Liberar acesso à sites (SCRIPT IPTABLES)

xstocler
(usa Outra)

Enviado em 30/09/2013 - 14:42h

Boa tarde pessoal,
Um ex funcionario da empresa aonde trabalho acabou saindo da empresa e com isso eu não entendi muito bom o script que ele fez, ate porque sou iniciante.

A questão é, preciso liberar o site em questão ( https://atendimentovirtual.sistemas.cesan.com.br:8443/AtendimentoVirtual/FaturaConsultaForm.jsp )

cujo o ip dele é ( 200.216.216.47 )


Tentei colocar no script a seguinte regra:

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT
 

e também:

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp --dport 8773 -j ACCEPT
 

Ambas não deram certo.


Se abaixo o script iptables para melhor entender a situação:

IPTABLES=/sbin/iptables
IP6TABLES=/sbin/ip6tables
MODPROBE=/sbin/modprobe

IF_LOOPBACK="lo"

IF_INT="eth1"
IP_INT="10.1.1.250"

IF_EXT="eth0"
IP_EXT="XXX.XX.XX.XXX"

#IF_DMZ="eth"
#IP_DMZ=""

NET_INT="10.1.1.0/24"


### flush existing rules and set chain policy setting to DROP
echo "[+] Flushing iptables rules..."
$IPTABLES -F
$IPTABLES -F -t nat
$IPTABLES -F -t mangle
$IPTABLES -X
$IPTABLES -X -t nat
$IPTABLES -X -t mangle

### this policy does not handle IPv4 traffic except to drop it.
#
echo "[+] Disabling IPv4 traffic..."
$IPTABLES -P INPUT DROP 
$IPTABLES -P OUTPUT DROP 
$IPTABLES -P FORWARD DROP 

### this policy does not handle IPv6 traffic except to drop it.
#
echo "[+] Disabling IPv6 traffic..."
$IP6TABLES -P INPUT DROP
$IP6TABLES -P OUTPUT DROP
$IP6TABLES -P FORWARD DROP

### load connection-tracking modules
#
echo "[+] Loading modules..."
$MODPROBE ip_conntrack
$MODPROBE iptable_nat
$MODPROBE ip_conntrack_ftp
$MODPROBE ip_nat_ftp
$MODPROBE ip_tables
$MODPROBE ipt_LOG
$MODPROBE ipt_REJECT
$MODPROBE ipt_MASQUERADE
$MODPROBE ipt_state
$MODPROBE ipt_multiport
$MODPROBE iptable_mangle
$MODPROBE ipt_limit
$MODPROBE xt_limit
$MODPROBE ipt_mark
$MODPROBE ipt_MARK
$MODPROBE ipt_string
$MODPROBE ip_gre
$MODPROBE ip_nat_pptp
$MODPROBE tun


###### INPUT chain ######
#########################
#
echo "[+] Setting up INPUT chain..."

### [++] state tracking rules
$IPTABLES -A INPUT -m state --state INVALID -j DROP
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### [++] ACCEPT rules

### [+++] ssh
$IPTABLES -A INPUT -p tcp -i $IF_INT -s $NET_INT --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IF_EXT --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IF_EXT -s XXX.XX.XX.XXX/27 --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IF_EXT -s XXX.XX.XX.XXX --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IF_EXT -s XXX.XX.XX.XXX --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IF_EXT -s XXX.XX.XX.XXX --dport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -i $IF_EXT -s XXX.XX.XX.XXX --dport 22 -j ACCEPT

### [+++] pptp
$IPTABLES -A INPUT -i $IF_EXT -p tcp --dport 1723 -j ACCEPT
$IPTABLES -A INPUT -i $IF_EXT -p 47 -j ACCEPT

### [+++] dns
$IPTABLES -A INPUT -i $IF_INT -s $NET_INT -p udp --dport 53 -j ACCEPT

### [++] squid proxy 
$IPTABLES -A INPUT -i $IF_INT -p tcp --dport 3128 -s $NET_INT -j ACCEPT

### [++] icmp
$IPTABLES -A INPUT -i $IF_INT -p icmp -s $NET_INT -j ACCEPT

### [++] anti-spoofing rules
$IPTABLES -A INPUT -s 10.0.0.0/8 -i $IF_EXT -j DROP
$IPTABLES -A INPUT -s 127.0.0.0/8 -i $IF_EXT -j DROP
$IPTABLES -A INPUT -s 172.16.0.0/12 -i $IF_EXT -j DROP
$IPTABLES -A INPUT -s 192.168.1.0/16 -i $IF_EXT -j DROP


### [++] state tracking rules
$IPTABLES -A OUTPUT -m state --state INVALID -j DROP
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### [++] ACCEPT rules for allowing connections out

### [+++] pptp
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 1723 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p 47 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 21 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A OUTPUT -o $IF_EXT -p udp --dport 20 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -j ACCEPT

### [++] state tracking rules
$IPTABLES -A FORWARD -m state --state INVALID -j DROP
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

 

A parte aonde estou adicionado as regras

##################################################################################
# acesso USUARIOS internet pela rede interna
#$IPTABLES -A FORWARD -i $IF_INT -s $NET_INT -o $IF_EXT -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -j LOG

# acesso cesan.com.br
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.18 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.45 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.43 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 201.77.202.37 -p tcp -j ACCEPT

#acesso www.dataprev.gov.br
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.32.178 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.40.93 -p tcp -j ACCEPT

# acesso www.previdencia.gov.br
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.40.50 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.32.144 -p tcp -j ACCEPT
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT

#sindec
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 201.62.35.202 -p tcp --dport 444 -j ACCEPT



############################################################################################
 

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

# acesso APs internet

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX-j ACCEPT

# 
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

# 
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

#
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

# 
$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -p udp --dport 53 -j ACCEPT

### [++] MASQUERADE
$IPTABLES -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING  -o $IF_EXT -j MASQUERADE

exit
 

Agradeço pelo ajuda!

px
(usa Debian)

Enviado em 30/09/2013 - 15:01h

Tenta assim:

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.0/25 -p tcp --dport 0:0 -j ACCEPT

ou assim

$IPTABLES -I FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.0/25 -p tcp --dport 0:0 -j ACCEPT

xstocler
(usa Outra)

Enviado em 30/09/2013 - 15:14h

Fiz os testes com as regras e nenhuma delas deu certo.
O site não acessa.

Agradeço pela ajuda!

px
(usa Debian)

Enviado em 30/09/2013 - 15:20h

tenta ir neste link aqui:

https://atendimentovirtual.sistemas.cesan.com.br:8443/AtendimentoVirtual/FaturaConsultaForm.jsp

quando tento acessar o site sem a :8443 atrás ele não abre!

PS: copie tudo e cole no navegador

xstocler
(usa Outra)

Enviado em 30/09/2013 - 15:30h

Com a porta ou sem, não consigo acessar!


Na verdade eu acesso o site http://www.cesan.com.br/?page_id=1165
que abre uma frame apontada pelo link que passei acima.

px
(usa Debian)

Enviado em 30/09/2013 - 15:34h

tenta adicionar a porta então

$IPTABLES -A INPUT -p tcp -i $IF_EXT -s XXX.XX.XX.XXX --dport 8443 -j ACCEPT

onde xxx.xx.xx.xxx é o seu ip local, da máquina que você esta usando para acessar o terminal

xstocler
(usa Outra)

Enviado em 30/09/2013 - 15:41h

Coloquei a seguinte regra:

$IPTABLES -A INPUT -p tcp -i $IF_EXT -s 10.1.1.75 --dport 8443 -j ACCEPT
 

Continuo sem acessar!

px
(usa Debian)

Enviado em 30/09/2013 - 16:39h

estranho... tem algo mais bloqueando ai (usa squid?), você esta digitando essas regras no servidor ou uma máquina comum? como é a arquitetura da rede?

EX:.

roteador < máquina < modem

xstocler
(usa Outra)

Enviado em 30/09/2013 - 16:47h

Funcionar da seguinte forma.
Existe algumas maquinas que tem acesso direto ao proxy 10.1.1.250:3128.

Esses usuários tem acesso liberado.

Os demais utiliza uma outra proxy e em alguns sites ele passa pelo proxy 10.1.1.250:3128.
Existe uma regra GPO para essa passagem de proxy.


::: Topologia

Sinal internet > Router > switch > (1) AP's para internet wifi
(2) Firewall (10.1.1.250)



Squid.conf

#Paginas em portugues de erro
error_directory /usr/share/squid/errors/pt-br

#Configuração de entrada
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl rede-local src 10.1.1.0/24
#Portas permitidas
acl Portas_permitidas port 443 80 21 22 70 210 280 488 591 777 5938
acl CONNECT method CONNECTi


# Regras pessonalizadas
acl macs_liberados arp "/etc/squid/macs-liberados"

http_access allow manager localhost
http_access deny manager

#Bloqueando todas as outras portas
http_access deny !Portas_permitidas
http_access deny CONNECT !Portas_permitidas

#Finalizações
http_access deny !macs_liberados
http_access allow rede-local
http_access allow localhost
http_access deny all

#Porta proxy
#http_port 3128 transparent
http_port 3128
visible_hostname XXXXXXX.com.br

# Uncomment and adjust the following to add a disk cache directory.
#cache_dir ufs /var/spool/squid 100 16 256

# Leave coredumps in the first cache dir
coredump_dir /var/spool/squid

# Add any of your own refresh_pattern entries above these.
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern -i (/cgi-bin/|\?) 0     0%      0
refresh_pattern .               0       20%     4320
~
~
 

px
(usa Debian)

Enviado em 30/09/2013 - 16:54h

tente adicionar a porta 8443 aqui:

acl Portas_permitidas port 443 80 21 22 70 210 280 488 591 777 5938 8443

xstocler
(usa Outra)

Enviado em 30/09/2013 - 17:20h

perfeito.

Foi adicionado..

Foi dado restart no service squid.

testei com as regras:

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT
 

ou

$IPTABLES -A INPUT -p tcp -i $IF_EXT -s 10.1.1.75 --dport 8443 -j ACCEPT
 

10.1.1.75 = IP Local da minha maquina


Não carregou a página!

px
(usa Debian)

Enviado em 30/09/2013 - 17:43h

hum... estranho... tem mais alguma coisa bloqueando a net ai? tente colocar seu ip na acl dos ips liberados em ultimo caso...