Liberar SEFIP e TEDSEF no squid/iptables  [INACTIVE]

Fórum de discussão exclusivo para "proxies".

Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor angelovga » Qui Set 25, 2014 7:26 pm

Boa noite pessoal, configurei um BFW 3.0.260 num escritorio de contabildade, nele estou com proxy não transparente, bloqueio de sites feito com lista negra, controle do squid por MAC, o NAT esta ativado e estou com o HARO instalada trabalhando com lista branca de portas e com esse cenário não estou conseguindo liberar o envio de arquivos pela SEFIP e transmissão pelo TEDSEF. Só consigo funcionar se liberar a porta 80 no HARO, mas se eu fizer isso os usuários da rede pode tira o proxy do navegador e navegar sem restrição, já com o SPEDFISCAL deu certo usai as seguintes regras :

Código: Selecionar todos
iptables -A FORWARD -i eth1 -p tcp -d 200.198.232.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp -d 200.198.0.0/24 --dport 80 -j ACCEPT
iptables -A FORWARD -i eth1 -p tcp -d sped.fazenda.gov.br --dport 80 -j ACCEPT

usei as mesma regras no TEDSEF E SEFIP mudando os ips dos sites, mas não tive sucesso.
Por isso venho aqui pedir a ajudas de vocês.
Avatar do usuário
angelovga
BFW Curious
 
Mensagens: 24
Registrado em: Seg Mar 07, 2011 2:00 am
BrazilFW Box:

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor carlos_silvasantos » Sex Set 26, 2014 10:50 am

Por que não cadastra o IP dessa máquina no HARO para ficar liberada da lista de bloqueio de portas?

Deixa porta 80 bloqueada e libera acesso completo de portas somente para o IP da Sefip.

Dúvida: se você está usando proxy não transparente quer dizer que está usando o WPAD, se for isso ele já configura automaticamente o proxy no navegador, não é?



Att
Carlos Silva
Técnico em Informática | Bacharel em Informática | Especialista em Engenharia de Sistemas
E-mail: carlos.al.silva@live.com

"O dia está na minha frente esperando para ser o que eu quiser. E aqui estou eu, o escultor que pode dar forma a este dia." Albert Einstein
Avatar do usuário
carlos_silvasantos
BFW Intermediate
 
Mensagens: 692
Registrado em: Qua Jul 20, 2011 11:01 am
Localização: São Francisco de Assis - RS
BrazilFW Box: BFW 3.0.x 32 bits PAE
AMD Phenom(tm) II X4 3.215 GHz
4 GB DDR3 HD 500 GB SATA
Squid-DG-Haro-Layer7-MACxIP-QOS-BFW Cache 2.0-MySar-BandwidthD-SqStat

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor angelovga » Sex Set 26, 2014 4:31 pm

Vocês diz, se eu colocar o ip da sefip tipo 200.201.173.68 no HARO ele vai liberar? desculpe a ignorância mas o Haro não liberar somente ips internos :oops: :oops: ?
Agora a questão do WPAD, ele esta ativado mas se eu deixar o proxy do browser para pegar automático ele não funciona.
Avatar do usuário
angelovga
BFW Curious
 
Mensagens: 24
Registrado em: Seg Mar 07, 2011 2:00 am
BrazilFW Box:

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor carlos_silvasantos » Sex Set 26, 2014 7:45 pm

angelovga escreveu:Vocês diz, se eu colocar o ip da sefip tipo 200.201.173.68 no HARO ele vai liberar? desculpe a ignorância mas o Haro não liberar somente ips internos :oops: :oops: ?
Agora a questão do WPAD, ele esta ativado mas se eu deixar o proxy do browser para pegar automático ele não funciona.


Não amigo, não me refiro ao ip utilizado pelo Sefip. Refiro-me ao IP do computador que tem que acessar a Sefip. Ex.: 192.168.0.XXX... Deixe a porta 80 bloqueada no Haro mas libere o IP do computador que precisa acessar a SEFIP, dessa forma somente ele poderá acessar a 80. Seria uma possível solução.

Se o WPAD está ativado e funcionando você não deveria, pelo menos teoricamente, ter que colocar o proxy no Navegador. Ele faz isso automático. Reveja o vídeo do TecJair, lá é bem explicado isso. Tem uma configuração que você tem que deixar no navegador para que ele pegue o proxy automático, além é claro de você ter que deixar a configuração do computador para IP e DNS automáticos!

Att
Carlos Silva
Técnico em Informática | Bacharel em Informática | Especialista em Engenharia de Sistemas
E-mail: carlos.al.silva@live.com

"O dia está na minha frente esperando para ser o que eu quiser. E aqui estou eu, o escultor que pode dar forma a este dia." Albert Einstein
Avatar do usuário
carlos_silvasantos
BFW Intermediate
 
Mensagens: 692
Registrado em: Qua Jul 20, 2011 11:01 am
Localização: São Francisco de Assis - RS
BrazilFW Box: BFW 3.0.x 32 bits PAE
AMD Phenom(tm) II X4 3.215 GHz
4 GB DDR3 HD 500 GB SATA
Squid-DG-Haro-Layer7-MACxIP-QOS-BFW Cache 2.0-MySar-BandwidthD-SqStat

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor Lenobare » Sex Set 26, 2014 8:03 pm

Boa noite..
Amigo, tenta isso aqui e veja se ajuda:

http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=90257
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor carlos_silvasantos » Sex Set 26, 2014 8:14 pm

Lenobare escreveu:Boa noite..
Amigo, tenta isso aqui e veja se ajuda:

Código: Selecionar todos
http://www.brazilfw.com.br/forum/viewtopic.php?f=77&t=90257


Lenobare, melhor liberar a porta 80 no Haro para um IP, que segundo nosso colega está sendo o problema, do que liberar completamente o acesso para este IP. Não concorda?

Sua solução resolve, porém é como matar uma formiga com um tiro de bazuca, no meu entendimento, abre demais o leque para este IP que será liberado completamente. Mas isso quem decidirá é o nosso amigo ali em cima.
Carlos Silva
Técnico em Informática | Bacharel em Informática | Especialista em Engenharia de Sistemas
E-mail: carlos.al.silva@live.com

"O dia está na minha frente esperando para ser o que eu quiser. E aqui estou eu, o escultor que pode dar forma a este dia." Albert Einstein
Avatar do usuário
carlos_silvasantos
BFW Intermediate
 
Mensagens: 692
Registrado em: Qua Jul 20, 2011 11:01 am
Localização: São Francisco de Assis - RS
BrazilFW Box: BFW 3.0.x 32 bits PAE
AMD Phenom(tm) II X4 3.215 GHz
4 GB DDR3 HD 500 GB SATA
Squid-DG-Haro-Layer7-MACxIP-QOS-BFW Cache 2.0-MySar-BandwidthD-SqStat

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor angelovga » Sex Set 26, 2014 10:55 pm

Boa noite pessoal.
A ideia do lenobare é interessante mas se eu fizer isso vou fica com muitas maquinas sem bloqueio, no escritório de 25 maquinas quase todas usam os sistemas do governo tipo umas 12 maquinas, agora a opção de colocar o ip da maquina em exceção funciona, ma acaba perdendo o sentido de dar segurança para rede, pois o servidor foi instalado justamente para dar segurança; e trabalhando com lista branca de portas me da uma segurança maior, se fosse uma ou duas maquina ate daria.
Me desculpe pessoal, não sendo exigente, não teria como fazer esse liberação no firewall/iptables?
:oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops: :oops:
Avatar do usuário
angelovga
BFW Curious
 
Mensagens: 24
Registrado em: Seg Mar 07, 2011 2:00 am
BrazilFW Box:

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor andr3.ribeiro » Sex Out 03, 2014 10:43 am

No meu caso, ainda nao migrei toda a rede para o BFW. Ainda uso meu velho Fedora 14 como firewall.

No meu caso faço assim:
tail -f /var/log/squid/access.log | grep 192.168.252.26 #caminho do log do Squid, filtrando o IP em questao na rede
e poe pra derreter!!
o resultado é:

1412343046.001 65887 192.168.252.26 TCP_MISS/503 0 CONNECT 128.73.249.177:443 - DIRECT/128.73.249.177 -
1412343052.642 383 192.168.252.26 TCP_MISS/200 5899 CONNECT clients3.google.com:443 - DIRECT/173.194.118.197 -
1412343054.011 65395 192.168.252.26 TCP_MISS/503 0 CONNECT 98.180.58.164:443 - DIRECT/98.180.58.164 -
1412343061.159 182687 192.168.252.26 TCP_MISS/200 3617 CONNECT secure.skypeassets.com:443 - DIRECT/23.44.177.206 -
1412343061.160 0 192.168.252.26 TCP_DENIED/302 427 CONNECT m.hotmail.com:443 - NONE/- text/html

Note que nas primeiras linhas a instrução é TCP_MISS , ou seja, passou pelo proxy e acessou normal.
Como o Hotmail é bloqueado aqui na rede, quando acessado a instrução é TCP_DENIED... é assim que eu vejo o que é bloqueado e libero (se permitido).

Se o problema for com portas, eu uso uma regra de SafePorts, liberando a porta em questao. Nao me recordo se a Sefip e o TED usam porta 80, mas ja tive cenario onde precisei liberar todas as portas pra saída de um determinado IP, e bloquear as 80 e 443 para navegação. Ai o usuario nao tera o bloqueio de porta, mas nao navega sem estar no proxy.

Outra coisa, minhas regras para SEFIP e TED são:

# SEFAZ
iptables -I INPUT 1 -p tcp -d 200.198.239.22 -m multiport --dports 80,443 -j ACCEPT
iptables -I FORWARD 1 -p tcp -d 200.198.239.22 -m multiport --dports 80,443 -j ACCEPT

# SEFIP CAIXA
iptables -I INPUT 1 -p tcp -d 200.201.174.207 -m multiport --dports 80,443 -j ACCEPT
iptables -I FORWARD 1 -p tcp -d 200.201.174.207 -m multiport --dports 80,443 -j ACCEPT
iptables -t nat -I PREROUTING 1 -p tcp -d 200.201.174.207 -m multiport --dports 80,443 -j RETURN
Avatar do usuário
andr3.ribeiro
BFW Curious
 
Mensagens: 3
Registrado em: Ter Ago 05, 2014 9:27 am
BrazilFW Box:

Re: Liberar SEFIP e TEDSEF no squid/iptables

Mensagempor Lenobare » Sáb Out 04, 2014 1:47 am

angelovga, tudo bem..
Entenda que um administrador de um servidor AD ou Firewall tem que antes de bloquear qualquer coisa, liberar o que simplesmente não funciona.
A regra que coloquei no post citado funciona muito bem para o padrão de regras que utiliza que no caso é proxy não transparente mas isto não significa que por regras de iptables você não consiga deixar seus ips protegidos ou bem utilizados, mesmo os liberados.
Quer ter sucesso em sua rede para qualquer tipo de "bloqueios"?
1 - Algum conhecimento no que está administrando
2 - Entender como utilizar regras de um proxy ( o básico )
3 - Entender como utilizar regras de iptables ( o básico )
4 - Entender como funciona sua rede ( pelo que falou, 25 máquina é no mínimo uma obrigação de um Server Microsoft ou Linux )
5 - Criatividade

Em fase final, vídeo tutorial " Finalmente os Bloqueios! ", dando uma passada geral em bloqueios com o bfw dando ênfase no addon "sisblock".
Estamos finalizando isto para a exposição da solução "definitiva" :mrgreen: de bloqueios gerais e com os sites de governo e bancos que precisa funcionar de forma estável e sem mistério.
Estude, estude e... continue estudando.
Avatar do usuário
Lenobare
BFW Full Associate
BFW Beneméritos
BFW Manager
BFW Moderator
BFW HaarpCache
BFW Squid 3.5.x
 
Mensagens: 1682
Registrado em: Qua Ago 28, 2013 8:45 pm
Localização: Brasília
BrazilFW Box: Maquina: Fisica
CPU:Xeon HP ML30
Memória 8GB - 2Links
BFW 3.0.262 64 Bits
HD 300GB 15k,
Serviços Ativos: Control Mac, VPN, Squid (Cache),
Addons: Haro, Whatchdog. Squid 3.5.27, Lognet e Samba.


Voltar para Proxies

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 1 visitante

cron