BFW Firewall & Router

[joaostepien]

Olá para todos

Não sei se já foi postado esse tema aqui, se foi me perdoem pois não achei.

Eu quero negar acesso a internet a um determinado numero de Ip da rede interna e liberar o acesso a um determinado endereço da internet ex: Banco Bradesco, Correios etc.

No CL 2.24 entrei em Configuração Simplificada do Firewall e em Filtros para Usuários Internos Lista Negra adicionei o numero do Ip da rede interna, até aí ok, funcionou mas como liberar o endereço de determinados sites?

obrigado

[Claudio Roberto Cussuol]

A melhor forma é instalando o tinyproxy.

O tinyproxy tem uma lista de sites proibidos, mas ele pode ser configurado para fazer o contrário, Bloquear tudo e só permitir os sites listados.

[joaostepien]

como instalo ou carrego o tinyproxy no disquete do CL?

existe algum passo a passo no forum?

[Claudio Roberto Cussuol]

Faca o download do arquivo tinyproxy.tgz no meu site

http://www.rictec.com.br/claudio/coyote/tinyproxy.htm

Lá tem algumas instruções, mas é só salvar este arquivo no disquete. Quando voce der boot irá aparecer uma nova página no webadmin onde você poderá configurá-lo e montar a lista de sites.

[valdezio]

Amigo Claudio,

Estou com um problema semelhante, postei no forum mas não obtive resposta. Meu problema é que preciso bloquear todos os sites exceto os de banco e de governo e uma lista com nove sites comerciais. Porém tenho que deixar três máquinas liberadas para todos os sites. Preparei regras editando manualmente o arquivo "Firewall Access Configuration File". Funcionou bem mas o site do hotmail não consegue entrar pois ele fica tentando abrir vários sites para montar sua página e termina por não abrir o hotmail. Minha pergunta é se com o tinnyproxy eu posso editar a lista dos sites permitidos e liberar para as três máquinas com acesso total? Em caso positivo pelo tinny resolvo o problema do hotmail também?

Obrigado e um abraço.

[Fernando Della Torre]

Fala aí valdezio, blz?

escritório de contabilidade dando trabalho tb? hehehe

é o seguinte, aki em Sertãozinho estou usando o coyote 2.10 desse jeito e já roda com perfeição há uns 8 meses, nunca deu pau.


- COMO VER SÓ O QUE EU QUERO DEIXAR?
use o tinyproxy para bloquear tudo e liberar os sites da lista, isso é possivel editando o arquivo de conguração do tinyproxy, o q pode ser feito pelo webadmin. nao me lembro se vc tem q descomentar (tirar o # da frente) ou passar de No para Yes, mas no final das contas deve estar assim:

"FilterDefaultDeny Yes"

isso faz com que a "lista negra" do tiny, passe a ser a "lista branca".

na lista de "Denied Sites" vc passa a colocar os sites permitidos.

- COMO DEIXAR AS 3 MÁQUINAS NAVEGANDO EM TUDO?

hoje o coyote ativa automaticamente o tinyproxy para todos os IPs da rede. a primeira coisa a fazer é alterar isso.

para isso eu edito o arquivo /etc/rc.d/pkgs/lu.tinyproxy, comentando (inserir # no inicio) todas as linhas do mesmo.

ok, nesse ponto o tinyproxy nao atua em nenhuma máquina, agora é hora de fazer ele funcionar só onde a gente quer.
como a gente quer q ele filtre todas as máquinas, exceto 3, é mais fácil a gente dizer para não filtrar as 3 e filtrar o restante. isso faremos atravéz de regras IPTABLES que podemos inserir no arquivo rc.local (opção 3 no menu) ou no proprio /etc/rc.d/pkgs/lu.tinyproxy, fica a seu gosto. eu coloco no rc.local pq é lá que ponho todas as minhs regras personalizadas.

as regras ficam mais ou menos assim:


# Desativa tinyproxy para o IP 192.168.0.193
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.193 --dport 80 -j ACCEPT

# Desativa tinyproxy para o IP 192.168.0.157
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.157 --dport 80 -j ACCEPT

# Ativa tinyproxy para os demais IPs
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Sempre a regra que ativa o tiny para os demais deve vir depois das regras que desativa o tinyproxy para os IPs que devem ter acesso livre.
Lembre que uma vez que um pacote atende as condiçoes de uma regra no chain, ele nao passa por mais nenhuma.

tomara que de certo com vc. aki ficou uam tetéia, melhor que isso só se for por MAC ao invez de ir por IP.

Um abraço amigo.

[joaostepien]

Isso era exatamente o que eu estava querendo, o Valdezio está com o mesma dúvida minha.

Vou fazer exatamente o que o Fernando sugeriu pra ver se vai dar tudo certo.

De qualquer forma, muito obrigado pelas dicas

um grande abraço a todos

[Orivaldo]

Desculpem estar questionando, em cima da duvida do colega; mas acho que o assunto eh relativo...

Eu fiz tudo isso e comigo funciona legal.

so mais uma duvida. Alem disso eu bloquei todas as portas, liberando somente a porta 80 (l7filter). Nesse casso outlook, etc... nao funcionara. So que algumas paginas que pedem senha, usuario, etc. como as de banco nao abrem. O Avast nao atualiza. Voces sabem quais portas esses sites de banco usam e o avast quais portas usa para poder liberar essas.???

Um abraço

[Fernando Della Torre]

Olá Orivaldo..

Sobre o avast nao sei qual porta ele usa, mas você está liberando o endereço que ele usa no tinyproxy? se ele usar a 80, o tiny pode bloquea-lo.

quanto aos bancos, tente liberar a porta 443, que é a usada pelo protocolo https (http seguro) que os bancos costumam usar.

Um abraço.

[Orivaldo]

quanto aos bancos vou testar a tarde...

Quanto ao avast eu liberei o site http://www.avast.com no tinyproxy; sera que o endereco do servidor para download eh outro. Alguem sabe me dizer??? lembro que ja vi algo aqui no forum, mas agora nao acho.


Um abraço

[Fernando Della Torre]

sera que nao dá pra descobrir por um netstat -n ?
nunca tentei, mas pode ser.

[valdezio]

Amigos,

Muito obrigado Fernando. Fiz como recomendado e funcionou muito bem exceto pelo fato do site http://www.hotmail.com.br nao conseguir carregar. Não sei qual o problema mas acredito que seja a grande quantidade de url.s que precisa ser carregado para montar a pagina do hotmail.com.br . Alguem sabe como contornar este problema?

Desde já, obrigado.

Um abraço a todos.

[Rodrigo de Souza Ferreira]

Caro Fernando,

Desculpe a minha ignorancia mas eu não estou conseguindo fazer o que vc descreveu acima, então segue as minhas dúvidas?

Com relação ao listas de sites permitidos:
este comando "FilterDefaultDeny Yes" eu devo inseri-lo em "- Tinyproxy Denied or Allowed Sites" dentro de Tinyproxy configuration? E depois basta apenas colocar o endereço do site permitido ex: http://www.terra.com.br?
Caso não seja teria como vc me ensinar o comando?

Com relação a listas de máquinas permitidas para visitar qualquer site:
Este comando abaixo citado por vc ele deve ser inserido em "- Tinyproxy Users Configuration" dentro de tinyproxy configuration?

# Desativa tinyproxy para o IP 192.168.0.193
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.193 --dport 80 -j ACCEPT

# Desativa tinyproxy para o IP 192.168.0.157
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.157 --dport 80 -j ACCEPT

# Ativa tinyproxy para os demais IPs
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080



Desde já agrdeço a atenção de todos


Rodrigo de Souza Ferreira

[publio]

Claudio,


"iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080".

Eu aplicando esta regra, tenho que configurar o proxy nos navegadores dos clientes?
\o/

[Humberto Palácio]

Essa regra faz o que chamamos de proxy transparente, você não precisa configurar cada usuário, fica tudo no coyote.

[publio]

Ok Humberto.... muito obrigado.....]
\o/

[francis]

Boa Tarde

Aproveitando o embalo, teria como fazer o seguinte cenário:

3 máquinas navegam full
2 máquinas navegam em alguns sites somente (incluindo MSN)
2 máquinas navegam em alguns sites somente (Menos no MSN)

Todas usam Outlook.
As 5 primeiras máquinas o Cláudio já explicou aqui, com maestria. Conseguiriamos bloquear o MSN nas duas Últimas?

Obrigado a Todos.

Coyote 2.16
Tinyproxy 1.6