio do Firewall ----
echo " "
echo ".............. Inicializando Firewall ..............."
echo " "
# ---- Limpa as tabelas do firewall ----
echo "Limpando as tabelas do Firewall ................ [OK]"
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
# ---- Fim ----
# ---- Carrega modulos do iptables ----
echo "Carregando modulos do Iptables ................. [OK]"
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp
# ---- Fim ----
# ---- Libera a rede com nat ----
echo "Liberando a rede para o NAT .................... [OK]"
echo "1" > /proc/sys/net/ipv4/ip_forward
# ---- Fim ----
# ---- Libera a passagem de pacotes para a faixa de IPs internos ----
echo "Liberando os pacotes para a Rede Interna ....... [OK]"
iptables -A FORWARD -s 192.168.7.0/24 -j ACCEPT
# ---- Fim ----
# ---- Libera o NAT para os IPs internos ----
echo "Liberando o NAT para Rede Interna .............. [OK]"
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# ---- Fim ----
# ---- Liberar Site ----
# iptables -t nat -A PREROUTING -s 192.168.7.0/24 -d 31.13.73.1 -j ACCEPT
# ---- Libera portas ----
echo "Liberando Portas ............................... [OK]"
echo "- Porta HTTP ................................... [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 80 -j ACCEPT
echo "- Porta HTP ................................... [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 84 -j ACCEPT
echo "- Portecho "- Porta HTTPS .................................. [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 443 -j ACCEPT
echo "- Porta SSH .................................... [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 22 -j ACCEPT
echo "- Porta MON .................................... [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 81 -j ACCEPT
echo "- Porta SMTP ................................... [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 81 -j ACCEPT
echo "- Porta SMTP ................................... [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 25 -j ACCEPT
echo "- Porta DNS .................................... [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -i eth0 --dport 53 -j ACCEPT
echo "- Porta Squid .................................. [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 3128 -j ACCEPT
echo "- Porta GRAVADORA .................................. [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 8090 -j ACCEPT
echo "- Porta GRAVADORA .................................. [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 110 -j ACCEPT
echo "- Porta GRAVADORA .................................. [OK]"
iptables -A FORWARD -p tcp -i eth0 --dport 53 -j ACCEPT
# ---- Fim ----
# ---- Redirecionamento de portas ----
echo "Redirecinando Portas ........................... [OK]"
echo "- Porta SSH .................................... [OK]"
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 22 -j ACCEPT
echo "- Porta ATM .................................... [OK]"
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 775 -j ACCEPT
echo "- Porta GRAVADORA .................................... [OK]"
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 8090 -j ACCEPT
echo "- Porta FTP .................................... [OK]"
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 21 -j ACCEPT
echo "- Porta FTP_DATA ............................... [OK]"
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 6000:6100 -j ACCEPT
echo "- Porta WTS .................................... [OK]"
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 122 -j DNAT --to 192.168.7.2
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 122 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 122 -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 21 -j ACCEPT
echo "- Porta GRAVADORA .................................... [OK]"
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 8090 -j DNAT --to 192.168.7.2
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 8090 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 8090 -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 8090 -j ACCEPT
echo "- Porta DVR .................................... [OK]"
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 8080 -j DNAT --to 192.168.7.164
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 21 -j ACCEPT
echo "- Porta DVR .................................... [OK]"
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 8000 -j DNAT --to 192.168.7.164
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 8000 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 8000 -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 21 -j ACCEPT
echo "- Porta DVR .................................... [OK]"
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 554 -j DNAT --to 192.168.7.164
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 554 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 554 -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 21 -j ACCEPT
echo "- Porta DVR1 .................................... [OK]"
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 8001 -j DNAT --to 192.168.7.3:8001
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 8001 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 8001 -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 21 -j ACCEPT
echo "- Porta DVR2 .................................... [OK]"
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 5809 -j DNAT --to 192.168.7.3:5809
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 5809 -j ACCEPT
iptables -t nat -A PREROUTING -i $EXT -p tcp --dport 5809 -j DNAT --to 192.168.7.3:5809
iptables -A FORWARD -i $INT -o $EXT -p tcp --dport 5809 -j ACCEPT
iptables -A FORWARD -i $EXT -o $INT -p tcp --dport 5809 -j ACCEPT
iptables -A INPUT -s 192.168.7.0/24 -p tcp --dport 21 -j ACCEPT
echo "- Porta DVR2 .................................... [OK]"
iptables -A PREROUTING -t nat -p tcp -d 192.168.7.5 --dport 8000 -j DNAT --to 192.168.1.164:8000
iptables -A PREROUTING -t nat -p tcp -d 192.168.7.5 --dport 8080 -j DNAT --to 192.168.1.164:8080
iptables -A PREROUTING -t nat -p tcp -d 192.168.7.5 --dport 554 -j DNAT --to 192.168.1.164:554
echo "- Porta DVR2 .................................... [OK]"
iptables -A PREROUTING -t nat -p tcp -d 192.168.7.5 --dport 8001 -j DNAT --to 192.168.1.3:8001
echo "- Porta ATM .................................... [OK]"
iptables -t nat -A PREROUTING -i $INT -p tcp --dport 775 -j DNAT --to 192.168.7.212:775
# ---- Bloqueio contra invasoes ----
echo "Habilitando bloqueio contra invasoes ........... [OK]"
echo "- Bloqueando Samba para Rede Externa ........... [OK]"
iptables -A INPUT -p tcp -i $EXT --syn --dport 139 -j DROP
iptables -A INPUT -p tcp -i $EXT --syn --dport 138 -j DROP
iptables -A INPUT -p tcp -i $EXT --syn --dport 137 -j DROP
echo "- Protecao contra Syn-floods ................... [OK]"
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
echo "- Protecao contra Scanners ocultos ............. [OK]"
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
echo "- Protecao contra Ping da Morte ................ [OK]"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
echo "- Protecao contra Ataques ...................... [OK]"
iptables -A INPUT -m state --state INVALID -j DROP
# ---- Libera IPs com acesso por fora do Firewall ----
echo "Liberando IPs por fora do Firewall ............. [OK]"
iptables -t nat -A PREROUTING -s 192.168.7.2 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.7.3 -d 0.0.0.0/0 -j ACCEPT
iptables -t nat -A PREROUTING -s 192.168.7.10 -d 0.0.0.0/0 -j ACCEPT
# ---- Fim ----
# ---- Proxy Transparente ----
echo "Redirecionando Porta HTTP para o Squid ......... [OK]"
iptables -t nat -A PREROUTING -s 192.168.7.0/24 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.7.0/24 -p tcp -m tcp --dport 443 -j REDIRECT --to-port 3128
# ---- Fim ----
echo " "
echo ".......... Firewall Carregado com Sucesso ..........."
# ---- Fim do Firewall ----