Liberação de Portas - Squid/Iptables [RESOLVIDO]

rfontoura
(usa Debian)

Enviado em 14/04/2014 - 12:15h

bom dia galera, estou implantando squid com autenticação em um supermercado.

está rodando ok, só tem um problema que não entendo muito de Firewall,
e está acontecendo que quando o gateway é meu servidor não consigo o
acesso remoto do suporte da SGSistemas, não estou conseguindo liberar
as portas no firewall, e o suporte deles não tem uma PORTA DESTINADA
pra cada máquina, e preciso liberar a porta 8081, 9099 2222 - 5501:55600

é possivel liberar essas portas pra rede ex.: 192.168.1.0/24 ou qual outra forma?

obrigado.

rfontoura
(usa Debian)

Enviado em 14/04/2014 - 12:46h

existe uma maneira de fazer as máquinas especificas dos caixas passarem por fora do firewall e do squid?

souzacarlos
(usa Outra)

Enviado em 14/04/2014 - 13:40h

Boa tarde.

Estou levando em consideração que vc quer acessar esse sistema remotamente certo?


primeiro a NAT

iptables -t nat -A PREROUTING -i eth0 -p tcp -m multiport --dport 8081,9099,2222 # ETH0= Interface ligada a internet.


depois a FORWARD

iptables -A FORWARD -d ip_meu_servidor_de_cameras -p tcp -m multiport --dport 8081,9099,2222



Essa aqui serve para conexões relatadas ou estabelecidas, evita que vc crie regras de retorno para tudo

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


Obs: Com relação as portas altas que vc quer liberar não há necessidade, quem inicia a comunicação nessas portas são os clientes para acesso, então vc só precisa apontar o destino e aplicar as regras.


Obs2: Favor atentar a outras regras de firewall que possam implicar nessas.

Aguardo.

rfontoura
(usa Debian)

Enviado em 15/04/2014 - 12:37h

souzacarlos bom dia, essas regras que você mencionou,

iptables -A FORWARD -d ip_meu_servidor_de_cameras -p tcp -m multiport --dport 8081,9099,2222

ela seria ip_meu_servidor_squid. onde o squid esta instalado? para que quando chamasse o suporte na máquina, ela aceitasse a conexâo???

obrigado vou testar agora a tarde

souzacarlos
(usa Outra)

Enviado em 17/04/2014 - 00:37h

Boa noite.

Cara essas regras vão se postas no servidor que troca informações com a internet, se é o mesmo que onde está instalado o squid ai tudo bem

rfontoura
(usa Debian)

Enviado em 25/04/2014 - 11:40h

bom dia, resolvi o problema com essa regra
#Libera porta (HTTP)
iptables -A INPUT -s $LAN -p tcp --dport 8081 -j ACCEPT
iptables -A INPUT -s $LAN -p udp --dport 8081 -j ACCEPT

souzacarlos
(usa Outra)

Enviado em 25/04/2014 - 11:47h

=====================================

Bom dia.

Dá uma olhada na tua pergunta, e depois avalia sua solução para o problema, vê se faz sentido oq vc perguntou!!!

Abraços...

rfontoura
(usa Debian)

Enviado em 25/04/2014 - 16:24h

bom, o grande problema é que não consegui explicar o meu cenário na realidade, não consegui expressar em palavras, na realidade, a porta 8081 é usada por um programa na rede que vai para o host 177.72.161.165

usei o parametro
#Libera porta (HTTP)
iptables -A INPUT -s $LAN -p tcp --dport 8081 -j ACCEPT
iptables -A INPUT -s $LAN -p udp --dport 8081 -j ACCEPT

em seguida,

#Libera IP (SGHOST) - NOTA FISCAL
iptables -I FORWARD -p tcp --dport 8081 -d 177.72.161.165 -j ACCEPT
105 iptables -I FORWARD -p tcp --dport 8081 -d 177.72.161.165 -j ACCEPT

em seguida

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8081 -d 177.72.161.165 -j RETURN
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 8081 -d 177.72.161.165 -j RETURN

e por último
#Sistema SGHost Nota Fiscal nao passando pelo squid
iptables -t nat -A PREROUTING -i $ifaceInt -p tcp ! -d 177.72.161.165 --dpor t 8081 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i $ifaceInt -p tcp ! -d 177.72.161.165 --dpor t 8081 -j REDIRECT --to-port 3128


agora a porta 9099 não precisei liberar,


a porta 2222 ela vem externa, e dentro da rede converte para 22

#Libera porta ssh externo
iptables -A INPUT -p tcp --dport 2222 -i $ifaceInt -j ACCEPT
iptables -A INPUT -p tcp --dport 2222 -i $ifaceExt -j ACCEPT

#Redireciona porta 2222 para 22
iptables -t nat -A PREROUTING -p tcp --dport 2222 -j DNAT --to-destination 192.168.1.101:22


ai agora veja se faz sentido,

desculpa a resposta meio superficial anterior, mas eu estava no trabalho e com pressa, mais tarde iria detalhar bem mais.

souzacarlos
(usa Outra)

Enviado em 25/04/2014 - 22:55h

Que nada cara, "tamo" pra somar!!!