Video - Bloqueios no BFW (Iptables and Proxy) by LenoBare

Fórum de discussão exclusivo para "proxies".

Video - Bloqueios no BFW (Iptables and Proxy) by LenoBare

Mensagempor Lenobare » Sáb Set 13, 2014 9:10 pm

Bom dia a todos do Fórum...

Editei este post para entregar o prometido tutorial sobre bloqueios no Brazilfw.
Os que utilizam o Brazilfw gerenciando sua rede e ainda não implementaram as regras de bloqueio, este tutorial vai ser um inicio para finalmente criar as regras que precisam para organizar a estrutura que gerenciam.

Vou tirar dúvidas do pessoal que as tiverem sobre as seguintes condições:
- Vou tirar dúvidas, não configurar toda a rede pra você;
- Se utilizarem as regras que exponenciei e não funcionar em sua rede, se não forem simples ajustes, deve solicitar o suporte dos credenciados aqui no fórum, não dou suporte;
- Evitem elogios, não precisamos dele, vão ajudar mais a todos nós descobrindo falhas nas explicações e informando aqui, pois ai sim vai melhorar a importância do tutorial;
- Como não houve tempo e algum conhecimento de minha parte para explicar com muito mais detalhes os "desbloqueios" de "portas" utilizando a navegação não transparente, quem tiver o conhecimento e puder contribuir poderá explicar por aqui como fazê-lo, enaltecendo o tutorial que é de livre domínio de todos.

- Finalizarei este tópico em 30 dias, que é um tempo razoável para os comentários e dúvidas. O link ficará disponível para todos sem restrição de tempo.
Agradecimentos especiais ao mestre brunovescovi ( Add on Templock adaptado para o PHP pelo xtanctp idealizador do Add on Sisblock ) e ao excelente Lelouch ( Add on Haro adaptado para o PHP pelo guilhermek )

Disponibilizo aqui as regras iptables utilizadas no tutorial para consulta: http://1drv.ms/1t9mgHv

Segue o Link do vídeo tutorial: https://www.youtube.com/watch?v=IZ4hBzxUzII&feature=youtu.be

Low quality version
Editado pela última vez por Lenobare em Sex Out 24, 2014 10:37 pm, em um total de 6 vezes.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Finalmente.... o Bloqueios!!

Mensagempor reginaldo » Sáb Set 13, 2014 10:05 pm

:o!

:aplause:

!+
Contribua para que o Projeto BFW permaneça no ar, Doe Click aqui
Contribua com o reginaldo, Doe, favor enviar e-mail para reginaldo@brazilfw.com.br
-----------------------------------------------------------------------------------------------------
"Disciplina é liberdade. Compaixão é fortaleza. Ter bondade é ter coragem" (Há Tempos [Dado Villa-Lobos/Renato Russo/Marcelo Bonfá])
Avatar do usuário
reginaldo
BFW Mediator
BFW Documenter
BFW Manager
BFW 3.x Update
 
Mensagens: 12686
Registrado em: Sáb Ago 27, 2005 12:10 pm
Localização: Rio de Janeiro - RJ
BrazilFW Box: Máquina Física
CPU: Intel Core i3 Model 530
Memória: 8.00 GiB / 2 Links
BFW 3.0.262 64 bits
Serviços Ativos: Control MAC, QOS
Addons: EBackup, EPM e Squid 3.5.x

Re: Finalmente.... os Bloqueios!!

Mensagempor DigiCal » Dom Set 14, 2014 6:27 pm

Aguardando...
"A resposta branda desvia o furor, mas a palavra dura suscita a ira." Provérbios 15:1
BrazilFW sempre!
Avatar do usuário
DigiCal
BFW Documenter
BFW Beneméritos
BFW Manager
 
Mensagens: 896
Registrado em: Sex Jun 04, 2010 5:50 pm
Localização: Carpina-PE
BrazilFW Box: BFW 3.0.262 (64 bits) + eBackup + MySAR

Re: Finalmente.... os Bloqueios!!

Mensagempor carlos_silvasantos » Dom Set 14, 2014 7:07 pm

Acompanhando...
Carlos Silva
Técnico em Informática | Bacharel em Informática | Especialista em Engenharia de Sistemas
E-mail: carlos.al.silva@live.com

"O dia está na minha frente esperando para ser o que eu quiser. E aqui estou eu, o escultor que pode dar forma a este dia." Albert Einstein
Avatar do usuário
carlos_silvasantos
BFW Intermediate
 
Mensagens: 692
Registrado em: Qua Jul 20, 2011 11:01 am
Localização: São Francisco de Assis - RS
BrazilFW Box: BFW 3.0.x 32 bits PAE
AMD Phenom(tm) II X4 3.215 GHz
4 GB DDR3 HD 500 GB SATA
Squid-DG-Haro-Layer7-MACxIP-QOS-BFW Cache 2.0-MySar-BandwidthD-SqStat

Re: Finalmente.... os Bloqueios!!

Mensagempor cristhianbini » Dom Set 14, 2014 10:59 pm

!+
NÂO ESQUECA DE AGRADECER O COLEGA QUE SE PRONTIFICOU A TE AJUDAR! Pois funcionando ou não o que foi Postado, foi um tempo que foi dedicado a te ajudar!
Avatar do usuário
cristhianbini
BFW Beneméritos
BFW 3.x Update
 
Mensagens: 733
Registrado em: Seg Jun 08, 2009 11:10 pm
Localização: Campo Largo - PR
BrazilFW Box:

Re: Finalmente.... os Bloqueios!!

Mensagempor gabrielphdc » Seg Set 15, 2014 2:49 pm

Acompanhando....
Avatar do usuário
gabrielphdc
BFW Participative
 
Mensagens: 129
Registrado em: Sex Ago 24, 2012 3:20 pm
BrazilFW Box:

Re: Finalmente.... os Bloqueios!!

Mensagempor DonRobert » Seg Set 15, 2014 4:21 pm

Con PDFs ??? :D
Avatar do usuário
DonRobert
BFW WebServer
 
Mensagens: 256
Registrado em: Sex Mai 10, 2013 7:44 pm
Localização: Guasave, Sinaloa, Mexico
BrazilFW Box: Pentium(R) Dual-Core CPU E5200 @ 2.50GHz 64bits
Memory: 4 GiB
Firewall Version:3.0.262
HD 80 GiB BrazilFW
2do HD 80 GiB para Samba
3er HD 200 Gib para Cache

Re: Finalmente.... os Bloqueios!!

Mensagempor brunovescovi » Seg Set 15, 2014 8:36 pm

:aplause: !+
Contribua para que o Projeto BFW permaneça no ar, Doe Click aqui
Contribua com o Bruno Vescovi, Doe Click aqui (pagseguro) ou Click aqui (paypal)
------------------------------------------------------------------------------------------------------------------------------
"Amor não é um sentimento. Amor é uma decisão de fazer o melhor possível para Deus e para o seu próximo."
Avatar do usuário
brunovescovi
BFW Moderator
BFW Add-on Developer
BFW Beneméritos
BFW Manager
BFW Documenter
BFW Expert
 
Mensagens: 3650
Registrado em: Ter Jun 29, 2010 7:27 pm
Localização: Guarapari - ES
BrazilFW Box: Não usando o BFW no momento

Re: Finalmente.... os Bloqueios!!

Mensagempor fdelfin10 » Qua Set 17, 2014 1:51 am

esperando es lo que mas deseo, :aplause: exito...
Avatar do usuário
fdelfin10
BFW Participative
BFW 3.x Update
 
Mensagens: 170
Registrado em: Qui Fev 23, 2012 3:58 am
Localização: Biscucuy, Venezuela
BrazilFW Box: Dual CPU E2160
3 Gb de Ram
80. Gb Disco Duro
Brazilfw BFW3.0.262.rc2+EPM 2.0 (PROBANDO)+Acces Log+ Squid 3.4.14+ Bandwith Version 2.26+ SqStat

Re: Finalmente.... os Bloqueios!!

Mensagempor bill.yuri » Qua Out 22, 2014 9:10 am

< O.O > !+ :aplause:
Avatar do usuário
bill.yuri
BFW Curious
 
Mensagens: 2
Registrado em: Seg Jun 30, 2014 11:20 pm
BrazilFW Box:

Re: Finalmente.... os Bloqueios!!

Mensagempor almalves » Qui Out 23, 2014 12:30 pm

!+ :o! Acompanhando
Desde que o mundo é mundo, que nós seres humanos, não deixamos o orgulho se esvair de nossas mentes
e ignorar a ganancia que atrai e protubera as nossas mais terríveis fraquezas...
.
By André Alves.
Avatar do usuário
almalves
BFW Novice
 
Mensagens: 90
Registrado em: Sex Dez 07, 2012 2:48 pm
Localização: Cuiabá-MT
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor reginaldo » Qui Out 23, 2014 8:05 pm

Acrescentado a Relação de Vídeos sobre o BrazilFW => http://www.brazilfw.com.br/forum/viewtopic.php?f=91&t=89629&p=323345#p323345

Valeu LenoBare :o! :aplause:
Contribua para que o Projeto BFW permaneça no ar, Doe Click aqui
Contribua com o reginaldo, Doe, favor enviar e-mail para reginaldo@brazilfw.com.br
-----------------------------------------------------------------------------------------------------
"Disciplina é liberdade. Compaixão é fortaleza. Ter bondade é ter coragem" (Há Tempos [Dado Villa-Lobos/Renato Russo/Marcelo Bonfá])
Avatar do usuário
reginaldo
BFW Mediator
BFW Documenter
BFW Manager
BFW 3.x Update
 
Mensagens: 12686
Registrado em: Sáb Ago 27, 2005 12:10 pm
Localização: Rio de Janeiro - RJ
BrazilFW Box: Máquina Física
CPU: Intel Core i3 Model 530
Memória: 8.00 GiB / 2 Links
BFW 3.0.262 64 bits
Serviços Ativos: Control MAC, QOS
Addons: EBackup, EPM e Squid 3.5.x

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor andrerazak » Qui Out 23, 2014 8:08 pm

:aplause: Acompanhando. :shock:
Você pode morrer a qualquer momento, mas viver exige muita coragem. (Kenshin Himura)
Avatar do usuário
andrerazak
BFW Curious
 
Mensagens: 7
Registrado em: Dom Jun 29, 2014 9:16 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor rdelnogal » Qui Out 23, 2014 11:05 pm

GRACIAS !!!!! :aplause: !+
Avatar do usuário
rdelnogal
BFW Curious
 
Mensagens: 36
Registrado em: Qui Jul 08, 2010 7:48 pm
Localização: Caracas Venezuela
BrazilFW Box: Intel(R) Pentium(R) Dual Core CPU 2.40GHz 2394.179
2048 MB RAM
80 GB HDD SATA
LESS OF 10% RESOURSES USED =)

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor baruke » Sex Out 24, 2014 9:09 am

Parabens! :aplause:
Avatar do usuário
baruke
BFW Curious
 
Mensagens: 7
Registrado em: Qui Mar 20, 2014 7:53 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor selassiebr » Sex Out 24, 2014 6:11 pm

Muito bom Lenobare,

a quem está chegando na comunidade Brazilfw, realmente ficará feliz com esta videoaula.
E concordo com o que você disse no video sobre esta distro. Este projeto é o melhor Firewall
existente no Brasil e por que não dizer no mundo.


Parabéns :aplause: :aplause: :aplause:
Jesus não é só o filho de Deus, é também um professor que se eternizou ensinando o amor na dosagem certa para todos nós.
Avatar do usuário
selassiebr
BFW Novice
 
Mensagens: 54
Registrado em: Sex Set 03, 2010 4:27 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor naldo.nas » Sáb Out 25, 2014 7:44 pm

Parabéns :aplause: :aplause: :aplause:

:o!
Avatar do usuário
naldo.nas
BFW Very Participative
 
Mensagens: 457
Registrado em: Sáb Abr 17, 2010 6:55 pm
Localização: belem - PA
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor jrtil » Qua Out 29, 2014 10:15 am

Muito bom!!! Meus parabéns pelo ótimo vídeo me ajudou muito!!!
Avatar do usuário
jrtil
BFW Curious
BFW 3.x Update
 
Mensagens: 25
Registrado em: Sex Set 26, 2014 9:48 am
BrazilFW Box: Maquina Física
CPU: i5-3330 CPU @ 3.00GHz
Memoria: 8.00 GB / 1 LINK 20 Mbits
BFW 3.0262 64 bits
Serviços e Addons: AccessLog, Mysar, SqStat, BandwidthD, Squid 3.4.14

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor rlazar » Qui Out 30, 2014 8:12 pm

Olá,

Segui todos os passos, funcionou tudo corretamente.

Porém, quando lanço o IP no Sisblock para que ele não passe pelos bloqueios de site, ainda sim fica bloqueado os acessos aos sites na lista de bloqueio.

O que pode ser?

Obrigado.
rlazar
 

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Sex Out 31, 2014 12:43 am

rlazar escreveu:Olá,

Segui todos os passos, funcionou tudo corretamente.

Porém, quando lanço o IP no Sisblock para que ele não passe pelos bloqueios de site, ainda sim fica bloqueado os acessos aos sites na lista de bloqueio.

O que pode ser?

Obrigado.


Pois bem, neste caso você tem que configurar o ip em que não queira que passe pelo bloqueio geral, coloque-o no no "usuario ip/lançado" e depois adicione este mesmo ip no "block sites xIP" e na guia logo acima, existe a opção de adicionar os sites para bloqueios para este ip que colocou no Block sites xIP, pois este não irá mais utilizar as regras de bloqueio geral em que vais colocar os sites para bloquear ou não colocar nada, portanto não será bloqueado para site nenhum, ao menos que coloque apenas os sites que queira bloquear mas não o site específico que esteja no bloqueio geral.
Resumo:
- Desbloquear o ip das regras gerais => adicione no - usuario ip/lançado - e também no Block sites xIP; Se não adicionar site algum, estará desbloqueado, mas se adicionar algum site, só bloqueará os sites que estarão nas regras do Block sites xIP, portanto não coloque nesta regra o site que está na regra geral de bloqueios.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Delfim » Sex Out 31, 2014 10:33 am

:aplause: :aplause:
\|||/
(o O)
+(_)-----------oooO--------------------------------+
| |
| BRAZILFW 3.XXX 100%
| O MELHOR DO MERCADO
| |
+---------------------------Oooo---------------------+
|_| |_|
|| ||
ooO Ooo
Avatar do usuário
Delfim
BFW Participative
 
Mensagens: 101
Registrado em: Ter Fev 02, 2010 6:28 pm
Localização: Capelinha
BrazilFW Box: Sempre testando o<<>> BFW<<>>

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor arisimoes » Seg Nov 03, 2014 8:44 am

interessante o tutorial !+ , porém o haro aqui pra mim só funcionou por um tempo, minha maquina está com 3 placas de rede.
eth0 - internet
eth1 - local
wlan0 - local (modo AP)

fiz uma ponte entre as duas redes locais o haro bloqueia a rede cabeada mas n bloqueia a rede wireless
(meu objetivo é bloquear o whatsapp e o facebook junto com o facebook messenger, hoje reinstalarei o bfw pra tentar de novo mas se tiver alguma dica fico agradecido :o!
Avatar do usuário
arisimoes
BFW Curious
 
Mensagens: 16
Registrado em: Sex Ago 08, 2014 11:23 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Seg Nov 03, 2014 2:37 pm

O Haro bloqueio toda a rede. salvo se estiver configurado na lista branca.
Faz um teste com iptables para bloquear o facebook no ip da wlan0 no rc local ou no sisblock e verifique se funciona.
Como vais reinstalar o bfw, teste novamente e se não der certo tente o que indiquei acima e nos reporte.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor arisimoes » Seg Nov 03, 2014 6:05 pm

é o que aparece no iptables quando o haro ta acionado, percebi tbm q o dhcp n esta mostrando na lista de conceção o ip 192.168.2.2 ai peguei um mac qualquer e setei esse ip e liberei ele no haro, porem todas as outras maquinas continuam com acesso.
aparentemente tem umas linhas com erro "(" expected

Código: Selecionar todos
[brazilfw]/# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
traffic-count  all  --  anywhere             anywhere
SSH-MONITOR  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
LOG_DROP   all  --  anywhere             anywhere             ctstate INVALID
internal-service  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
traffic-count  all  --  anywhere             anywhere
DROPDNS    all  --  anywhere             anywhere
LOG_DROP   all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
TCPMSS     tcp  --  anywhere             anywhere             tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
haro       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
traffic-count  all  --  anywhere             anywhere

Chain DROPDNS (1 references)
target     prot opt source               destination

Chain LOG_DROP (4 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain SSH-MONITOR (1 references)
target     prot opt source               destination
           tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: SET name: SSH side: source mask: 255.255.255.255
LOG_DROP   tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: UPDATE seconds: 300 hit_count: 4 TTL-Match name: SSH side: source mask: 255.255.255.255

Chain haro (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.2.2          anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     udp  --  anywhere             anywhere             udp dpt:pop3
DROP       all  --  anywhere             anywhere

Chain internal-service (1 references)
target     prot opt source               destination
RETURN     icmp --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     gre  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
LOG_DROP   all  --  anywhere             anywhere

Chain traffic-count (3 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
ACCOUNT    all  --  anywhere             anywhere             ACCOUNT addr 192.168.2.0/24 tname lan0
[brazilfw]/# [brazilfw]/# iptables -L
-sh: [brazilfw]/#: not found
[brazilfw]/# Chain INPUT (policy ACCEPT)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/# traffic-count  all  --  anywhere             anywhere
-sh: traffic-count: not found
[brazilfw]/# SSH-MONITOR  all  --  anywhere             anywhere
-sh: SSH-MONITOR: not found
[brazilfw]/# ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
-sh: ACCEPT: not found
[brazilfw]/# LOG_DROP   all  --  anywhere             anywhere             ctstate INVALID
-sh: target     prot opt source               destination
LOG_DROP: not found
[brazilfw]/# internal-service  all  --  anywhere             anywhere
-sh: internal-service: not found
[brazilfw]/#
[brazilfw]/# Chain FORWARD (policy ACCEPT)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/# traffic-count  all  --  anywhere             anywhere
TCPMSS     tcp  --  anywhere             anywhere             tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
-sh: traffic-count: not found
[brazilfw]/# DROPDNS    all  --  anywhere             anywhere
-sh: DROPDNS: not found
[brazilfw]/# LOG_DROP   all  --  anywhere             anywhere             ctstate INVALID
-sh: LOG_DROP: not found
[brazilfw]/# ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
-sh: ACCEPT: not found
[brazilfw]/# TCPMSS     tcp  --  anywhere             anywhere             tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU
-sh: TCPMSS: not found
[brazilfw]/# haro       all  --  anywhere             anywhere
-sh: haro: not found
[brazilfw]/#
[brazilfw]/# Chain OUTPUT (policy ACCEPT)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/# traffic-count  all  --  anywhere             anywhere
-sh: traffic-count: not found
[brazilfw]/#
[brazilfw]/# Chain DROPDNS (1 references)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/#
[brazilfw]/# Chain LOG_DROP (4 references)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/# DROP       all  --  anywhere             anywhere
-sh: DROP: not found
[brazilfw]/#
[brazilfw]/# Chain SSH-MONITOR (1 references)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/#            tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: SET name: SSH side: source mask: 255.255.255.255
-sh: tcp: not found
[brazilfw]/# LOG_DROP   tcp  --  anywhere             anywhere             tcp dpt:ssh state NEW recent: UPDATE seconds: 300 hit_count: 4 TTL-Match name: SSH side: source mask: 255.255.255.255
-sh: LOG_DROP: not found
[brazilfw]/#
[brazilfw]/# Chain haro (1 references)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/# ACCEPT     all  --  192.168.2.2          anywhere
-sh: ACCEPT: not found
[brazilfw]/# ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
-sh: ACCEPT: not found
[brazilfw]/# ACCEPT     udp  --  anywhere             anywhere             udp dpt:pop3
-sh: ACCEPT: not found
[brazilfw]/# DROP       all  --  anywhere             anywhere
-sh: DROP: not found
[brazilfw]/#
[brazilfw]/# Chain internal-service (1 references)
-sh: syntax error: unexpected "("
[brazilfw]/# target     prot opt source               destination
-sh: target: not found
[brazilfw]/# RETURN     icmp --  anywhere             anywhere
-sh: RETURN: not found
[brazilfw]/# RETURN     all  --  anywhere             anywhere
-sh: RETURN: not found
[brazilfw]/# RETURN     gre  --  anywhere             anywhere
-sh: RETURN: not found
[brazilfw]/# RETURN     all  --  anywhere             anywhere
-sh: RETURN: not found
[brazilfw]/# LOG_DROP   all  --  anywhere             anywhere
-sh: LOG_DROP: not found
[brazilfw]/#
[brazilfw]/# Chain traffic-count (3 references)
-sh: syntax error: unexpected "("
           all  --  anywhere             anywhere
[brazilfw]/# target     prot opt source               destination
-sh:            all  --  anywhere             anywhere
target: not found
[brazilfw]/#            all  --  anywhere             anywhere
-sh: all: not found
[brazilfw]/#            all  --  anywhere             anywhere
-sh: all: not found
[brazilfw]/#            all  --  anywhere             anywhere
-sh: all: not found
[brazilfw]/#            all  --  anywhere             anywhere
-sh: all: not found
[brazilfw]/# ACCOUNT    all  --  anywhere             anywhere             ACCOUNT addr 192.168.2.0/24 tname lan0
-sh: ACCOUNT: not found
Avatar do usuário
arisimoes
BFW Curious
 
Mensagens: 16
Registrado em: Sex Ago 08, 2014 11:23 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Seg Nov 03, 2014 8:04 pm

Alguma configuração em sua rede não bate..

Antes de entender isto, refaz o bfw e passa a configuração de sua rede, lan, internet e Wlan0.
Amarre o maXip e teste o funcionamento sem as regras de bloqueios, depois vá adicionando as regras começando com o Haro, teste a funcionalidade e depois instale o sisblock configurando cada instância até chegar aos bloqueios que necessita.

Digo isto para entender que é mais simples refazer do zero e reconfigurar do que tentar ajustar algumas funcionalidades que simplesmente não respondem ao "start".
Para entender o que está acontecendo, precisaria estar com seu bfw e verificar as funções do "underground" para descobrir.
Observe que o Haro ( iptables ) Dropa tudo mas quando ele vai criar as regras para drop do Range, dá um "erro inexperado".

Se alguém sacar mais de iptables e tentar entender porque esse o erro está ocorrendo, será bem vindo a ajuda.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor arisimoes » Ter Nov 04, 2014 11:18 pm

Lenobare escreveu:Alguma configuração em sua rede não bate..
maXip <- o que é?



Vou tentar na sexta feira pois estudo a noite e trabalho pelo dia nas terças a quinta - vou refazer o bfw e tentar so usando lan + internet, e testar o haro se funcionar ai habilito o wlan como ap pra ver como responde
Avatar do usuário
arisimoes
BFW Curious
 
Mensagens: 16
Registrado em: Sex Ago 08, 2014 11:23 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Qua Nov 05, 2014 12:45 am

Ok, refaça e nos reporte para ser resolvido o problema e fazer os ajustes necessários.

o maXip foi falha minha de digitação, na verdade seria amarração de Mac X Ip ok.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor caugustoo » Qua Nov 05, 2014 9:57 am

Olá, show a iniciativa/tutorial, mas estou utilizando bfw a 2-3 anos tenho duas grandes dúvidas onde aqui vou expor uma delas por ser condizente com o tema, e também acredito ser "fantasma" de muitos "adm" como nós "meros mortais" que "cruzam e correm pro gol para cabecear"...

Como bloquear imagens pornográficas no Google?

Tenho vários bloqueios e outros complementos com GPO e até com blockfree (já vencido mas ainda útil), mas o usuário entra na pesquisa do Google digita "put4r14" (coloquei os números pois não sei se é permitido colocar o termo na integra, mas a palavra que o usuário digita aqui na pesquisa no Google é o termo em português na íntegra digitado corretamente! Só para deixar bem claro...kkk) e pronto, ali mesmo acessa álbuns e álbuns de imagens, depois tenta salvar como papel de parede que já foi bloqueado, envia por email enfim... Dá um jeito de disseminar na rede...

Teria uma solução ou regra ou ferramenta que poderia bloquear efetivamente?

Att. Carlos
Avatar do usuário
caugustoo
BFW Curious
 
Mensagens: 22
Registrado em: Qui Ago 19, 2010 10:12 am
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Qua Nov 05, 2014 9:54 pm

Amigo, a idéia é boa mas podemos ter um problema quanto a isto.
Digamos que consiga bloquear as imagens do site erótico que precisa em que geralmente seria por extensão... Se bloquear este “pic” possívelmente outro site que esteja em conformidade e não seja erótico será bloqueado também se tiver a mesma extensão compreende... As regras não vão saber se aquela imágem é um sanduíche ou uma garota desnuda, mas sim a sua extensão.
Poderá conseguir os bloqueios por iptables mas seguindo minha linha de raciocínio não vai ajudar muito.
O que poderá fazer é bloquear por frases ou nomes pelo Dasnguardian, pois o nome "put4r14", será bloqueado em toda a rede a menos que configure para não utilizar os filtros para determinados ips mas ainda estou iniciando o vídeo tutorial com bloqueio pelo Dans e talvez vá demorar um pouco para sair pelo fato de haver muitas variações de regras dos bloqueios e isto leva tempo para produzir esse tutorial.
Portanto é possível pelo "dans" mas vai ter que estudar e entender a forma do bloqueio.
Se alguém tiver alguma luz mais “rápida” pra nos ajudar nesta questão será muito bem vinda.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor altyzin87 » Qui Nov 06, 2014 10:12 am

Lenobare se garantiu no vídeo. :aplause:

- Isso ajuda muito a galera iniciante no Brazilfw.
Usava o Distro Untangle muito bom :roll: mas não tem a praticidade e liberdade do BrazilFW.
- Nas regras de bloqueio eu fiz assim
Em scripts de inicialização coloquei o bloqueio apontando para placa interna - porta 80 e 443 = ethx.
Assim apliquei o Squid 3128 e acabei aplicando o proxy na rede interna :D
Usei o Addons DGPANEL para fazer os bloqueios.
Dessa forma não precisei add script de inicialiação para liberar os IPs que poderiam ter acesso ao facebook (administradores da empresa).
No meu caso quando inicializei o serviço do DGPANEL ele fez o bloqueio da DMZ tbm - Apenas coloquei no arquivo de texto do DGPANEL a range de IPS da DMZ.
Dessa forma ficou show.
Quando quero liberar tudo mesmo uso o HARO.
Por isso tô dancing adorando o BrazilFW por ter diversas maneiras de se trabalhar.
https://azpinup.com/

Təcrübəli istifadəçilərin bütün tələblərinə cavab verən müasir onlayn məkan. Tez və sadə qeydiyyatı olan unikal dizaynda hazırlanmışdır. 40-dan çox provayderlər slots minlərlə var. Saytda var, casino, CANLI oyunlar, TV-əyləncə və əla bonus sistemi. Bunun sayəsində Pin-Up MDB ölkələrində ən yaxşı müəssisə olmuşdur.
Avatar do usuário
altyzin87
BFW Curious
 
Mensagens: 15
Registrado em: Seg Out 20, 2014 12:12 pm
Localização: Fortaleza
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor svierzoski » Qui Nov 06, 2014 3:53 pm

Lenobare, amigão, se possivel onde to comendo bola.

Montei bfw do zero, seguindo sua dica, e estou seguindo seu video certinho, e acredito que consegui aplicar o sysblock ... porque consegui ativar na rede e colocar bloqueio do site, e está bloqueando legal, só esta pouco lento acesso que acredito ser por causa de cache do squid estar zerado - to certo ?

Ai a zica que cai, não consigo acessar de jeito nenhum meu firewall https://192.168.0.1:8181 - localmente - estou mexendo direto na maquina;

Valeus,
__________________________________________________________________________________________________
Avatar do usuário
svierzoski
BFW Participative
 
Mensagens: 182
Registrado em: Ter Nov 30, 2010 3:24 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Qui Nov 06, 2014 4:52 pm

NO IE:
"ENGRENAGEM" ou Ferramentas, opções da internet, conexões, configurações de LAN.. habilite a opção "não usar servidor proxy para endereços locais"... guia avançadas e coloque em exceções o ip do seu bfw, que no caso é 192.168.0.1
Utilize as mesmas regras no Firefox e similares.

Pessoal, entendam o seguinte...
Todo tipo de bloqueio, independente se for aqui ou ali, em determinados momentos haverá algum tipo de lentidão, pois as regras são filtros que decidem "sim" ou "não" de acordo com sua configuração, precisa de alguns milissegundos adicionais.
Filtrar ips ( ou seja, os usuários de sua rede ) vai ter seu bônus mas haverá seu ônus também e isto é inevitável.. é uma troca justa.
Mais duas questões que tenho que ressaltar:
- Evitem utilizar cpus mais antigas.. assim você não está ajudando a sua própria rede;
- Tenham pelo menos 3 gb de RAM e por favor, coloquem de preferência um HD novo pro seu cache, mesmo que a máquina não seja nova.. os repasses de dados vão depender muito também da performance do seu HD.. e se conseguirem colocar um SSD, melhor ainda.

Indico também que não deixem o cache ultrapassar 20GB senão a lentidão vai ser eminente..
Sempre executo a limpeza do cache 1 vez por mês.

Vamos seguir em frente com os bloqueios enxugando a utilização de sites que trabalham seus usuários para que sua rede se torne mais segura e eficiente.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor svierzoski » Sex Nov 07, 2014 10:38 am

Show Lenobare, funfo legal.

Cara, só estou fritando com uma coisa que na real ainda nao compreendi, ja vi seu video 3 vezes, e não encontro meu erro.

Sysblock ta bloqueando a faceBOOKA filé, www. https show, a zica agora está em liberar um, dois IPs para não bloquear (seria a chefia).

Se entendi a logica, colocamos em : Sysblock os sites que serão bloqueados, e em : Usuario/IP Lançado os Ips que não será bloqueado, seria isso ?

Vendo seu video vi que tem o DGPanel, e fuxando instalei tambem, e via dansguardian coloquei IP Liberado por lá, mais sem sucesso.

Não saquei apenas onde e como eu defino quem não passa pelo bloqueio.

EDITADO: No vídeo estou me perdendo nos exato 1.02:38 do seu vídeo - que é o teste de liberação por IP.

Valeu
__________________________________________________________________________________________________
Avatar do usuário
svierzoski
BFW Participative
 
Mensagens: 182
Registrado em: Ter Nov 30, 2010 3:24 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Sex Nov 07, 2014 5:49 pm

Seu chefe está utilizando o proxy transparente ou não transparente...
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor svierzoski » Sex Nov 07, 2014 7:41 pm

Nao transparente.
__________________________________________________________________________________________________
Avatar do usuário
svierzoski
BFW Participative
 
Mensagens: 182
Registrado em: Ter Nov 30, 2010 3:24 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Sex Nov 07, 2014 11:11 pm

svierzoski escreveu:Nao transparente.


Tenho uma opinião particular sobre os ip que não necessitam de bloqueios:
- Para singulares bloqueios, não adicione-o em modo não transparente, pois não queres bloqueá-lo e sim gerenciá-lo sem restrições ou quase isto. Bloqueie em alguma regra por iptables e não pelo squid.
Em seu caso, deixe-o em "ips/lançados" e o retire da porta 3128, pois não queres utilizar regras de bloqueios do proxy para este ip e mesmo assim, coloque mais uma regra de ips liberados para ele com o exemplo a seguir nas regras acl explicado no vídeo:
Código: Selecionar todos
acl liberados src "/etc/brazilfw/custom/liberados"
http_access allow liberados

Se não utilizar regras iptables para bloquear algo deste ip e queres continuar pelo proxy, adicione também no "block sites xIP", adicionando em sites bloqueados em subitem acima, apenas os bloqueios que quer fazer, em que este não utiliza as regras de bloqueios geral mas bloqueará apenas o que adicionar neste item, pois se não adicionar nada, não bloqueará nada a princípio.
No Vídeo, esqueci de gravar esta forma de distinguir os ips dos bloqueios gerais para os bloqueios específicos para outro ip.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor arisimoes » Sáb Nov 08, 2014 11:22 am

Esses testes foram feitos com o nat habilitado*

Código: Selecionar todos
[brazilfw]/# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
traffic-count  all  --  anywhere             anywhere
SSH-MONITOR  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ES                                                                                                                                                             TABLISHED
LOG_DROP   all  --  anywhere             anywhere             ctstate INVALID
internal-service  all  --  anywhere             anywhere

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
traffic-count  all  --  anywhere             anywhere
DROPDNS    all  --  anywhere             anywhere
LOG_DROP   all  --  anywhere             anywhere             ctstate INVALID
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ES                                                                                                                                                             TABLISHED
TCPMSS     tcp  --  anywhere             anywhere             tcp flags:SYN,RST/                                                                                                                                                             SYN TCPMSS clamp to PMTU
haro       all  --  anywhere             anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
traffic-count  all  --  anywhere             anywhere

Chain DROPDNS (1 references)
target     prot opt source               destination
LOG_DROP   tcp  --  anywhere             anywhere             tcp dpt:domain
LOG_DROP   udp  --  anywhere             anywhere             udp dpt:domain

Chain LOG_DROP (6 references)
target     prot opt source               destination
DROP       all  --  anywhere             anywhere

Chain SSH-MONITOR (1 references)
target     prot opt source               destination
           tcp  --  anywhere             anywhere             tcp dpt:ssh state                                                                                                                                                              NEW recent: SET name: SSH side: source mask: 255.255.255.255
LOG_DROP   tcp  --  anywhere             anywhere             tcp dpt:ssh state                                                                                                                                                              NEW recent: UPDATE seconds: 300 hit_count: 4 TTL-Match name: SSH side: source ma                                                                                                                                                             sk: 255.255.255.255

Chain haro (1 references)
target     prot opt source               destination
ACCEPT     all  --  192.168.2.2          anywhere
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:pop3
ACCEPT     udp  --  anywhere             anywhere             udp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere             tcp dpt:submission
ACCEPT     udp  --  anywhere             anywhere             udp dpt:submission
DROP       all  --  anywhere             anywhere

Chain internal-service (1 references)
target     prot opt source               destination
RETURN     icmp --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
RETURN     gre  --  anywhere             anywhere
RETURN     all  --  anywhere             anywhere
LOG_DROP   all  --  anywhere             anywhere

Chain traffic-count (3 references)
target     prot opt source               destination
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
           all  --  anywhere             anywhere
ACCOUNT    all  --  anywhere             anywhere             ACCOUNT addr 192.1                                                                                                                                                             68.2.0/24 tname lan0
[brazilfw]/#

Então Lenobare, depois de alguns testes essa é a tabela do iptables e agora vou relatar o que pude perceber:

Quando eu configuro o haro sem ligar o mysqlserver (Configurações>ServidorMysql) o haro até q funcionou pra https, mas quando habilito o myql server ele libera de volta. mas meu objetivo inclui as portas 5222, quando se bloqueia essas portas junto com a 443, vc consegue bloquear FACEBOOK, FACEBOOK MESSENGER e WHATS APP, então em script de inicialização eu adicionei
Código: Selecionar todos
iptables -A FORWARD -p tcp --dport 5222 -j REJECT
iptables -A FORWARD -p udp --dport 5222 -j REJECT
mas depois de um tempo e nem lembrei de olhar o cron mas tipo as regras somem do iptables. o Haro tem algum comando no cron pra refazer o iptables?

Então tentei fazer de outra foma, deixei bem parecido com o do video dansguardian, mysar, e clamav, depois de tudo configurado e rodando, instalei o haro , configurei as mesmas portas do vdeo salvei iniciei e reiniciei o server e nada de bloqueio https

ps.: quando eu tava sem nada instalado so o haro ele bloqueou a rede virtual, o que eu então tinha conseguido antes ( credito q seja por conta do mysar).

Ps2.: na tentativa de desligar o mysar e o mysql server ele "n desliga" mesmo depois de salva a configuração quando reinicia a maquina volta a rodar, irei tentar remover no braço. Só consegui faze-lo parar apos desinstalar o mysar

=============
Minha solução
=============
Desativei o NAT, removi o haro, fiz todo o processo usando o sisblock, porem no cache deixei ativo o ocultar proxy, celulares acessam a internet mas n tem acesso ao facebook e ao whatsapp :o!
coloquei o mysar e o dansguardian e ficou tudo lindo, nas maquinas tenho q colocar o proxy se não n navega, e nos celulares não preciso.
Editado pela última vez por arisimoes em Sáb Nov 08, 2014 3:42 pm, em um total de 1 vez.
Avatar do usuário
arisimoes
BFW Curious
 
Mensagens: 16
Registrado em: Sex Ago 08, 2014 11:23 pm
BrazilFW Box:

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Sáb Nov 08, 2014 3:23 pm

arisimoes, boa tarde...
Vou fazer este teste nesta configuração que especificou e reportarei aqui.
No caso do mysql, isto é assim mesmo, as vezes não consegue desativar e portanto tem que ser no braço, não me pergunte porque, pois não sei :mrgreen: portanto desativo pelo meus dedos engordurados mesmo.
Testarei esta semana e responderei por aqui meus testes.

Um abraço.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor Lenobare » Qui Nov 13, 2014 2:02 am

Boa noite a todos..
Depois de alguns servidores bfw que configurei em algumas empresas, venho reportar os acontecimentos.
Fiz uns testes sempre em conjunto com regras transparente e nao transparente, em que dou prioridade aos ips "desbloqueados" utilizar o proxy da forma transparente, fazendo pequenos ajustes e praticamente nao limitando estes ips para qualquer coisa em que talvez um bloqueio simples de alguma rede social ou site nocivo ou agressivo para as redes em questao e utilizando proxy transparente, bloqueio todo o resto da rede com regras acl na medida das necessidades do cliente.
Quando fiz o video, ja tinha pelo menos 6 clientes em uso produtivo do sisblock e outros add ons como suporte, bem parecido com a metodologia que expliquei no video e tudo ia andando muito bem.
Mas coincidencia ou nao, depois dos comentarios do usuario " arisimoes ", comecei a receber algumas ligacoes de clientes.
Ate ai nada de anormal, pois e por isto que nos contratam, para implementar, ajustar e dar mais seguranca a sua estrutura.
Em um desses clientes, trabalha uma amiga minha que eh secretaria e sempre me informa problemas neste cliente e me repassa para eu fazer o suporte necessario, a principio remotamente e depois se for o caso, uma visita no cliente em loco.
Ela me informou que no dia anterior comecou a ver pela primeira vez um dos usuarios utilizando uma rede social em que neste ip eu tinha bloqueado.. a principio nao entendi direito e fui averiguar pessoalmente e constatei que aquela maquina funcionava os bloqueios mas para esta rede social, mesmo estando bloqueada, funcionava normalmente.
Verifiquei as configuracoes do squid, do sisblock, rc.local e tudo mais e mesmo estando bloqueado, esta rede social estava entrando normalmente com senha e tudo mais.
O que eu fiz:
Parei o cache que estava em torno de 12gb mas pelo webadmin nao tive sucesso. Fui no "dedao" pelo " rm "e deixei-o zerado.
iniciei o servico e verifiquei se o tal ip estava bloqueado.. aparentemente sim mas aquela bendita rede social continuava a funcionar. Descobri entao que a regra "classica" de iptables que exponencei no video em que todos ja a conhecem muito bem, nao estava bloqueando o range para aquele ip, muito menos as regras de ACL que configurei.
Como resolvi o problema:
Criei outra regra de iptables especifico para aquele ip e somente ai consegui bloquear o "famigerado" site.
" Minha Conclusao: "
Nos administradores de rede nao podemos nos acomodar, colocando um linux como o responsavel pela rede, mas sim nos mesmos.
Esta responsabilidade e de pura e exlusiva nossa.. um sistema bem feito ou mal feito, precisa constantemente de nossa administracao, de nosso empenho e de nosso compromisso de que tudo vai funcionar como o cliente solicitou.
O bfw nao faz milagre, apesar de ser sensacional e que ainda nao pode ser um "checkpoint".
O problema nao eh um squid falhar, porque isto nao e tao incomum; nao e ter regras da tabela mangle sucetiveis a erros por causa da complexidade de uma rede ou limitacoes de regras, o que tambem pode ocorrer; o grande problema e nos administradores sermos neglientes, incapazes e algumas vezes porque nao dizer imcompetentes em que me incluo neste clube. Neste caso que expliquei, tive o conhecimento pra resolver um problema que eu achava que nao teria mais mas e quem nao consegue resolver esse ou aquele problema?
Apesar de tudo que falei, nao desmereci em momento algum a distro Brazilfw e nunca irei fazer isto porque e um sistema na minha opiniao muito bem feito e sempre estara em constante evolucao...
A questao e que quando algo falha, tens que ter ferramentas para corrigir esse erro o mais rapido possivel e o melhor que puder.
Acho que todos que utilizam o bfw e outras vertentes linux para fins profissionais devem tomar cuidado para sempre estarem se atualizando, pesquisando, estudando e se reinventando, alem de sempre tentarmos deixar toda uma estrutura segura, "enxuta" e de facil utilizacao para o usuario. Nunca podemos deixar a rede sem monitoramento, porque o linux nao e tao interativo assim, voce tem que "conversar" com ele, entrar em sua estrutura e verificar constantemente se a casa esta em ordem ou nao.

Independentemente de acertos ou erros, sou um adm realizado por trabalhar com a distro Brazilfw e feliz de ter pessoas incriveis em que neste forum sempre nos faz ajudar.

Obrigado a todos.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Video - Bloqueios no BFW (Iptables and Proxy) by LenoBar

Mensagempor DigiCal » Qui Nov 13, 2014 9:49 am

Parabéns Lenobare, pela solução e principalmente por seus princípios como pessoa e como usuário e colaborador do BrazilFW, pois você falou o que muitos sabem mas esqueceram, a principal "ferramenta" da rede é o administrador.
!+ :o!
"A resposta branda desvia o furor, mas a palavra dura suscita a ira." Provérbios 15:1
BrazilFW sempre!
Avatar do usuário
DigiCal
BFW Documenter
BFW Beneméritos
BFW Manager
 
Mensagens: 896
Registrado em: Sex Jun 04, 2010 5:50 pm
Localização: Carpina-PE
BrazilFW Box: BFW 3.0.262 (64 bits) + eBackup + MySAR

Próximo

Voltar para Proxies

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 3 visitantes