firewall no Debian 6.0.3 [RESOLVIDO]

61. Re: firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 11:54h

Boa dica... irei fzer isso posterior.

Então... o meu squid está OK. Certo?
Alguma coisa no firewall.sh ou no squid.conf nao está divulgando para o cliente o proxy.

0 0

Quote

62. Re: firewall no Debian 6.0.3 [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 13:04h

Vamos lá então, seu squid está transparente, o redirecionamento da porta 80 para 3128 já está sendo feito certo?

Altera a regra que direciona o tráfego para porta 3128, coloca assim

iptables -t nat -A PREROUTING -s SUA_REDE_LOCAL/MASCARA -p tcp --dport 80 -j REDIRECT --to-port 3128

no seu caso ficaria isso? Verifique seu range de ip

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

faça o teste ai

0 0

Quote

63. Re: firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 13:43h

fiz a devida alteração. Mas o cliente NÃO navegou sem o proxy no navegador.

o que mais podemos fazer?

0 0

Quote

64. Re: firewall no Debian 6.0.3 [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 13:47h

Qual a página inicial do navegador, veja se esta página está bloqueada por padrão, tente colocar a página como liberada,
cria uma acl com o site e tente navegar....

Detalhe tente colocar a regra de liberação deste site, acima das regras onde você bloqueia os demais sites.

0 0

Quote

65. Re: firewall no Debian 6.0.3 [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 13:54h

Cara, tudo parece certo! Tente revisar as linhas do seu firewall, tem alguma coisa no redirecionamento da porta 80 para 3128!

0 0

Quote

66. Re: firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 14:05h

então DMS.
Está tudo OK aparentemente o direcionamento. Tanto com o 1° iptables quanto com o 2º nao navega.

##########PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID(3128)
#---------------------------------------------------------------------------------
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------------------------------------------------------------------

Creio que nao seja nenhum bloqueio de sites no squid. Pois mesmo os sites que estão habilitados também nao abre no navegador, e o erro do navegador não é aquele do proxy quando bloqueia um site, e sim, o erro padrão do navegador quando nao está conectado.

-----------------------------------------------------
"O Internet Explorer não pode exibir a pagina da Web"
Você pode tentar:

Diagnosticar Problemas de Conexao

Mais informaçoes
------------------------------------------------------

0 0

Quote

67. Re: firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 14:19h

Dei este comando (bash -x)e apareceu isso! O que este comando faz na verdade, verifica erro de script? se SIM tem algum erro nesta parte que apareceu?
.
.
.
.
.

#--------------------------------------------------
root@dhcpserver:~# bash -x /etc/init.d/firewall.sh

+ case "$1" in
+ echo 'Use parametros start | stop | reload'
Use parametros start | stop | reload

root@dhcpserver:~#
#--------------------------------------------------

Esta parte que apareceu acima no arquivo "firewall.sh"

#--------------------------------------------------
case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start | stop | reload" ;;

esac
#--------------------------------------------------

0 0

Quote

68. Re: firewall no Debian 6.0.3 [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 14:34h

No seu proxy você está bloqueando a porta 80, ou apenas redirecionando ela pra 3128?

Cara, o que sugiro e reformular seu firewall, ele está cheio de regras!

Primeiro monte um firewall do 0 com a função apenas de distribuir a internet, e redirecionar porta 80 para 3128, e libere também as portas 80 e 3128.
Veja no que da!

0 0

Quote

69. Re: firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 14:39h

A intenção é redirecionar. Para todo o tráfego da porta 80 passar primeiro pelo squid (3128)

0 0

Quote

70. Re: firewall no Debian 6.0.3 [RESOLVIDO]

saitam
(usa Slackware)

Enviado em 11/01/2012 - 14:40h

rubens_web escreveu:

Galera do VOL, bom dia!

Antes eu estava com o Debian 5, atualizei para o Debian 6 quando eu restaurei o bkp do firewall.sh para o diretório /etc/init.d o firewall não está roteando.

Tipo:
- No servidor eu consigo pingar para WEB e para dentro de minha rede.
- de um PC eu consigo pinga o meu servidor pela rede local.

Mas quando eu estou com o PC configurado com o Servidor como Gateway não consigo navegar, Porque?

disposição das placas
eth0 = redelocal (onbord)
eth1 = internet (offboard)

Segue meu firewall.sh

#-----------------------------------------------------------------------------
#! /bin/bash

start(){
echo "Firewall iniciando ....................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#REGRAS FIREWALL

##########HABILITA O ROTEAMENTO
#-------------------------------------
echo 1 > /proc/sys/net/ipv4/ip_forward
#-------------------------------------

##########FAZ O ROTEAMENTO DA REDE INTERNA PARA WEB
#---------------------------------------------------------------------
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
#---------------------------------------------------------------------

##########PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID(3128)
#---------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------------------------------------------------------------------

##########POLITICA FIREWALL
#--------------------------
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#---------------------------

#########BLOQUEIO ULTRASURF (NAO BLOQUEIA - VERIFICAR)
#Tarefa: bloquear porta 443 para todos os IPS do que estao no arquivo "ip_ultrasurf.txt"
#---------------------------------------------------------------------------------------
# for i in $(cat /etc/squid/regras/ip_ultrasurf.txt | grep -e ^[0-9] | cut -d: -f1)
# do
# iptables -A FORWARD -p tcp --dport 443 -s 0/0 -d ${i} -j DROP
# iptables -A FORWARD -p tcp --dport 443 -s ${i} -d 0/0 -j DROP
# done
#---------------------------------------------------------------------------------------

##########LIBERA ACESSO CAMERAS
#-------------------------------------------------------------------------------------------------------
#DVR (STAND ALONE)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 3630 -j DNAT --to-destination 192.168.1.XX
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6236 -j DNAT --to-destination 192.168.1.XX

#PC (CAM3)
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 6261 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 4051 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 5051 -j DNAT --to-destination 192.168.1.YY
#-------------------------------------------------------------------------------------------------------

##########LIBERA ACESSO PC-CPD
#------------------------------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -p tcp -d MEU_IPFIXO --dport 80 -j DNAT --to-destination 192.168.1.YYY
#------------------------------------------------------------------------------------------------------

##########LIBERA PORTAS
#----------------------------------------------------
#LIBERA SSH (PUTTY)
#iptables -A INPUT -s 0/0 -p tcp --dport 22 -j ACCEPT
#iptables -A FORWARD -s 0/0 -p tcp --dport 22 -j ACCEPT
#iptables -A INPUT -s 0/0 -p tcp --dport 3128 -j ACCEPT
#iptables -A FORWARD -s 0/0 -p tcp --dport 3128 -j ACCEPT
#----------------------------------------------------

##########BLOQUEIA PORTA MSN
#------------------------------------------------
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp --dport 5223 -j REJECT
#------------------------------------------------

echo "Firewall ativado! ........................ [OK]";
}

stop (){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

#Compartilha a conexao
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE

#Direciona redelocal para web
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "Compartilhadmento da rede ativo .................. [OK]";
echo "Firewall desativado .............................. [OK]";
}

case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start | stop | reload" ;;

esac

Faltou carregar os módulos do iptables
coloque no início do seu script firewall e inicia o script depois



#carrega módulos

/sbin/modprobe ip_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_queue

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_state

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_multiport

/sbin/modprobe ipt_mac

/sbin/modprobe ipt_string

verifique se foi carregado as regras #iptables -L

0 0

Quote

71. Re: firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 14:59h

"saitam", coloquei os módulos conforme orientou. Mas NÃO funcionou no cliente. Funciona apenas quando eu config. o proxy no navegador do cliente. E o objetivo é não precisar configurar o PROXY no navegador do cliente.

meu "firewall.sh" atual
-------------------------

#!/bin/bash

start(){
echo "Firewall iniciando ....................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

# eht0 = redelocal (onboard)
# eth1 = web (offboard)

##########POLITICA PADRAO
#-------------------------
echo "Politica padrao ativada";
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#-------------------------

##########CARREGANDO MODULOS IPTABLES
#-------------------------------------
/sbin/modprobe ip_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_mac
/sbin/modprobe ipt_string
#-------------------------------------

##########HABILITANDO COMPARTILHAMENTO DA INTERNET
#---------------------------------------------------
echo "Compartilhamento Ativado";
#modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -A OUTPUT -s 192.168.1.0/24 -m multiport -p tcp --dport 80,53 -j ACCEPT
iptables -A OUTPUT -s 192.168.1.0/24 -m multiport -p udp --dport 80,53 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth0 -j ACCEPT
#---------------------------------------------------

##########PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID(3128)
#---------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------------------------------------------------------------------

##########LIBERA PORTAS
#---------------------------------------------------
#LIBERA SSH (PUTTY)
echo "Portas ssh liberadas";
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22 -j ACCEPT
iptables -A FORWARD -p tcp --dport 22 -j ACCEPT

#---------------------------------------------------

echo "Firewall ativado! ........................ [OK]";
}

stop (){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

echo "Firewall desativado .............................. [OK]";
}

case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start | stop | reload" ;;

esac
#----------------------------------------------------------------------

0 0

Quote

72. Re: firewall no Debian 6.0.3 [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 15:07h

Cara no seu compartilhamento a linha

modprobe iptable_nat

Está comentada com o #
Descomente ela e teste, se não der, faça o que eu te disse cara! FAZ um script basico só distribuindo a internet e redirecionando porta 80 pra 3128 e liberando essas portas!

0 0

Quote