BFW Firewall & Router

[dcfreire]

Caros,

Tenho uma rede com 10 computadores usando coyote p/ bloqueio total de acesso à internet e liberação de apenas alguns sites (como bancos, por exemplo). Agora estou necessitando liberar o acesso para acessar um banco de dados em um número IP externo.
Procurei em todo o forum e não encontrei como fazer se não for pelo nome dos sites.

Grato,

Daniel.

[Manauara]

Se vc quer liberar o acesso para um ip externo especifico. Primeiro vá em Port forwarding e lá forneça a porta e o ip interno que rodará o banco de dados. Para restringir o acesso a um ip externo especifico vc terá q criar uma regra no firewall para isso. Primeiro teste a abertura da porta para o banco de dados e depois diz se funcionou.

;)

[dcfreire]

Manauara,

Talvez não tenha sido muito claro. Temos 2 lojas, sendo que uma tem um banco de dados com IP Fixo (loja 1), e uma segunda (loja 2), rodando com o coyote com um acesso PPPoE.
Nessa segunda, uso o coyote para restringir o acesso a internet e liberar apenas alguns sites (uso configurações simplificadas firewall). O problema é que preciso que a rede na loja 2 acesse um IP fixo+porta na loja 1 (onde fica o banco), e não sei como fazê-lo.

Grato,

Daniel

[Manauara]

Daniel, O firewall só breca a entrada e não a saida. Como o banco de dados será acessado via web? Terminal Service?

[Claudio Roberto Cussuol]

Sim Manuara esse é o comportamento default do coyote, mas pelo que eu entendi o Daniel acrescentou uma regra fazendo um bloqueio geral.

Daniel, se for isso você precisa acrescentar uma outra regra liberando especificamente o tráfego para esse ip, nesta porta ANTES do bloqueio global.

Poste as regras que você criou, adaptá-las para liberar por porta deve ser fácil.

[Manauara]

Bem observado Cláudio, foi uma abstração minha quando eu li o problema. Realmente Daniel posta o q vc usou pra brecar tudo.

;)

[dcfreire]

Caros,

Vamos por parte. Primeiro, para bloquear tudo e liberar apenas alguns sites (pelo nome) uso tinyproxy e nao configurações simplificadas como escrevi.Desculpem-me mas me confundi. No tiny, tentei colocar numeração IP (que resolveria meu problema de roteamento) mas não funcionou. Essa regra eu uso em uma loja.
Na outra loja para acessar o banco de dados coloquei a regra (na opção " 3)Edit rc.local script file"):

IPTABLES -t nat -A PREROUNTING -i ETH0 -p tcp --dport 80 -j DNAT --to 200.146.xxx.xxx:abcd,8082

onde 200.146.xxx.xxx:abcd são o IP fixo + porta a serem acessadas.

O problema é que nessa loja o acesso fica exclusivo para o banco e não tenho como liberar o acesso aos sites pelo tiny.

A dúvida é, como mesclar o acesso ao IP FIXO para o banco de dados e o acesso para alguns sites?

Desculpem-me se está complicado, mas realmente estou precisando de ajuda.

Agradeço antecipadamente,

Daniel.

[Claudio Roberto Cussuol]

IPTABLES -t nat -A PREROUNTING -i ETH0 -p tcp --dport 80 -j DNAT --to 200.146.xxx.xxx:abcd,8082

Onde você viu essa regra?
Com ela você joga toda a navegação para o seu banco de dados. Acho que não é isso que você quer fazer.

[dcfreire]

Cláudio,

Bom quem montou esse roteamento foi uma pessoa que prestava serviço para nossa empresa. Como fui conhecendo e estudando o coyote estou tentando migrar as lojas para ele.
Dessa forma, quando montei os servidores coyote (substituindo um conectiva) nas filiais, eu precisava de uma regra para bloquear a internet e direcionar o tráfego do sistema corporativo para a matriz. Aí a pessoa me passou essa regra, e como sou iniciante e funcionou, pensei que estivesse tudo bem.
O que posso te falar é que na matriz tenho um ADSL com 5 IP's fixos e discagem PPPoA. O roteador está em conectiva (não sei se funcionaria com coyote) e tem uma regra de NAT conforme descrito abaixo:

IPTABLES -t NAT PREROUTING -i ETHO -p tcp --dport XXXX -j DNAT --to dest 198.10.x.xx:xxxx (p/ redirecionar o pacote que vem da filial para o banco de dados)

O que preciso solucionar:

Na filial - servidor coyote com PPPoE: direcionar o trafego do sistema corporativo para o IP da Matriz (acessar banco de dados); e liberar acesso para apenas alguns sites como bancos e SPC;

Na Matriz - servidor conectiva com PPPoA: Numa segunda etapa, substituir por coyote se for possível;

Grato,

Daniel

[Claudio Roberto Cussuol]

Sim, mas o que está me confundindo é:
Que banco de dados a matriz usa?
Porque ele está rodando na porta 80?

O que pode estar acontecendo é que você "ocupou" a porta 80 para o tráfego do banco de dados e isso está impedindo a navegação. Tenha em mente que qualquer tentativa de digitar um endereço em qualquer browser da filial está indo parar no servidor de banco de dados da matriz. Se esse servidor não estiver habilitado para manipular requisições http ele provavelmente está sendo "atrapalhado" com coisas que não tem nada a ver com ele.

[dcfreire]

Cláudio,

O Banco de dados na Matriz está atrás de um servidor conectiva. Usamos o número IP Fixo + porta 1717. Dessa forma, o software corporativo na " filial " está configurado para enviar os pacotes para IP Fixo + porta 1717.
Usamos a regra (IPTABLES -t nat -A PREROUNTING -i ETH0 -p tcp --dport 80 -j DNAT --to 200.146.xxx.xxx:abcd,8082)na filial com o coyote, por que ela rotea o sistema corporativo para a Matriz e evita o tráfego internet. Entendo o problema do tráfego parar no BD e é justamente isso que quero resolver.
Gostaria de liberar o acesso à apenas alguns sites e rotear os pacotes do sistema corporativo para o Banco de Dados que está na Matriz.

Desculpem-me se me falta maiores conhecimentos. Estou estudando o IPTABLES para tentar solucionar o problema.

Grato,

Daniel.

[Manaura]

Como as estações acessam o sistema?

[Claudio Roberto Cussuol]

dcfreire

O problema é que você está capurando os acessos do sistema na filial pela porta 80.

Por exemplo, voce pode alterar a sua regra para:

IPTABLES -t nat -A PREROUNTING -i ETH0 -p tcp --dport 1080 -j DNAT --to 200.146.xxx.xxx:abcd

Você precisará configurar o sistema na filial para procurar pelo servidor na porta 1080. Assim a porta 80 vai ficar livre para que a internet funcione.

Nada muda na matriz, desde que você não mexa na porta abcd (no exemplo).

Tendo a internet funcionando bloquear o que você quizer é outra questão, mas essa é simples.

[dcfreire]

Manauara/Claudio,

Na filial, tenho o coyote + 06 estações com WIN98, o gateway configurado nelas é o 192.168.0.1 (coyote) com endereço IP automático (habilitei o DHCP no coyote).
Em relação ao software, configurei o arquivo remote.ini, de acesso remoto, com as seguintes configurações:

[drivers]
active=tcp

[tcp]
server=200.146.xxx.xxx
port=abcd

Dessa forma, o pacote na filial sai do arquivo remote em direção ao gateway (coyote) com o endereço 200.146.xxx.xxx:abcd e é redirecionado pela regra:

IPTABLES -t nat -A PREROUNTING -i ETH0 -p tcp --dport 80 -j DNAT --to 200.146.xxx.xxx:abcd,8082

Quando chega ao servidor (conectiva) é redirecionado para o banco de dados pela regra:

IPTABLES -t NAT PREROUTING -i ETHO -p tcp --dport XXXX -j DNAT --to dest 198.10.x.xx:xxxx

Claudio,

No software, coloco apenas o IP e PORTA do banco. Não sei se entendi bem o que você escreveu, mas sua sugestão é abrir a porta 1080 no coyote na filial e alterar a porta na regra do IPTABLES?

Mais uma vez, muito obrigado.

Daniel.

P.S - Acho que estou dando mais trabalho do que deveria....

[Marcos Do Vale]

dcfreire,

Por um acaso, na filial, vc consegue enviar e receber e-mail?
Em caso afirmativo concluo que ñ há regras de bloqueio para todas as portas. Neste caso acredito que ñ se faz necessário nenhume regra adicional. Simplesmente configure seu software para procurar o BD no IP:PORTA da sua MATRIZ.
Outro coisa que concluí é que está havendo uma confusão entre bloquear a navegação e acessar o seu BD na MATRIZ.
Para o primeiro vc usa o TINY. Ele já tem a tregra própria de direcionamento.
No caso do BD em primeiro lugar vc tem que ter certeza que a porta está aberta na MATRIZ. Sem isto vc não irá conseguir acessar.

"Quando chega ao servidor (conectiva) é redirecionado para o banco de dados pela regra:

IPTABLES -t NAT PREROUTING -i ETHO -p tcp --dport XXXX -j DNAT --to dest 198.10.x.xx:xxxx "

Só com esta regra não funciona. Vc tem que deixar o pacote atravessar o FIREWALL. Use
iptables -I FORWARD -p tcp --dport XXXX -d 198.10.x.xxx -j ACCEPT

[Manauara]

Exatamente, a internet vai ficar disponivel pra acessar o banco, o que vc quer é que os usuários acessem somente uma página e vc coloca isso no tiny pra descomplicar!

;)

[dcfreire]

Caros Cláudio, Manauara e Marcos,

Consegui resolver os problemas na filial.

1) Em "Tinyproxy Configuration File" usei:

-> FilterDefaultDeny Yes (para bloquear o acesso a internet);

2) Em "Tinyproxy Denied or Allowed Sites":

-> Apaguei o conteúdo default e postei os endereços que desejo permitir o acesso (itau.com.br, unibanco.com.br, etc);

3) Em "Tinyproxy Users Configuration", inseri a regra:

-> Iptables -A FORWARD -d 200.146.xxx.xxx -j ACCEPT (para permitir a saída dos pacotes para acesso ao BD na matriz).

Fiz o teste e está tudo funcionando de acordo com minha necessidade.

Gostaria de agradecê-los pelas dicas e tempo dispensado.

Muito Obrigado,

Daniel.

P.S. Meu próximo desafio é levantar o roteador com Coyote na Matriz (substituindo o Conectiva que está funcionando). Até mais....

[publio]

Marcelo-Brasil, Claudio, Giba, Pretu e demais....
......Sugestão.......
Atestando o post acima do colega dcfreire, não seria o caso de inserir este em um tipo de "FAQ". Caso não tenha, poderíamos criar um no site.
Essa é uma dica quente e que poderíamos adicioná-la.
\0/