Liberar acesso à sites (SCRIPT IPTABLES)

xstocler
(usa Outra)

Enviado em 30/09/2013 - 17:53h

Até então que seu saiba não sei oque pode está bloqueando..
Os usuários que estão com os MAC's liberados conforme está a acl do squid estão conseguindo acessar normalmente.


Mas os demais deveriam está acessando tbm.

os outros sites conforme segue no script iptabless estão funcionando corretamente.
Apenas esse que está dando esse erro.


usando o tracert na minha maquina:

Rastreando a rota para 200.216.216.47 com no máximo 30 saltos



  1     1 ms    <1 ms    <1 ms  10.1.1.250

  2     2 ms     *        *     10.1.1.250

  3     *        *        *     Esgotado o tempo limite do pedido.

  4  ^C

 

px
(usa Debian)

Enviado em 30/09/2013 - 18:18h

Ué nem o tracert alcança?! será que é bloqueio em alguma acl com este ip? muito incomum isto, pois aquelas regras já teriam liberado há tempos o acesso, mas nem o tracert funcionou...

xstocler
(usa Outra)

Enviado em 30/09/2013 - 18:32h

Coloquei no script iptabless a seguinte regra:

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d atendimentovirtual.sistemas.cesan.com.br -p tcp -j ACCEPT

 

Sem sucesso!


Meu Browser fica da seguinte forma:
[img]http://upimagens.com/image-B9DA_5249EE29.jpg[/img]

xstocler
(usa Outra)

Enviado em 01/10/2013 - 13:24h

Alguém teria alguma noção doque poderia ser?

Agradeço pela ajuda!

ricardo cardoso
(usa Debian)

Enviado em 01/10/2013 - 15:09h

Amigo esse IP esta correto? tipo estou tentando liberar esse mesmo endereço no meu proxy mas não estou conseguindo. Então fiz um teste em uma máquina que roda fora do proxy direto na net e não dá nada nesse IP ele não está apontando para lugar nenhum e nem mesmo responde a ping.

xstocler
(usa Outra)

Enviado em 01/10/2013 - 15:14h

O site da cesan ( http://www.cesan.com.br/?page_id=1165 )
abre uma iframe com o link https://atendimentovirtual.sistemas.cesan.com.br:8443/AtendimentoVirtual/FaturaConsultaForm.jsp


Dei um ping nesse atendimentovirtual.sistemas.cesan.com.br e retornou o ip 200.216.216.47

ja tentei colocar da seguinte forma também;

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d atendimentovirtual.sistemas.cesan.com.br -p tcp -j ACCEPT

 

e não funcionou também!

ricardo cardoso
(usa Debian)

Enviado em 01/10/2013 - 15:45h

Eu acho que já sei... to sem fazer nada aqui mesmo, então posso copiar esse seu script e rodar ele aqui em uma máquina sem firewall? fica mais fácil para testar.

xstocler
(usa Outra)

Enviado em 01/10/2013 - 15:51h

Segue os arquivos

Squid:

#Paginas em portugues de erro

error_directory /usr/share/squid/errors/pt-br



#Configuração de entrada

acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl rede-local src 10.1.1.0/24

#Portas permitidas

acl Portas_permitidas port 443 80 21 22 70 210 280 488 591 777 5938 8443

acl CONNECT method CONNECTi





# Regras pessonalizadas

acl macs_liberados arp "/etc/squid/macs-liberados"



http_access allow manager localhost

http_access deny manager



#Bloqueando todas as outras portas

http_access deny !Portas_permitidas

http_access deny CONNECT !Portas_permitidas



#Finalizações

http_access deny !macs_liberados

http_access allow rede-local

http_access allow localhost

http_access deny all



#Porta proxy

#http_port 3128 transparent

http_port 3128

visible_hostname XXXXXX.com.br



# Uncomment and adjust the following to add a disk cache directory.

#cache_dir ufs /var/spool/squid 100 16 256



# Leave coredumps in the first cache dir

coredump_dir /var/spool/squid



# Add any of your own refresh_pattern entries above these.

refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern -i (/cgi-bin/|\?) 0     0%      0

refresh_pattern .               0       20%     4320

~

 

Script iptables

IPTABLES=/sbin/iptables

IP6TABLES=/sbin/ip6tables

MODPROBE=/sbin/modprobe



IF_LOOPBACK="lo"



IF_INT="eth1"

IP_INT="10.1.1.250"



IF_EXT="eth0"

IP_EXT="XXX.XX.XX.XX"



#IF_DMZ="eth"

#IP_DMZ=""



NET_INT="10.1.1.0/24"





### flush existing rules and set chain policy setting to DROP

echo "[+] Flushing iptables rules..."

$IPTABLES -F

$IPTABLES -F -t nat

$IPTABLES -F -t mangle

$IPTABLES -X

$IPTABLES -X -t nat

$IPTABLES -X -t mangle



### this policy does not handle IPv4 traffic except to drop it.

#

echo "[+] Disabling IPv4 traffic..."

$IPTABLES -P INPUT DROP

$IPTABLES -P OUTPUT DROP

$IPTABLES -P FORWARD DROP



### this policy does not handle IPv6 traffic except to drop it.

#

echo "[+] Disabling IPv6 traffic..."

$IP6TABLES -P INPUT DROP

$IP6TABLES -P OUTPUT DROP

$IP6TABLES -P FORWARD DROP



### load connection-tracking modules

#

echo "[+] Loading modules..."

$MODPROBE ip_conntrack

$MODPROBE iptable_nat

$MODPROBE ip_conntrack_ftp

$MODPROBE ip_nat_ftp

$MODPROBE ip_tables

$MODPROBE ipt_LOG

$MODPROBE ipt_REJECT

$MODPROBE ipt_MASQUERADE

$MODPROBE ipt_state

$MODPROBE ipt_multiport

$MODPROBE iptable_mangle

$MODPROBE ipt_limit

$MODPROBE xt_limit

$MODPROBE ipt_mark

$MODPROBE ipt_MARK

$MODPROBE ipt_string

$MODPROBE ip_gre

$MODPROBE ip_nat_pptp

$MODPROBE tun





###### INPUT chain ######

#########################

#

echo "[+] Setting up INPUT chain..."



### [++] state tracking rules

$IPTABLES -A INPUT -m state --state INVALID -j DROP

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



### [++] ACCEPT rules



### [+++] ssh

$IPTABLES -A INPUT -p tcp -i $IF_INT -s $NET_INT --dport 22 -j ACCEPT

$IPTABLES -A INPUT -p tcp -i $IF_EXT --dport 22 -j ACCEPT



### [+++] pptp

$IPTABLES -A INPUT -i $IF_EXT -p tcp --dport 1723 -j ACCEPT

$IPTABLES -A INPUT -i $IF_EXT -p 47 -j ACCEPT

$IPTABLES -A INPUT -i $IF_EXT -p tcp --dport 8443 -j ACCEPT



### [+++] dns

$IPTABLES -A INPUT -i $IF_INT -s $NET_INT -p udp --dport 53 -j ACCEPT



### [++] squid proxy

$IPTABLES -A INPUT -i $IF_INT -p tcp --dport 3128 -s $NET_INT -j ACCEPT



### [++] icmp

$IPTABLES -A INPUT -i $IF_INT -p icmp -s $NET_INT -j ACCEPT



### [++] anti-spoofing rules

$IPTABLES -A INPUT -s 10.0.0.0/8 -i $IF_EXT -j DROP

$IPTABLES -A INPUT -s 127.0.0.0/8 -i $IF_EXT -j DROP

$IPTABLES -A INPUT -s 172.16.0.0/12 -i $IF_EXT -j DROP

$IPTABLES -A INPUT -s 192.168.1.0/16 -i $IF_EXT -j DROP





### [++] state tracking rules

$IPTABLES -A OUTPUT -m state --state INVALID -j DROP

$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



### [++] ACCEPT rules for allowing connections out



### [+++] pptp

$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 1723 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 8443 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -p 47 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -p udp --dport 53 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 80 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 21 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -p tcp --dport 20 -j ACCEPT

$IPTABLES -A OUTPUT -o $IF_EXT -p udp --dport 20 -j ACCEPT





$IPTABLES -A OUTPUT -o $IF_EXT -j ACCEPT



### [++] state tracking rules

$IPTABLES -A FORWARD -m state --state INVALID -j DROP

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



################################################################################################

# acesso USUARIOS internet pela rede interna

#$IPTABLES -A FORWARD -i $IF_INT -s $NET_INT -o $IF_EXT -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -j LOG



# acesso cesan.com.br

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.18 -p tcp -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.45 -p tcp -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.43 -p tcp -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 201.77.202.37 -p tcp -j ACCEPT



#acesso www.dataprev.gov.br

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.32.178 -p tcp -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.40.93 -p tcp -j ACCEPT



# acesso www.previdencia.gov.br

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.40.50 -p tcp -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.152.32.144 -p tcp -j ACCEPT

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 200.216.216.47 -p tcp -j ACCEPT



#sindec

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 201.62.35.202 -p tcp --dport 444 -j ACCEPT



#acesso TAM.com.br

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -d 23.37.227.11 -p tcp -j ACCEPT





#################################################################################################

#iphone

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT



#IPAD

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT



#notebook

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX4 -j ACCEPT



# acesso APs internet

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT



$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT



$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -m mac --mac-source XX:XX:XX:XX:XX:XX -j ACCEPT



############

$IPTABLES -A FORWARD -i $IF_INT -o $IF_EXT -p udp --dport 53 -j ACCEPT





### [++] MASQUERADE

$IPTABLES -t nat -A POSTROUTING -s $NET_INT -o $IF_EXT -j MASQUERADE

$IPTABLES -t nat -A POSTROUTING  -o $IF_EXT -j MASQUERADE



exit

                                                                                  

 

ricardo cardoso
(usa Debian)

Enviado em 02/10/2013 - 22:12h

Com iptables -P OUTPUT ACCESS consegue acassar