firewall

marcoshauk
(usa Outra)

Enviado em 11/11/2009 - 19:29h

pessoal alguem pode me ajuda de como fazer com q os programas de receita federal, conectividade social mande seus dados sem q o proxy barre isso, agradeco se alguem puder me ajudar ....

gostaria de fazer isso pelo firewall em vez do proxy

riesdra
(usa Debian)

Enviado em 11/11/2009 - 20:04h

http://www.google.com.br/custom?domains=www.vivaolinux.com.br&sitesearch=www.vivaolinux.com.br&a...

leonardufb
(usa Slackware)

Enviado em 17/11/2009 - 15:45h

Boa tarde kara, olha, utilizo iptables e proxy transparente, tive este stress tambem no começo, resolvi este pepino usando a seguinte regra no final do script de firewall, para o conectividade social:

iptables -t nat -A PREROUTING -s $REDEINTERNA -p tcp -d ! 200.201.0.0/16 --dport 80 -j REDIRECT --to-port 3128,

E isso mesmo que vcs estão pensando, liberei a toda esta faixa de ips, isso foi algo emergencial, para evitar o stress do pessoal do rh, contudo ainda estou em busca de uma alternativa melhor, mas, garanto que funciona.

Quanto aos da Receita federal, ou qualquer outro orgao governamental, e so liberar os dominios *.gov.br no squid, que nao tem stress.

marcoshauk
(usa Outra)

Enviado em 19/11/2009 - 13:31h

amigo vou testa depois te falo obrigado pela dica

magnolinux
(usa Debian)

Enviado em 19/11/2009 - 13:43h

neste caso acima, vc ta liberando um range enorme de endereço..

Eu faço de uma forma mais segura, monitoro a conexão dos softwares e libero as portas e ips especificos...

pogo
(usa Fedora)

Enviado em 19/11/2009 - 15:06h

Também acho que seria mais seguro sniffar o tráfego da máquina cliente só com o programa da receita aberto e verificar qual IP ele tenta acessar. Assim você não precisa liberar um range tão grande de IP's. Imagino que com Wireshark ou TCPDump você consiga fazer isso sem muita dor de cabeça.

Talvez este texto ajude vocês: http://www.guiadohardware.net/tutoriais/wireshark/

[]'s
Pedro Pereira
www.pedropereira.net

volcom
(usa Debian)

Enviado em 19/11/2009 - 15:23h

Dessa forma funciona:

iptables -A FORWARD -s IP_DA_ESTACAO -i eth1 -d 0/0 -o eth0 -j ACCEPT
iptables -A FORWARD -s 0/0 -i eth0 -d IP_DA_ESTACAO -o eth1 -j ACCEPT

magnolinux
(usa Debian)

Enviado em 20/11/2009 - 08:46h

se vc colocar as regras de conectividade on-line na chain forward, provavelmente nao ira funcionar. Pq pela ordem de leitura das chain, a chain PREROUTING que cria o redirecinamento para o proxy, ira rotear o mesmo, como o forward tem a regra que libera a maquina se comunicar, sua requisição já foi mandada para o proxy...

vc tem que liberar/rotear direto na CHAIN PREROUTING.

um exemplo seria

iptables -t nat -A PREROUTING -i eth1 -d IP_Conectividade -p tcp --dport 80 -j ACCEPT

Esta regra vem antes da regra que direciona o acesso para o proxy...


flw;;

marcoshauk
(usa Outra)

Enviado em 24/11/2009 - 16:21h

pessoal to sem tempo pra testa quando eu puder vou testa ai falo pra vc´s agradeco a dica valeu mesmo