Liberar MSN e Atualização Avira

loko2010
(usa Outra)

Enviado em 03/04/2012 - 18:19h

Boa tarde pessoal,

Montei um firewall com politica padrão DROP e fui liberando o que necessitava. Gostaria de liberar o MSN apenas para alguns usuários e que as atualizações do antivírus não passe pelo proxy, tentei algumas regras de iptables e no squid porém não tive sucesso, gostaria mais um vez da ajuda da comunidade, seguem os script do firewall e o squid.conf (estou usando o ubuntu server 11.10 com o squid 3.1.14):

#firewall.sh
#!/bin/bash
IFACE_WEB="eth0"
IFACE_REDE="eth1"
REDE_INTERNA="192.168.119.0/24"
PORTAS_TCP="20,21,53,80,10000"
PORTAS_REDE_INTERNA="25,110,587,995"
PORTAS_DNS="53"
function INICIAR () {
### Limpa as regras existentes
iptables -F
iptables -t nat -F
### Define as politicas padroes como DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
### Habilita o roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
### Mantem conexoes ja estabelecidas
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
### Compartilha a Internet
iptables -t nat -A POSTROUTING -o $IFACE_WEB -j MASQUERADE
### Autoriza pacotes provenientes da interface Loopback e da Rede Local
iptables -A INPUT -i lo -j ACCEPT
### Libera o acesso SSH
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
### Libera o squid - rede interna
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
### Aceita ping - rede interna
iptables -A INPUT -s $REDE_INTERNA -p icmp --icmp-type 8 -j ACCEPT
### Abre as portas
iptables -A INPUT -p tcp -m multiport --dport $PORTAS_TCP -j ACCEPT
### Libera DNS - localhost
iptables -A OUTPUT -p tcp --dport $PORTAS_DNS -j ACCEPT
iptables -A OUTPUT -p udp --dport $PORTAS_DNS -j ACCEPT
### Libera as portas 80 e 443 - localhost
iptables -A OUTPUT -p tcp -m multiport --dports 80,443 -j ACCEPT
### Aceita ping
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT
### Abre as portas
iptables -A OUTPUT -p tcp -m multiport --dport $PORTAS_TCP -j ACCEPT
### Libera as portas - rede interna
iptables -A FORWARD -p tcp -m multiport --dport $PORTAS_REDE_INTERNA -j ACCEPT
}

function PARAR () {
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE
}

case "$1" in
start)
echo " * Iniciando Firewall iptables"
INICIAR
;;
stop)
echo " * Parando Firewall iptables"
PARAR
;;
restart|reload)
echo " * Reiniciando Firewall iptables"
PARAR
INICIAR
;;
*)
echo "Insira um parametro valido: /etc/init.d/firewall {start|stop|restart|reload}"
exit 1
esac
exit 0


# squid.conf
http_port 3128
visible_hostname Firewall
cache_mem 350 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
KB
minimum_object_size 4 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid3 10240 16 256
cache_access_log /var/log/squid3/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl SSL_ports port 443 563
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT

http_access deny manager !localhost
http_access deny purge !localhost
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.119.0/24
http_access deny !redelocal

auth_param basic realm Firewall
auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/squid_passwd

acl autenticados proxy_auth REQUIRED
acl grupo_liberado proxy_auth "/etc/squid3/arquivos/usuarios_liberados"
acl grupo_limitado proxy_auth "/etc/squid3/arquivos/usuarios_limitados"
acl sites_permitidos url_regex -i "/etc/squid3/arquivos/sites_limitados"

http_access allow autenticados grupo_liberado
http_access deny autenticados grupo_limitado !sites_permitidos
http_access allow localhost
http_access allow redelocal
http_access deny all

Da forma que esta consegui atualizar o antivírus cadastrando o proxy com usuário e senha no próprio Avira. O Messenger não funcionou de forma nenhuma.

Obrigado.

andrecanhadas
(usa Debian)

Enviado em 03/04/2012 - 18:52h

O messenger usa a porta 1863 então deve liberar a saida dela como fez com a 80,443:

iptables -A OUTPUT -p tcp -m multiport --dports 80,443,1863 -j ACCEPT

 

Para apenas um IP:

iptables -A OUTPUT -s 192.168.0.10 -p tcp -m tcp --dport 1863 -j ACCEPT

 

andrecanhadas
(usa Debian)

Enviado em 03/04/2012 - 18:52h

O messenger usa a porta 1863 então deve liberar a saida dela como fez com a 80,443:

iptables -A OUTPUT -p tcp -m multiport --dports 80,443,1863 -j ACCEPT

 

Para apenas um IP:

iptables -A OUTPUT -s 192.168.0.10 -p tcp -m tcp --dport 1863 -j ACCEPT

 

loko2010
(usa Outra)

Enviado em 04/04/2012 - 11:41h

Obrigado vou testar e aviso...

removido
(usa Nenhuma)

Enviado em 04/04/2012 - 11:44h

O Avira vai funcionar com proxy, mas o msn não funciona com proxy autenticado... veja meu tópico que é um problema d todos... mas ninguém soube responder...
http://www.vivaolinux.com.br/topico/netfilter-iptables/problema-com-msn

loko2010
(usa Outra)

Enviado em 07/04/2012 - 16:15h

Realmente até agora não consegui fazer o Messenger funcionar e o Avira só funciona cadastro o proxy nele.

Se mais alguém tiver alguma dica ai...

removido
(usa Nenhuma)

Enviado em 07/04/2012 - 16:18h

tira o proxy do internet explorer e verifica se o msn conecta.

andrecanhadas
(usa Debian)

Enviado em 07/04/2012 - 17:38h

Não sei se vai funcionar :

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -s 192.168.0.xx -d gateway.messenger.hotmail.com -j RETURN

 

Onde eth0= Rede local
-s IP liberado
-d Endereço de conexão messenger

Se não for esse o endereço de conexão tente descobrir com:

tail -f /var/log/squid3/access.log | grep IP_do_user 

 

E tente conectar para ver o endereço que esta negando.
Depois de achar o endereço que esta bloqueando vc troca o (gateway.messenger.hotmail.com)pelo endereço que mostrou como denied lo log de acesso do squid.
Obs:esta regra deve ficar antes da regra de redirecionamento para a porta do squid.

loko2010
(usa Outra)

Enviado em 07/04/2012 - 17:56h

Não acredito que ira funcionar, pois as regras são para bloquear tudo, só funciona passando pelo proxy e regras criadas... Mas vou testar para ter certeza.

loko2010
(usa Outra)

Enviado em 07/04/2012 - 18:01h

Estou sem acesso ao servidor no momento, mas assim que puder realizo o teste e posto novamente.

Quanto a opção -d gateway.messenger.hotmail.com
Tem como colocar varios endereços juntos ou teria que criar uma regra para cada?

Obrigado.

loko2010
(usa Outra)

Enviado em 07/04/2012 - 18:05h

Criei da seguinte forma:
# Portas MSN Messenger
PORTAS_MSN="1863,443"
# Libera Acesso MSN Messenger
iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_MSN -j ACCEPT

Porém continua bloqueando.

Quando voltar a ter acesso ao servidor vou realizar mais alguns testes e postarei os resultados... Valeu...

andrecanhadas
(usa Debian)

Enviado em 07/04/2012 - 18:29h

Libera o forward em vez do output