Liberando acesso total [RESOLVIDO]

magnolinux
(usa Debian)

Enviado em 04/12/2009 - 10:24h

Bom Dia amigos..

de forma alguma esse post se tornaria uma briga pessoal, como nosso amigo diode disse acima, é um debate que levara seu problema a ser resolvido.

Diode, li seu post acima e vc corrigiu o erro. Meus parabens, é bom convesar com alguem que realmente entende de firewall. Podemos abrir um post e debater com o assunto, assim aprender e a ensinar..

Estou a disposição para ajudar a resolver o problema..

Abraço a todos..

Flw...

Cr1stt0f3r
(usa Outra)

Enviado em 04/12/2009 - 10:38h

o problema ainda nao foi resolvido amigo..

Diede
(usa Debian)

Enviado em 04/12/2009 - 11:05h

Quanto a navegação:
Seu proxy está como forced, ou transparente?
Se não colocar o proxy, o browser fica procurando o site e não acha nada, ou cai numa mensagem de erro gerada pelo proxy?

Cr1stt0f3r
(usa Outra)

Enviado em 04/12/2009 - 11:22h

hm, eu apenas retirei a palavra transparent do squid, a pagina nao exiben nada, como se nao tivesse navegacao..

mas mesmo assim, nem todas as requisicoes foram liberadas..
ele apenas liberou parcialmente o torret..

magnolinux
(usa Debian)

Enviado em 07/12/2009 - 07:10h

Bom dia Cr1stt0f3r..

Somente para vc ter um melhor intendimento de como funciona o proxy transparent.

Para o proxy transparent funcionar é necessario configurar o proxy e o iptables.

Nas versões rescentes do proxy é só acrescentar a palavra "transparent"

port 3128 transparent

No iptables, é necessario criar um redirecionamento da porta 80 para 3128.

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

Feito isso, agora sim o proxy ira funcionar de forma transparent....

Flw... abraço..

Cr1stt0f3r
(usa Outra)

Enviado em 07/12/2009 - 07:46h

sim sim, entendo, mas em meu caso, o proxy transparente nao eh viavel devido ao numero de falhas que ele pode deixar passar, como ultrasurf e derivados..

mas no caso, mesmo com a regra q nosso amigo passou anteriormente, nao liberou totalmente o
IP, liberou apenas parcialmente o torrent, poderia me ajudar nisto ainda?

Desde já agradeço.

magnolinux
(usa Debian)

Enviado em 07/12/2009 - 10:02h

Claro que tem sim...

Então vai algumas dicas que podem resolver seu problema..

Primeiramente crie uma acl no squid liberando tudo para o ip do seu chefe. Abaixo colocarei um exemplo, lembre de colocar acima de qualquer regra restritiva.

acl chefe src IP_Chefe
http_access allow chefe

Proxy Pronto!!!

O firewall vc incluie essas duas linhas, para liberar que seu chefe possa trafegar dados em qualquer porta que não seja a 80.

iptables -t nat -A PREROUTING -s IP_Chefe -j RETURN

iptables -t filter -A FORWARD -s IP_Chefe -j ACCEPT

Depois disso, faça o teste e poste aqui...

Essas regras está liberando que seu chefe possa trafegar dados liberado na tabela NAT/FORWARD.

Mais uma vez, coloque essas regras acima da que possa bloqueala..

Flw...

Diede
(usa Debian)

Enviado em 07/12/2009 - 11:10h

"apenas retirei a palavra transparent do squid, a pagina nao exiben nada, como se nao tivesse navegacao.."
Mas, consta algo no access.log? Digo, as requisições estão chegando ao Squid?

magnolinux
(usa Debian)

Enviado em 07/12/2009 - 14:30h

E ae amigo...

Conseguiu testar...??

Flw..

cr1stt0f3r
(usa Outra)

Enviado em 08/12/2009 - 08:51h

Certo, a regra que chegou mais perto foi a do nosso amigo diede,
porem, parcialmente...

Diede, a tentativa de acesso sem proxy nao fica registrado no accesslog.

magno, tua dica nao funcionou.

magnolinux
(usa Debian)

Enviado em 08/12/2009 - 10:30h

Amigo...

existe alguma coisa errada nas suas conf...

impossivel nao funcionar.. Quando faz a liberação da porta 80 no proxy e o resto no firwall, a maquina fica livra para trafegar os dados...

Talvez alguma regra errada.. ou vc nao esta limpando as tabelas do iptables antes de aplicar as regras que te passei...

ou algum router aí ta bloqueando ....

Alguma coisa tem..

Good Lock !!!

Cr1stt0f3r
(usa Outra)

Enviado em 09/12/2009 - 11:21h

olá amigos, consegui algo com um amigo das antigas..

veja como ficou meu firewall:

iptables -F
iptables -t nat -F
iptables -t mangle -F

#compartilhamento de internet
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s 10.54.0.10 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -s ! 10.54.0.10 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -s 10.54.0.0 -j MASQUERADE


iptables -t nat -A PREROUTING -i eth1 -s 10.54.0.10 -j ACCEPT
iptables -t filter -A FORWARD -s 10.54.0.10 -j ACCEPT
iptables -t filter -A FORWARD -d 10.54.0.10 -j ACCEPT
iptables -t filter -A INPUT -s 10.54.0.10 -j ACCEPT
---------------------------



com estas regras, realmente funcionou oq eu queria, ele esta passando por fora do squid,
por nat.
nem faz registro no acess.log!
mas sendo assim, seria possivel fazer essas regras usando mac em vez de IP?
eu dei uma pesquisada, mas nao achei nada de acordo..
outra coisa tb, eh como fazer pro mac entrar nessa excessao na linha de redirecionamento de porta do squid..

sem colocar essa excessao na porta, nao adianta nada..

:S

provavalmente acabarei opnando pelo squid transparente, porem ainda estou implementando..

alguma ideia amigos?

Desde ja agradeço.