Liberar Maquina do proxy e firewall

gabolli
(usa Debian)

Enviado em 25/02/2015 - 17:17h

Boa Noite,

Estou tendo um problema para liberar uma maquina na minha rede, ele precisa de acesso full então ela não está fazendo parte do firewall e nem do proxy, como eu posso proceder. Aqui esta o firewall completo gostaria também de saber o que fazer para melhorar ele. Desde já obrigado

#!/bin/bash

# -----------------------------------------
# - DECLARANDO AS VARIAVEIS               -
# -----------------------------------------

# Interface de rede ligada a internet
IFACE_WEB="eth0"

# Interface de rede ligada a rede interna
IFACE_REDE="eth1"

# Rede interna
REDE_INTERNA="xxx.xxx.xxx.xxx/xx"

# -----------------------------------------
# - FUNCAO DE START                       -
# -----------------------------------------

function start () {

# -----------------------------------------
# - LIMPA AS REGRAS EXISTENTES            -
# -----------------------------------------

# Limpa as regras da tabela filter
iptables -F

# Limpa as regras da tabela nat
iptables -t nat -F

#Liberando conexao para rede local antes de criar as regras.
iptables -A INPUT -s xxx.xxx.xxx.xxx/xxx.xxx.xxx.xxx -j ACCEPT

# -----------------------------------------
# - DEFININDO POLITICAS DO IPTABLES       -
# -----------------------------------------

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# -----------------------------------------
# - HABILITANDO O ROTEAMENTO NO KERNEL    -
# -----------------------------------------

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# -----------------------------------------
# - CRIA A IDA E VOLTA DO ACESSO NAS      - 
# - CHAINS INPUT, OUTPUT E FORWARD,       -
# - ASSIM NAO PRECISAMOS CRIAR A IDA E    - 
# - VOLTA NAS REGRAS                      -
# -----------------------------------------

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

# -----------------------------------------
# - REGRAS DE NAT                         -
# -----------------------------------------

# COMPARTILHA A INTERNET
iptables -t nat -A POSTROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE

# REDERICIONA TUDO PARA O PROXY
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-ports 8080

# -----------------------------------------
# - REGRAS DE INPUT                       -
# - ---------------------------------------

# Libera SICOOB
iptables -t nat -I PREROUTING -s xxx.xxx.xxx.xxx/xx -p tcp -d xxx.xxx.xxx.xxx/xx --dport 80 -j ACCEPT

# Desabilitando resposta a comando ping
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

# Libera o acesso SSH de qualquer origem
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Libera o squid a partir da rede interna
iptables -A INPUT -s $REDE_INTERNA -p tcp --dport 3128 -j ACCEPT

# Aceita ping apenas da rede interna
iptables -A INPUT -s $REDE_INTERNA -p icmp --icmp-type 8 -j ACCEPT

# BLOQUEIA TRACEROUTE
iptables -A INPUT -p udp --dport 33435:33525 -j DROP

# PROTECAO CONTRA PORTSSCANNERS, PING OF DEATH, DoS
iptables -A INPUT -m state --state INVALID -j DROP

# LIBERAR OU BLOQUEAR SKYPE
iptables -A INPUT -p tcp --dport 23399 -j ACCEPT

# BLOQUEANDO O ACESSO A P2P E TORRENT
iptables -A INPUT -p tcp --dport 6881:6999 -j DROP
iptables -A INPUT -p tcp --sport 6881:6999 -j DROP

#BLOQUEANDO SITES HTTPS
iptables -I FORWARD -m string --algo bm --string "facebook" -j DROP
iptables -I FORWARD -m string --algo bm --string "youtube" -j DROP
iptables -I FORWARD -m string --algo bm --string "twitter" -j DROP


# -----------------------------------------
# - REGRAS DE OUTPUT                      -
# -----------------------------------------

# Libera as portas constantes na variavel $PORTAS_TCP
#iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT

# Libera ping para qualquer lugar
iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT

# -----------------------------------------
# - REGRAS DE FORWARD                     -
# -----------------------------------------

# Libera as portas constantes em na varial $PORTAS_REDE_INTERNA
#iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_REDE_INTERNA -j ACCEPT

# PROTECAO CONTRA SYN-FLOOD
iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

# PROTECAO CONTRA PING DA MORTE
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

# PROTECAO CONTRA PORT SCANNERS
iptables -N SCANNER
iptables -A SCANNER -j DROP
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN,ACK,FIN,RST -m limit --limit 1/s -j ACCEPT

# -----------------------------------------
# - FINAL DA FUNCAO START                 -
# -----------------------------------------

}

# -----------------------------------------
# - FUNCAO STOP                           -
# -----------------------------------------

function stop () {

# -----------------------------------------
# - LIMPA AS REGRAS EXISTENTES            -
# -----------------------------------------

iptables -F
iptables -t nat -F

# -----------------------------------------
# - DEFINE POLITICAS PADRAO              -
# -----------------------------------------

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# -----------------------------------------
# - HABILITA O ROTEAMENTO NO KERNEL       -
# -----------------------------------------

echo 1 > /proc/sys/net/ipv4/ip_forward

# -----------------------------------------
# - COMPARTILHA A INTERNET                -
# -----------------------------------------

iptables -t nat -A POSTROUTING -s $REDE_INTERNA -o $IFACE_WEB -j MASQUERADE

# -----------------------------------------
# - FINAL DA FUNCAO STOP                  -
# -----------------------------------------

}

# -----------------------------------------
# - FUNCAO DE RESTART                     -
# -----------------------------------------

case $1 in
start)
start
;;
stop)
stop
;;
restart)
stop
start
;;
*)
echo "COMANDO INCOMPLETO DIGITE /etc/init.d/firewall.sh start, stop ou restart"
exit 0
;;
esac

# ------------------------------------------
# - FIM DO SCRIPT DE FIREWALL              -
# ------------------------------------------

echo ---------------------------------------
echo -          RESUMO DAS REGRAS          -
echo ---------------------------------------
iptables -L 

juliocm
(usa Debian)

Enviado em 01/03/2015 - 18:20h

http://www.vivaolinux.com.br/topico/Squid-Iptables/Liberando-um-ip-sem-passar-pelo-proxy

gabolli
(usa Debian)

Enviado em 01/03/2015 - 18:30h

gostaria de fazer isso por mac

souzacarlos
(usa Outra)

Enviado em 16/03/2015 - 20:39h

Boa noite.

Cara seguinte, vc entede tuas configurações? Isso ai está meio enrolado, vamos definir uma coisa, o lugar de onde vc copiou isso ai tá te enganando.

Vamos por partes!!!

01 - Você sabe qual é a política default do teu Filter?

Aguardo.

gabolli
(usa Debian)

Enviado em 17/03/2015 - 06:52h

Na verdade não 8(

souzacarlos
(usa Outra)

Enviado em 17/03/2015 - 23:54h

t
Lembra da história de " Como encher um copo se ele já esta cheio?" então , é o que está acontecendo, vc definiu um monte de coisas, porém, não entendeu o básico. Sobre teu script, algumas coisas estão duplicadas, ou pior, sem necessidade, digo isso por sua política vamos ao exemplo.

Olha esse trecho aqui

# - LIMPA AS REGRAS EXISTENTES -
# -----------------------------------------

iptables -F
iptables -t nat -F # Aqui vc limpou as regras -F de flush

# -----------------------------------------
# - DEFINE POLITICAS PADRAO -
# -----------------------------------------

iptables -P INPUT ACCEPT ##
iptables -P OUTPUT ACCEPT ### Aqui vc disse que aceita tudo
iptables -P FORWARD ACCEPT ##

Olha essa sua regra ai abaixo...

# Libera o squid a partir da rede interna
iptables -A INPUT -s $REDE_INTERNA -p tcp --dport 3128 -j ACCEPT # Aqui vc diz que aceita conexões na porta 3128

Vamos analisar, vc acha que realmente precisaria dessa ai se vc já definiu na política default que aceita tudo?

Aguardo,

gabolli
(usa Debian)

Enviado em 18/03/2015 - 10:07h

Olha vou ser bem sincero, minhas aulas de firewall que tive na faculdade não valeram de nada pois nunca fizemos nenhum exercício apenas teoria, obrigado desde já pela sua ajuda, então pelo que estou vendo realmente esta segunda regra esta sobrando ou apenas refazendo o que já foi feito logo acima. O que você me recomendaria ao em vez de aceppt colocar denny logo a cima ou eliminar a regra logo a baixo ? Pois se para você ficou confuso imagina eu que não entendo quase nada disso. As vezes acho que estou protegendo meu servidor porém posso apenas estar deixando ele mais exposto ainda.

souzacarlos
(usa Outra)

Enviado em 19/03/2015 - 09:47h

Bom dia.

Segue um script para ser usado em "paralelo" para vc ir testando, e a partir deste vc pode ir moldando a sua necessidade.
http://www.vivaolinux.com.br/script/Limpar-regras-e-compartilhar-conexao/

Esse tá bem simples, ai vc pode fazer uma busca sobre POLICE default para ver se vc precisa realmente mudar, criar as regras de redirecionamento de porta como vc já havia definido no seu, e outra coisa importante faz uma busca sobre EXCEÇÃO para vc conseguir tratar casos que vc não queria que siga um padrão estabelecido.


Não leve a mal esse meu método, prefiro fazer o cara pensar, se não vc vai ser dependente dos outros para sempre.

Aguardo.