Liberar IP externo no firewall [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 01/03/2012 - 14:26h

Os IPs são esses:
200.180.72.107
200.247.221.35
Eles são ips externos.

As regras está no meu servidor firewall/dhcp/squid.
Os servidores que tem esses IPs é de uma empresa tercerizada, é para manipular XML.

O estranho que o aplicativo do sistema (desktop) instalado fica OFFLINE, não sendo possível se logar.
Quando eu uso uma outra rede internet que não passa pelo meu firewall funfa normal.

O firewall está por algum motivo barrando estes IPs, e o mais estranho ainda que o meu PC é full na rede.

Ajuda ai Galera!

removido
(usa Nenhuma)

Enviado em 01/03/2012 - 14:33h

Quais são as regras que estão atualmente no teu firewall ?

O Proxy está bloqueando o ip da máquina que usa para acessar esses endereços ?

rubens_web
(usa Debian)

Enviado em 01/03/2012 - 15:14h

#! /bin/sh
# chkconfig: 235 99 10
# description: Start or stop the Webmin server
#
### BEGIN INIT INFO
# Provides: webmin
# Required-Start: $network $syslog
# Required-Stop: $network
# Default-Start: 2 3 5
# Default-Stop: 0 1 6
# Description: Start or stop the Webmin server
### END INIT INFO


#! /bin/bash

#Variaveis
ifaceExt="eth0"; #acesso internet (offboard)
ifaceInt="eth1"; #acesso intranet (rede interna) (onboard)
LAN="192.168.1.0/24"; #rede local
WAN="XXX.XXX.XXX.XX"; #ip fixo radio

#Carrega modulos
/sbin/modprobe ip_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_queue
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_nat
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_state
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_multiport
/sbin/modprobe ipt_mac
/sbin/modprobe ipt_string
/sbin/modprobe ipt_MASQUERADE

start(){
echo "Firewall iniciado ...................... [OK]";
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao INPUT=DROP | OUTUPT=ACCEPT | FORWARD=DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Bloqueia porta (HTTPS)
#iptables -A FORWARD -s $LAN -p tcp --dport 443 -j DROP

#Bloquei ping externo para o servidor (ICMP)
iptables -A INPUT -i $ifaceExt -p icmp --icmp-type 8 -j DROP

#LIBERANDO PORTAS
#--------------------------------------------------------------------------------------------------------
#Libera porta ssh
iptables -A INPUT -p tcp --dport 22 -i $ifaceInt -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -i $ifaceExt -j ACCEPT

#Libera porta (HTTP)
iptables -A INPUT -s $LAN -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s $LAN -p udp --dport 80 -j ACCEPT

#Libera porta (FTP)
#iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -i $ifaceExt -p tcp --dport 20:21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -i $ifaceExt -p tcp --sport 20:21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -p tcp -s $LAN -d $WAN --dport 21 -j ACCEPT
#iptables -A FORWARD -p tcp -s $LAN -d $WAN --dport 20 -j ACCEPT

#Libera porta (DNS)
iptables -A INPUT -s $LAN -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s $LAN -p udp --dport 53 -j ACCEPT

#Libera porta (SQUID)
iptables -A INPUT -s $LAN -p tcp --dport 3128 -j ACCEPT

#Libera portas (SAMBA)
iptables -A INPUT -s $LAN -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s $LAN -p udp --dport 139 -j ACCEPT

#Libera portas para acesso ao servidor (APACHE)
iptables -A FORWARD -p tcp --destination-port 80 -j ACCEPT

#Libera IP (CLIPASNET)
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d 200.180.72.107 -j ACCEPT
iptables -A FORWARD -p tcp --dport 80 -d 200.247.221.35 -j ACCEPT
#--------------------------------------------------------------------------------------------------

#Permite pacotes transmitidos atraves da interface de loopback (localhost)
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $ifaceInt -j ACCEPT
iptables -A INPUT -i $ifaceExt -j ACCEPT

#Compartilha a conexao disponivel na interface de internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE
echo "Compartilhamento de rede ativo";

#Permitindo e filtrando conexao estabelecidas
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -s $LAN -o $ifaceExt -j ACCEPT

#Proxy squid
iptables -t nat -A PREROUTING -i $ifaceInt -p tcp --dport 80 -j REDIRECT --to-port 3128


#ROTA ACESSO SISTEMA BKP (APACHE)
#----------------------------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i $ifaceExt -p tcp -m multiport --dports 21,80 -j DNAT --to-destination 192.168.1.61
iptables -t nat -A POSTROUTING -o $ifaceExt -j MASQUERADE
iptables -t nat -A POSTROUTING -d 192.168.1.61/32 -j SNAT --to-source 192.168.1.50
#----------------------------------------------------------------------------------------------------

echo "Firewall ativado! ...................... [OK]";
}

stop(){
#limpa as regras
iptables -F
iptables -X
iptables -Z
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

#Politica padrao
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#Compartilha a conexao disponivel na interface de internet
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE
echo "Compartilhamento de rede ativo";

#Permitindo e filtrando conexao estabelecidas
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t filter -A FORWARD -s $LAN -o $ifaceExt -j ACCEPT

#Proxy squid
iptables -t nat -A PREROUTING -i $ifaceInt -p tcp --dport 80 -j REDIRECT --to-port 3128

echo "Firewall desativado! ................... [OK]";
}

case "$1" in
"start") start ;;
"stop") stop ;;
"reload") stop; start ;;
*)
echo "Use parametros start|stop|reload" ;;

esac


###############
A linha comentada #Libera IP (CLIPASNET) onde está a liberação que eu quero.

removido
(usa Nenhuma)

Enviado em 01/03/2012 - 15:23h

Bom... pelo o que entendi até agora é que quer liberar o acesso da rede interna para os ips 200.180.72.107 200.247.221.35.

Então pode fazer assim :

# iptables -I FORWARD -d 200.180.72.107 -j ACCEPT
# iptables -I FORWARD -d 200.247.221.35 -j ACCEPT

neste caso estará colocando as regras no inicio da tabela FORWARD


Como você tem um Proxy também, verifique no arquivo de configuração do squid se não tem nenhum bloqueio para esses endereços, caso tenha tire, pois nas regras do script observei regras aceitando trafego para a porta 80 desses ips externos.

rubens_web
(usa Debian)

Enviado em 01/03/2012 - 16:48h

Fiz o que orientou mas mesmo assim NÃO funfo!
Meu IP local está liberado no squid. Tenho acesso a qualquer site, msn, orkut, facebook. Diferente dos usuários comuns que nego tudo e libero o que é necessário.

rubens_web
(usa Debian)

Enviado em 01/03/2012 - 17:07h

Help!

removido
(usa Nenhuma)

Enviado em 01/03/2012 - 17:11h

A máquina que roda as aplicações que deseja acessar tem algum firewall ativado ou outro tipo de proteção ?

Essa aplicação trabalha usando esses dois ips trabalhando em qual porta ?

Mas as outras máquinas está com acesso liberado no squid para estes endereços que deseja liberar acesso ?

rubens_web
(usa Debian)

Enviado em 01/03/2012 - 17:25h

Estes IPs que quero desbloquear, é o serviço contratado pela empresa tercerizada. Este sistema já opera em outras filiais, porém nas outras filiais não tem FIREWALL na rede interna. Já aqui onde estou tentando implantar este sistema (desktop) não estou conseguindo, pois o meu FIREWALL está bloqueando por algum motivo.

Testando com meu link de backup que não passa pelo firewall, funfa beleza.

Então, respondendo o que perguntou, nao deve ter firewall nestes IPs que quero acessar, pois é já é um sistema que operamos na empresa a muito tempo.

phrich
(usa Slackware)

Enviado em 01/03/2012 - 17:25h

cara vc testou a conexão com o tcpdump como eu falei?

no programa tem alguma opção para setar o proxy?

rubens_web
(usa Debian)

Enviado em 02/03/2012 - 08:19h

Não conheço este tcpdump, tentei realizar o comando que mencionou mas é invalido. Tenho que instalar ele?

phrich
(usa Slackware)

Enviado em 02/03/2012 - 09:02h

sim!

apt-get install tcpdump

rubens_web
(usa Debian)

Enviado em 02/03/2012 - 09:45h

Instalei e dei o comando, VEJA:


root@dhcpserver:~# tcpdump -i any host 200.180.72.107
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on any, link-type LINUX_SLL (Linux cooked), capture size 65535 bytes
09:41:57.543794 IP 192.168.1.114.4667 > 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www: Flags [S], seq 2742709675, win 65535, options [mss 1460,nop,nop,sackOK], length 0
09:41:57.543812 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [S.], seq 1123009575, ack 2742709676, win 5840, options [mss 1460,nop,nop,sackOK], length 0
09:41:57.544009 IP 192.168.1.114.4667 > 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www: Flags [.], ack 1, win 65535, length 0
09:41:57.544880 IP 192.168.1.114.4667 > 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www: Flags [P.], seq 1:319, ack 1, win 65535, length 318
09:41:57.544895 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [.], ack 319, win 6432, length 0
09:41:57.545319 IP 192.168.1.114.4667 > 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www: Flags [P.], seq 319:655, ack 1, win 65535, length 336
09:41:57.545327 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [.], ack 655, win 7504, length 0
09:41:57.545421 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [P.], seq 1:320, ack 655, win 7504, length 319
09:41:57.545435 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [.], seq 320:1780, ack 655, win 7504, length 1460
09:41:57.545439 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [P.], seq 1780:2071, ack 655, win 7504, length 291
09:41:57.545477 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [F.], seq 2071, ack 655, win 7504, length 0
09:41:57.546329 IP 192.168.1.114.4667 > 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www: Flags [.], ack 1780, win 65535, length 0
09:41:57.546341 IP 192.168.1.114.4667 > 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www: Flags [.], ack 2072, win 65244, length 0
09:41:57.547133 IP 192.168.1.114.4667 > 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www: Flags [F.], seq 655, ack 2072, win 65244, length 0
09:41:57.547143 IP 200-180-72-107.jvece300.ipd.brasiltelecom.net.br.www > 192.168.1.114.4667: Flags [.], ack 656, win 7504, length 0
^C
15 packets captured
15 packets received by filter
0 packets dropped by kernel
root@dhcpserver:~#

A porta é essa: 4667 ??