Liberar acesso a minha intranete a ip externo sem passar por firewall ou proxy

1. Liberar acesso a minha intranete a ip externo sem passar por firewall ou proxy

Raphael Damasceno Silva Fonseca
raphaeldamasceno

(usa Debian)

Enviado em 08/11/2012 - 19:47h

Fala galera, estou com um problema na empresa onde presto serviço, um programa novo, ele precisa de alcançar a internete para buscar seus pacotes e funionar, soque ele não conssegue passar pelo proxy nem firewall, ja tentei varias regras de proxy e iptables, tenho firewall iptables e proxy squid, preciso que o programa passa por ele sem problemas...podem me ajudar? valeu comunidade.

porta do programa usa. 1433
ip da minha intranet 192.168.10.0/24


  


2. Re: Liberar acesso a minha intranete a ip externo sem passar por firewall ou proxy

Perfil removido
removido

(usa Nenhuma)

Enviado em 09/11/2012 - 12:52h

TEnta dessa forma:

#iptables -t nat -I PREROUTING -s 192.168.0.ipdamaquina -p tcp --dport 1433 -j ACCEPT

Só verifica se o protocolo usado para a conexão é realmente tcp, e insira o final do ip da maquina que tem esse tal programa. Espero ter ajudado.


3. Re: Liberar acesso a minha intranete a ip externo sem passar por firewall ou proxy

Jefferson Diego
Diede

(usa Debian)

Enviado em 09/11/2012 - 13:45h

Copie aqui para nós as regras de firewall que você está usando atualmente, e a identificação das suas interfaces de rede (se eth0/eth1 é lan ou wan, etc).


4. DADOS

Raphael Damasceno Silva Fonseca
raphaeldamasceno

(usa Debian)

Enviado em 09/11/2012 - 19:22h

ETH0 internet - WAN -
ETH1 intranet 192.168.10.0/24 -LAN-

#meu firewall

modprobe ip_tables
modprobe iptable_nat

sysctl -w net.ipv4.ip_forward=1

iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F

iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
iptables -A INPUT -m multiport -p tcp --dport 21,22,80,5222,9093,10000,5223,7777,7070,1433,3305 -j ACCEPT
iptables -A OUTPUT -m multiport -p tcp --dport 21,22,80,5222,9093,10000,5223,7777,7070,1433,3305 -j ACCEPT

# REDIRECIONAMENTO DE PORTAS
# SERVIDOR DE CAMERAS
iptables -t nat -A PREROUTING -d 122.22.222.22 -p tcp --dport 2011 -j DNAT --to 192.168.10.3
iptables -t nat -A POSTROUTING -d 192.168.10.3 -p tcp --dport 2011 -j SNAT --to 122.22.222.22
iptables -t nat -A PREROUTING -d 122.22.222.22 -p tcp --dport 4550 -j DNAT --to 192.168.10.3
iptables -t nat -A POSTROUTING -d 192.168.10.3 -p tcp --dport 4550 -j SNAT --to 122.22.222.22
iptables -t nat -A PREROUTING -d 122.22.222.22 -p tcp --dport 5550 -j DNAT --to 192.168.10.3
iptables -t nat -A POSTROUTING -d 192.168.10.3 -p tcp --dport 5550 -j SNAT --to 122.22.222.22
iptables -t nat -A PREROUTING -d 122.22.222.22 -p tcp --dport 8866 -j DNAT --to 192.168.10.3
iptables -t nat -A POSTROUTING -d 192.168.10.3 -p tcp --dport 8865 -j SNAT --to 122.22.222.22


###############################################

Meu firewall é bem enxuto mesmo, bem básico, estou começando agora na área de linux e não tenho prática...

Meu problema é que tenho um programa que precisa buscar seus pacotes na internet, e o firewal bloqueia, eis o erro que o programa me volta:

THEN REMOTE SERVER RETURNED AN ERROR: (407) PROXY AUTENTICATION REQUIRED.

tenho proxy squid, e esta liberado o site que ele procura seus pacotes, tanto que quando coloco o site no navegar, ele não pede autenticação do proxy, passa direto. Preciso dar esse acesso a minha INTRANET toda, todos os meus micros vão ter esse programa e precisam passar.

LOCAL DOS PACOTES

http://cpro4082.publiccloud.com.br/

PORTA 1433


##########################################################################################

SQUID.CONF


PARAMETROS BASICOS DE AUTENTICAÇÃO DE USUÁRIOS

# Autenticacao pelo programa básico ncsa_auth
auth_param basic program /usr/lib64/squid/ncsa_auth /etc/squid/senhas


auth_param basic children 5
auth_param basic realm empresa
auth_param basic casesensitive off

# CONFIGURAÇÃO DO SQUID
http_port 192.168.10.2:8080
visible_hostname empresa
#icp_port 8081

# Tela de Bloqueio em Portugues
error_directory /usr/share/squid/errors/Portuguese/

acl terminais dstdomain "/etc/squid/terminais"
http_access allow terminais

# ACL's POLITICAS BASICAS
acl all src all
acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8

# ACL's SEGURANCA DE PORTAS
acl SSL_ports port 443 563 873 1433 3305
acl Safe_ports port 80 21 443 70 210 3305 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT


# HTTP - ACESSOS

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost


## ACL'S PERSONALIZADAS

# ACL DA REDE INTERNA
acl rede_interna src 192.168.10.0/24


# IP LIBERADO - acesso total
acl ipliberado src "/etc/squid/ipliberado"
http_access allow ipliberado

# ACESSO PARA USUARIOS DO ADMINISTRATIVO - CONTROLE POR IPS
acl franquiagv src "/etc/squid/ipsfranquiagv"
acl sites_franquia url_regex -i "/etc/squid/url_franquia"
http_access allow franquiagv !sites_franquia
http_access deny franquiagv
http_access deny msn

# ACESSO DO LABORATORIO DE MANUTENCAO - CONTROLE POR IPS
acl manutencao src "/etc/squid/ipsmanutencao"
acl msn rep_mime_type -i ^application/x-msn-messenger$
acl sites_manutencao url_regex -i "/etc/squid/url_manutencao"
http_access allow manutencao !sites_manutencao
http_access deny manutencao
http_access deny msn


## REQUERIMENTO DE AUTENTICACAO


# AUTENTICACAO SQUID
acl usuarios proxy_auth REQUIRED

# USUARIOS COM ACESSO LIVRE
acl acesso_livre proxy_auth "/etc/squid/usr_livre"
http_access allow acesso_livre
http_access deny acesso_livre

# USUARIOS COM ACESSO RESTRITO

# BLOQUEIOS GERAIS
acl palavras_bloqueadas url_regex -i "/etc/squid/palavras_bloqueadas"
acl arquivos_bloqueados url_regex -i "/etc/squid/arquivos_bloqueados"
http_access deny arquivos_bloqueados
http_access deny palavras_bloqueadas

# PROFESSORES
acl professor proxy_auth "/etc/squid/usr_professor"
acl sites_professor url_regex -i "/etc/squid/url_professor"
acl dom_lib_professor dstdomain "/etc/squid/url_lib_professor"
http_access deny sites_professor
http_access allow professor dom_lib_professor
http_access allow professor !sites_professor

# WEB
acl web proxy_auth "/etc/squid/usr_web"
acl sites_web url_regex -i "/etc/squid/url_web"
acl dom_lib_web dstdomain "/etc/squid/url_lib_web"
http_access deny sites_web
http_access allow web dom_lib_web
http_access allow web !sites_web

# ALUNO
acl informatica proxy_auth "/etc/squid/usr_informatica"
acl sites_informatica url_regex -i "/etc/squid/url_informatica"
acl dom_lib_alunos dstdomain "/etc/squid/url_lib_alunos"
acl msn rep_mime_type -i ^application/x-msn-messenger$
http_access deny sites_informatica
http_access allow informatica dom_lib_alunos
http_access allow informatica !sites_informatica
http_access deny msn

# BLOQUEIO DE TODOS MICROS
http_access deny all
#icp_access allow rede_interna
#icp_access deny all


5. Re: Liberar acesso a minha intranete a ip externo sem passar por firewall ou proxy

Sandro Carvalho
sgcarvalho

(usa Debian)

Enviado em 09/11/2012 - 21:40h

tente colocar as seguintes regras
-A FORWARD -p tcp -m tcp --dport 1433 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 1433 -j ACCEPT



6. Re: Liberar acesso a minha intranete a ip externo sem passar por firewall ou proxy

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 09/11/2012 - 23:26h

sgcarvalho escreveu:

tente colocar as seguintes regras
-A FORWARD -p tcp -m tcp --dport 1433 -j ACCEPT
-A FORWARD -p tcp -m tcp --sport 1433 -j ACCEPT


Isso nem pode ser chamado de firewall esta apenas fazendo NAT e compartilhando internet


iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT

A entrada e saida da sua rede rede esta toda escancarada!!!

Veja como criar um ambiente proxy + firewall corretamente:
http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel

Tente ler um pouco sobre como funciona principalmente INPUT OUTPUT e FORWARD (ACCEPT / DROP)
http://www.guiafoca.org/cgs/guia/avancado/ch-fw-iptables.html


7. DADOS

Raphael Damasceno Silva Fonseca
raphaeldamasceno

(usa Debian)

Enviado em 10/11/2012 - 11:03h

Fala galera, valeu por tudo ate agora, estou entrando agora nessa área, vou pegar esses artigaos e estudalos sim valeu andrecanhadas ae, eu peguei esse firewall pronto, e tem muitas mais regras nele, muitas mais, tirei tudo e dexei so essas para tentar solucionar meu problema, pois estou em momento de desespero, por esse programa funcionar, e depois volta de polco em polco meu firewall, tentei essas regrar e não funcionol...


8. Re: Liberar acesso a minha intranete a ip externo sem passar por firewall ou proxy

André Canhadas
andrecanhadas

(usa Debian)

Enviado em 10/11/2012 - 17:41h

raphaeldamasceno escreveu:

Fala galera, valeu por tudo ate agora, estou entrando agora nessa área, vou pegar esses artigaos e estudalos sim valeu andrecanhadas ae, eu peguei esse firewall pronto, e tem muitas mais regras nele, muitas mais, tirei tudo e dexei so essas para tentar solucionar meu problema, pois estou em momento de desespero, por esse programa funcionar, e depois volta de polco em polco meu firewall, tentei essas regrar e não funcionol...


Não me leve a mal foi apenas uma critica construtiva a unica forma de fazer um script personalizado é entendendo como as regras funcionam.

Tem um exemplo simples que barra apenas a entrada e permite a saida.
http://www.andrecanhadas.com.br/?p=351

Remova as regras de portas abertas que não precisa, quanto a esse software com esse firewall não teria problemas de comunicação.

A porta 1433 é provavel que seja um banco de dados mysql o squid não vai interferir nessa porta em si mas a apricação pode usar http para se comunicar então pode ser esse problema.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts