Como liberar ip e porta do validador livro eletrônico.

wellen cassio
(usa Debian)

Enviado em 10/04/2012 - 14:41h

Caros boa tarde,
Tenho um firewall rodando iptables e squid com proxy transparente em uma contabilidade e todo mês os funcionários enviam o livro eletrônico da (SEF) Secretaria do Estado da Fazenda do DF, mas o firewall barra e preciso liberar as portas 21,20,30002 e ips 200.193.237.150 | 189.77.117.161 | 200.193.237.158 para o envio dos arquivo.
A pergunta é como criar a regra liberando o acesso para toda a rede?
Meu range interno é 172.172.10.x
Obrigado.

Segue meu Firewall.

echo 1 > /proc/sys/net/ipv4/ip_forward

#Limpando e startando modulos
iptables -F
iptables -Z
iptables -X
iptables -t nat -X
iptables -t filter -F
iptables -t filter -X
iptables -t mangle -F
iptables -t mangle -X
modprobe iptable_nat

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Libera Conectividade Social Caixa Funcionando perfeito
iptables -I FORWARD -p tcp -d 200.201.160/20 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d 200.201.160/20 -j ACCEPT

#Bloqueia site pela porta 443
iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d www.orkut.com.br -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d twitter.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d www.meebo.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d www.facebook.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d www.facebook.com.br -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d www.imo.im -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d login.live.com -p tcp --dport 443 -j REJECT
iptables -A FORWARD -d hotmail.com -p tcp --dport 443 -j REJECT

#Bloqueia o messenger em toda rede
iptables -I FORWARD -s 192.168.10.0/24 -p tcp --dport 1863 -j DROP
iptables -A FORWARD -s 192.168.10.12 -p tcp --dport 5190 -j REJECT
iptables -A FORWARD -s 192.168.10.0/255.255.255.0 -d loginnet.passport.com -j REJECT

#Libera msn por ip
#iptables -A FORWARD -s 192.168.10.x/255.255.255.0 -p tcp --dport 1863 -j ACCEPT
#iptables -A FORWARD -s 192.168.10.x/255.255.255.0 -d loginnet.passport.com -j ACCEPT

#Abrir porta
iptables -A INPUT -p tcp --destination-port 47 -j ACCEPT
#iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --dport 1723 -j ACCEPT

#Liberando acesso ao Sistema Geovision GV800 CFTV Cameras Administrativo
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 9090 -j DNAT --to-destination 192.168.10.120
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 4550 -j DNAT --to-destination 192.168.10.120
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 5550 -j DNAT --to-destination 192.168.10.120
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 6550 -j DNAT --to-destination 192.168.10.120

#Agora as regras liberando no forward:
iptables -A FORWARD -p tcp --dport 9090 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5550 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6550 -j ACCEPT

#Liberando acesso ao Sistema Geovision GV800 CFTV Cameras Execelencia
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 9091 -j DNAT --to-destination 192.168.10.121
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 4551 -j DNAT --to-destination 192.168.10.121
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 5551 -j DNAT --to-destination 192.168.10.121
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 6551 -j DNAT --to-destination 192.168.10.121

#Agora as regras liberando no forward:
iptables -A FORWARD -p tcp --dport 9091 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5551 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6551 -j ACCEPT

#Liberando acesso ao Sistema Geovision GV800 CFTV Cameras Centro Medico
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 9092 -j DNAT --to-destination 192.168.10.122
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 4552 -j DNAT --to-destination 192.168.10.122
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 5552 -j DNAT --to-destination 192.168.10.122
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 6552 -j DNAT --to-destination 192.168.10.122

#Agora as regras liberando no forward:
iptables -A FORWARD -p tcp --dport 9092 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4552 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5552 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6552 -j ACCEPT

#Liberando Terminal Server com porta alterada
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 4593 -j DNAT --to-destination 192.168.10.1
iptables -A FORWARD -p tcp --dport 4593 -j ACCEPT

#Protecao contra Worms
iptables -I FORWARD -p tcp --dport 135 -i eth0 -j DROP

#Protecao contra Syn-Flood
iptables -I FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

#Protecao contra ping da morte
iptables -I FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Descarte de pacotes nao-identificado ICMP (ping)
iptables -A OUTPUT -m state -p icmp --state INVALID -j DROP

#Contra DoS
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT

#Bloqueando Port Scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#Bloquear pings da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#Bloquear Back Orifice
iptables -A INPUT -p tcp --dport 31337 -j DROP
iptables -A INPUT -p udp --dport 31337 -j DROP

#Bloquear NetBus
iptables -A INPUT -p tcp --dport 12345:12346 -j DROP
iptables -A INPUT -p udp --dport 12345:12346 -j DROP

#Protege contra os "Ping of Death"
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT

#Bloqueando tracertroute
iptables -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

#Protecao contra ataques dentro da rede local
iptables -A INPUT -m state --state INVALID -j REJECT

exit 0

removido
(usa Nenhuma)

Enviado em 10/04/2012 - 14:51h

Iaê Cassio!!!! Só di buenas???

Isso é só uma ideia... Mas já funcionaria.

# ---> Secretaria do Estado da Fazenda do DF

REDE=172.172.10.0/24

FAZENDA=200.193.237.150

FAZENDA2=189.77.117.161

FAZENDA3=200.193.237.158

iptables -A FORWARD -p ALL -s $REDE -d $FAZENDA -j ACCEPT

iptables -A FORWARD -p ALL -s $FAZENDA -d $REDE -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -s $REDE -d $FAZENDA -j MASQUERADE

iptables -A FORWARD -p ALL -s $REDE -d $FAZENDA2 -j ACCEPT

iptables -A FORWARD -p ALL -s $FAZENDA2 -d $REDE -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -s $REDE -d $FAZENDA2 -j MASQUERADE

iptables -A FORWARD -p ALL -s $REDE -d $FAZENDA3 -j ACCEPT

iptables -A FORWARD -p ALL -s $FAZENDA3 -d $REDE -j ACCEPT

iptables -t nat -A POSTROUTING -p tcp -s $REDE -d $FAZENDA3 -j MASQUERADE

 

OBS: Dessa forma eu libero tudo desses ips!

andrecanhadas
(usa Debian)

Enviado em 10/04/2012 - 15:32h

Precisa ver que esta barrando se é o firewall ou o squid.

Posta seu firewall para ver o que deve ser feito.

wellen cassio
(usa Debian)

Enviado em 10/04/2012 - 16:43h

Fala Amarildo que surpresa!!!
Boa sua dica mas, continua bloqueado segue meu firewall.
Obrigado por ajudar.

wellen cassio
(usa Debian)

Enviado em 10/04/2012 - 16:46h

andrecanhadas Obrigado por ajudar enviei meu firewall para analizar.

andrecanhadas
(usa Debian)

Enviado em 10/04/2012 - 17:00h

Com as regras do Amarildo no firewall já era pra funcionar então o bloqueio deve ser do squid.

Tente em conjunto com as regras do Amarildo adicionar antes da regra que direciona o trafego para a porta do squid.

iptables -t nat -A PREROUTING -i eth1 -d 200.193.237.150 -j RETURN

iptables -t nat -A PREROUTING -i eth1 -d 189.77.117.161 -j RETURN

iptables -t nat -A PREROUTING -i eth1 -d 200.193.237.158 -j RETURN

 

Isso vai tirar o acesso a esses IP's fora do squid

wellen cassio
(usa Debian)

Enviado em 10/04/2012 - 21:37h

andrecanhadas
(usa Debian)

Enviado em 10/04/2012 - 22:10h

Antes da regra do redirecionamento para o squid:

iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 200.193.237.150 --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 189.77.117.161 --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i eth1 -p tcp ! -d 200.193.237.158 --dport 80 -j REDIRECT --to-port 3128

 

Tente ver o log do squid durante as tentativas de acesso:

tail -f /var/log/squid3/access.log | grep IP da maquina que tentou acesso ou nome se for autenticado

 

wellen cassio
(usa Debian)

Enviado em 10/04/2012 - 22:27h

Eu já havia tentado. Olha o resultado
1334105136.129 1 172.172.10.27 TCP_MEM_HIT/200 11712 GET http://www.livroeletronico.fazenda.df.gov.br/configuracao.xml - NONE/- text/xml
1334105993.701 1 172.172.10.27 TCP_MEM_HIT/200 11712 GET http://www.livroeletronico.fazenda.df.gov.br/configuracao.xml - NONE/- text/xml
1334106725.943 1 172.172.10.27 TCP_MEM_HIT/200 11712 GET http://www.livroeletronico.fazenda.df.gov.br/configuracao.xml - NONE/- text/xml
1334106988.263 1 172.172.10.27 TCP_MEM_HIT/200 11712 GET http://www.livroeletronico.fazenda.df.gov.br/configuracao.xml - NONE/- text/xml
1334107372.013 1 172.172.10.27 TCP_MEM_HIT/200 11712 GET http://www.livroeletronico.fazenda.df.gov.br/configuracao.xml - NONE/- text/xml

e para ai, não envia.

wellen cassio
(usa Debian)

Enviado em 10/04/2012 - 22:28h

Tentei também tcpdump olha o resultado
root@UBUNTU:/home/nttech# tcpdump -i any dst 172.172.10.27
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
00:59:45.699724 IP resolver3.gvt.net.br.domain > ACAC0A1B.ipt.aol.com.61639: 21146 2/0/0[|domain]
00:59:45.875422 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [S.], seq 3197584144, ack 1439352432, win 64240, options [mss 1452,nop,wscale 0,nop,nop,sackOK], length 0
00:59:46.204105 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 1:1453, ack 78, win 64163, length 1452
00:59:46.204836 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 1453:2905, ack 78, win 64163, length 1452
00:59:46.213227 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 2905:4357, ack 78, win 64163, length 1452
00:59:46.213968 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 4357:5809, ack 78, win 64163, length 1452
00:59:46.214090 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [P.], seq 5809:5891, ack 78, win 64163, length 82
00:59:46.250376 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [P.], seq 5891:5934, ack 388, win 63853, length 43
00:59:46.327000 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [P.], seq 5934:5959, ack 997, win 63244, length 25
00:59:46.338857 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 5959:7411, ack 1102, win 63139, length 1452
00:59:46.339584 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 7411:8863, ack 1102, win 63139, length 1452
00:59:46.341037 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 8863:10315, ack 1102, win 63139, length 1452
00:59:46.341161 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 10315:11767, ack 1102, win 63139, length 1452
00:59:46.342028 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 11767:13219, ack 1102, win 63139, length 1452
00:59:46.342792 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], seq 13219:14671, ack 1102, win 63139, length 1452
00:59:46.343211 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [P.], seq 14671:15617, ack 1102, win 63139, length 946
00:59:46.385873 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], ack 4006, win 62788, length 0
00:59:46.389815 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], ack 4006, win 64240, length 0
00:59:46.430230 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [.], ack 5559, win 64139, length 0
00:59:46.454126 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [P.], seq 15617:15676, ack 5559, win 64139, length 59
00:59:47.590118 IP 189.9.35.69.https > ACAC0A1B.ipt.aol.com.1117: Flags [P.], seq 15676:16862, ack 5559, win 64139, length 1186
00:59:50.698724 ARP, Request who-has ACAC0A1B.ipt.aol.com tell ACAC0AFE.ipt.aol.com, length 28
00:59:53.696937 IP resolver3.gvt.net.br.domain > ACAC0A1B.ipt.aol.com.52449: 55703[|domain]
00:59:53.698782 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [S.], seq 733624807, ack 204699710, win 5840, options [mss 1460,nop,nop,sackOK,nop,wscale 6], length 0
00:59:53.699944 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], ack 336, win 108, length 0
00:59:53.700189 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [P.], seq 1:497, ack 336, win 108, length 496
00:59:53.700218 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], seq 497:1957, ack 336, win 108, length 1460
00:59:53.700227 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], seq 1957:3417, ack 336, win 108, length 1460
00:59:53.701308 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], seq 3417:4877, ack 336, win 108, length 1460
00:59:53.701315 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], seq 4877:6337, ack 336, win 108, length 1460
00:59:53.701321 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], seq 6337:7797, ack 336, win 108, length 1460
00:59:53.702110 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], seq 7797:9257, ack 336, win 108, length 1460
00:59:53.702119 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [.], seq 9257:10717, ack 336, win 108, length 1460
00:59:53.702126 IP fazenda.df.gov.br.www > ACAC0A1B.ipt.aol.com.1119: Flags [P.], seq 10717:11713, ack 336, win 108, length 996
01:00:40.723249 IP resolver3.gvt.net.br.domain > ACAC0A1B.ipt.aol.com.64917: 22575 2/0/0[|domain]
01:00:40.762457 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [S.], seq 2864919619, ack 2943927049, win 17424, options [mss 1452,nop,wscale 0,nop,nop,sackOK], length 0
01:00:40.801915 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 1:57, ack 1, win 17424, length 56
01:00:40.841261 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 57:98, ack 20, win 17405, length 41
01:00:40.881190 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 98:132, ack 37, win 17388, length 34
01:00:40.919877 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 132:168, ack 43, win 17382, length 36
01:00:40.958060 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 168:188, ack 51, win 17374, length 20
01:00:40.996473 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 188:216, ack 57, win 17368, length 28
01:00:41.035420 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 216:245, ack 64, win 17361, length 29
01:00:41.076570 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 245:274, ack 79, win 17346, length 29
01:00:41.118188 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 274:304, ack 104, win 17319, length 30
01:00:41.157950 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 304:375, ack 124, win 17299, length 71
01:00:45.722724 ARP, Request who-has ACAC0A1B.ipt.aol.com tell ACAC0AFE.ipt.aol.com, length 28
01:01:01.343539 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 375:408, ack 124, win 17299, length 33
01:05:29.524570 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [P.], seq 408:464, ack 124, win 17299, length 56
01:05:29.524911 IP fazendasrv009.fazenda.df.gov.br.ftp > ACAC0A1B.ipt.aol.com.1120: Flags [FP.], seq 464:493, ack 124, win 17299, length 29
01:05:29.525383 ARP, Reply ACAC0AFE.ipt.aol.com is-at 00:0f:ea:d2:20:c5 (oui Unknown), length 28

andrecanhadas
(usa Debian)

Enviado em 10/04/2012 - 23:24h

Estranho não tenta acessar nada alem daqueles IP's mesmo no squid tb não ta barrando.

Só imagino mais uma coisa que pode ser:

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT  # Somente se não funcionar com a de cima

 

Se for FTP passivo vai ter que permitir a entrada de conexões abertas pela sua rede.

removido
(usa Nenhuma)

Enviado em 11/04/2012 - 00:30h

Iaê André! Beleza?

Curte que os ips internos dele são validos "172.172.10.27=ACAC0A1B.ipt.aol.com", creio que isso possa está atrapalhando em relação a portas de ftp. Oque acha?

Curte...

# traceproto -H 1 -o p -d 21 172.172.10.27
/usr/bin/traceproto: Option '-o' is not implemented in this wrapper
traceroute to 172.172.10.27 (172.172.10.27), 30 hops max, 60 byte packets
1 65.99.215.1 (65.99.215.1) 0.425 ms
2 65.99.204.69 (65.99.204.69) 1.018 ms
3 *
4 te0-1-0-7.ccr22.dfw01.atlas.cogentco.com (154.54.0.121) 6.128 ms
5 te0-0-0-3.mpd22.iah01.atlas.cogentco.com (154.54.0.201) 6.268 ms
6 te0-1-0-3.mpd22.atl01.atlas.cogentco.com (154.54.5.54) 33.198 ms
7 te0-2-0-3.mpd22.dca01.atlas.cogentco.com (154.54.2.102) 32.851 ms
8 te0-1-0-1.mpd22.iad02.atlas.cogentco.com (154.54.26.122) 33.142 ms
9 pop1-ash-xe-0-2-0.atdn.net (66.185.141.205) 32.822 ms
10 dar1-mtc-xe-1-1-0.atdn.net (66.185.151.102) 34.029 ms
11 *
12 *
13 *
14 *
15 *
16 *
17 *
18 *
19 *
20 *
21 *
22 *
23 *
24 *
25 *
26 *
27 *
28 *
29 *
30 *

Tinha que fazer um traceproto no ip real do link também.
No tcpdump não tem referencia a porta 21.

Testa assim:

# tcpdump -i eth0 dst port 21