BFW Firewall & Router

Boa noite pessoal, configurei um BFW 3.0.260 num escritorio de contabildade, nele estou com proxy não transparente, bloqueio de sites feito com lista negra, controle do squid por MAC, o NAT esta ativado e estou com o HARO instalada trabalhando com lista branca de portas e com esse cenário não estou conseguindo liberar o envio de arquivos pela SEFIP e transmissão pelo TEDSEF. Só consigo funcionar se liberar a porta 80 no HARO, mas se eu fizer isso os usuários da rede pode tira o proxy do navegador e navegar sem restrição, já com o SPEDFISCAL deu certo usai as seguintes regras :

Código: Selecionar todos

iptables -A FORWARD -i eth1 -p tcp -d 200.198.232.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp -d 200.198.0.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp -d sped.fazenda.gov.br --dport 80 -j ACCEPT


usei as mesma regras no TEDSEF E SEFIP mudando os ips dos sites, mas não tive sucesso.
Por isso venho aqui pedir a ajudas de vocês.

Por que não cadastra o IP dessa máquina no HARO para ficar liberada da lista de bloqueio de portas?

Deixa porta 80 bloqueada e libera acesso completo de portas somente para o IP da Sefip.

Dúvida: se você está usando proxy não transparente quer dizer que está usando o WPAD, se for isso ele já configura automaticamente o proxy no navegador, não é?



Att

Vocês diz, se eu colocar o ip da sefip tipo 200.201.173.68 no HARO ele vai liberar? desculpe a ignorância mas o Haro não liberar somente ips internos ?
Agora a questão do WPAD, ele esta ativado mas se eu deixar o proxy do browser para pegar automático ele não funciona.

angelovga escreveu:Vocês diz, se eu colocar o ip da sefip tipo 200.201.173.68 no HARO ele vai liberar? desculpe a ignorância mas o Haro não liberar somente ips internos ?
Agora a questão do WPAD, ele esta ativado mas se eu deixar o proxy do browser para pegar automático ele não funciona.

Não amigo, não me refiro ao ip utilizado pelo Sefip. Refiro-me ao IP do computador que tem que acessar a Sefip. Ex.: 192.168.0.XXX... Deixe a porta 80 bloqueada no Haro mas libere o IP do computador que precisa acessar a SEFIP, dessa forma somente ele poderá acessar a 80. Seria uma possível solução.

Se o WPAD está ativado e funcionando você não deveria, pelo menos teoricamente, ter que colocar o proxy no Navegador. Ele faz isso automático. Reveja o vídeo do TecJair, lá é bem explicado isso. Tem uma configuração que você tem que deixar no navegador para que ele pegue o proxy automático, além é claro de você ter que deixar a configuração do computador para IP e DNS automáticos!

Att

Boa noite..
Amigo, tenta isso aqui e veja se ajuda:

http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=90257

Lenobare escreveu:Boa noite..
Amigo, tenta isso aqui e veja se ajuda:

Código: Selecionar todos

http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=90257

Lenobare, melhor liberar a porta 80 no Haro para um IP, que segundo nosso colega está sendo o problema, do que liberar completamente o acesso para este IP. Não concorda?

Sua solução resolve, porém é como matar uma formiga com um tiro de bazuca, no meu entendimento, abre demais o leque para este IP que será liberado completamente. Mas isso quem decidirá é o nosso amigo ali em cima.

Boa noite pessoal.
A ideia do lenobare é interessante mas se eu fizer isso vou fica com muitas maquinas sem bloqueio, no escritório de 25 maquinas quase todas usam os sistemas do governo tipo umas 12 maquinas, agora a opção de colocar o ip da maquina em exceção funciona, ma acaba perdendo o sentido de dar segurança para rede, pois o servidor foi instalado justamente para dar segurança; e trabalhando com lista branca de portas me da uma segurança maior, se fosse uma ou duas maquina ate daria.
Me desculpe pessoal, não sendo exigente, não teria como fazer esse liberação no firewall/iptables?

No meu caso, ainda nao migrei toda a rede para o BFW. Ainda uso meu velho Fedora 14 como firewall.

No meu caso faço assim:
tail -f /var/log/squid/access.log | grep 192.168.252.26 #caminho do log do Squid, filtrando o IP em questao na rede
e poe pra derreter!!
o resultado é:

1412343046.001 65887 192.168.252.26 TCP_MISS/503 0 CONNECT 128.73.249.177:443 - DIRECT/128.73.249.177 -
1412343052.642 383 192.168.252.26 TCP_MISS/200 5899 CONNECT clients3.google.com:443 - DIRECT/173.194.118.197 -
1412343054.011 65395 192.168.252.26 TCP_MISS/503 0 CONNECT 98.180.58.164:443 - DIRECT/98.180.58.164 -
1412343061.159 182687 192.168.252.26 TCP_MISS/200 3617 CONNECT secure.skypeassets.com:443 - DIRECT/23.44.177.206 -
1412343061.160 0 192.168.252.26 TCP_DENIED/302 427 CONNECT m.hotmail.com:443 - NONE/- text/html

Note que nas primeiras linhas a instrução é TCP_MISS , ou seja, passou pelo proxy e acessou normal.
Como o Hotmail é bloqueado aqui na rede, quando acessado a instrução é TCP_DENIED... é assim que eu vejo o que é bloqueado e libero (se permitido).

Se o problema for com portas, eu uso uma regra de SafePorts, liberando a porta em questao. Nao me recordo se a Sefip e o TED usam porta 80, mas ja tive cenario onde precisei liberar todas as portas pra saída de um determinado IP, e bloquear as 80 e 443 para navegação. Ai o usuario nao tera o bloqueio de porta, mas nao navega sem estar no proxy.

Outra coisa, minhas regras para SEFIP e TED são:

# SEFAZ
iptables -I INPUT 1 -p tcp -d 200.198.239.22 -m multiport --dports 80,443 -j ACCEPT
iptables -I FORWARD 1 -p tcp -d 200.198.239.22 -m multiport --dports 80,443 -j ACCEPT

# SEFIP CAIXA
iptables -I INPUT 1 -p tcp -d 200.201.174.207 -m multiport --dports 80,443 -j ACCEPT
iptables -I FORWARD 1 -p tcp -d 200.201.174.207 -m multiport --dports 80,443 -j ACCEPT
iptables -t nat -I PREROUTING 1 -p tcp -d 200.201.174.207 -m multiport --dports 80,443 -j RETURN

angelovga, tudo bem..
Entenda que um administrador de um servidor AD ou Firewall tem que antes de bloquear qualquer coisa, liberar o que simplesmente não funciona.
A regra que coloquei no post citado funciona muito bem para o padrão de regras que utiliza que no caso é proxy não transparente mas isto não significa que por regras de iptables você não consiga deixar seus ips protegidos ou bem utilizados, mesmo os liberados.
Quer ter sucesso em sua rede para qualquer tipo de "bloqueios"?
1 - Algum conhecimento no que está administrando
2 - Entender como utilizar regras de um proxy ( o básico )
3 - Entender como utilizar regras de iptables ( o básico )
4 - Entender como funciona sua rede ( pelo que falou, 25 máquina é no mínimo uma obrigação de um Server Microsoft ou Linux )
5 - Criatividade

Em fase final, vídeo tutorial " Finalmente os Bloqueios! ", dando uma passada geral em bloqueios com o bfw dando ênfase no addon "sisblock".
Estamos finalizando isto para a exposição da solução "definitiva" de bloqueios gerais e com os sites de governo e bancos que precisa funcionar de forma estável e sem mistério.