Bom! Sou novato no forum, mas acompanho o desenvolvimento do Brazilfw há um tempo.
Implementei um servidor com o Brazilfw na minha empresa, tudo está funcionando correto, filtro, subrede com entrega de IPs via DHCP.
Já pesquisei bastante no fórum, mas não consegui encontrar os arquivos onde devo fazer as regras do IPtables para conseguir conexão com o Conectividade Social; também não consegui encontrar o arquivo do SQUID onde devo informar os sites que não devem ser cacheados.
As regras para o IPTABLES eu encontrei aqui no fórum http://www.brazilfw.com.br/forum/viewtopic.php?f=90&t=67748&p=161494&hilit=conectividade+social#p161494
Só não sei em quais arquivos devo fazer essas alterações.
BFW Firewall & Router
A powerful network security tool, easy, safe and totally free.
|
|
||
SQUID e IPTABLES-Conectividade Social no BFW 3.0 - Resolvido
11 mensagens
• Página 1 de 1
SQUID e IPTABLES-Conectividade Social no BFW 3.0 - Resolvido
por adassoft » Sex Dez 04, 2009 10:07 am
Editado pela última vez por adassoft em Ter Dez 08, 2009 1:23 pm, em um total de 1 vez.
- adassoft
Re: Configurar SQUID e Regras do IPTABLES
por GEFSANTANA » Sex Dez 04, 2009 10:17 am
Nesta versão a única opção para startar deterninados recursos é através do rc.local;
está em /etc/brazilfw/custom
Insira a regra e reinicie o servidor.
Para verificar a efetividade da regra através do putty
digite:
Abraços
está em /etc/brazilfw/custom
Insira a regra e reinicie o servidor.
Para verificar a efetividade da regra através do putty
digite:
- Código: Selecionar todos
iptables -t nat -nvL -> para enxergar as regras do NAT
iptables -t filter -nvL -> para enxergar as regras do FILTER
iptables -t mangle -nvL -> para enxergar as regras do MANGLE
Abraços
Caso tenha resolvido seu problema detalhe a solução do mesmo e clique no botão Resolvido. Pois assim manteremos o fórum organizado.
"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
-
GEFSANTANA 
- Mensagens: 1132
- Registrado em: Qua Out 22, 2008 12:57 pm
- Localização: Aracaju - SE - BR
- BrazilFW Box: Não Estou com o BFW ativo.
Re: Configurar SQUID e Regras do IPTABLES
por Bender » Sex Dez 04, 2009 10:24 am
E do Squid em:
- Código: Selecionar todos
/etc/brazilfw/custom/squid.acl
- Bender
Re: Configurar SQUID e Regras do IPTABLES
por adassoft » Sex Dez 04, 2009 10:32 am
essa regra
- Código: Selecionar todos
access Y permit tcp 192.168.0.0/24 200.201.174.0/24 80
- adassoft
Re: Configurar SQUID e Regras do IPTABLES
por adassoft » Sex Dez 04, 2009 10:35 am
quero que o SQUID não faça o cache desses IPs
200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207
como ficaria isso no arquivo squid.acl?
200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207
como ficaria isso no arquivo squid.acl?
- adassoft
Re: Configurar SQUID e Regras do IPTABLES
por Bender » Sex Dez 04, 2009 11:02 am
Adiciona um regra no iptables para aceitar os pacotes destes IPs antes de redirecionar para o Squid.
Não manjo de iptables.
Não manjo de iptables.
- Bender
Re: Configurar SQUID e Regras do IPTABLES
por GEFSANTANA » Sex Dez 04, 2009 11:10 am
adassoft escreveu:essa regrado Firewall, também é em rc.local?
- Código: Selecionar todos
access Y permit tcp 192.168.0.0/24 200.201.174.0/24 80
Está regra é especifica para a versão 2x
Caso tenha resolvido seu problema detalhe a solução do mesmo e clique no botão Resolvido. Pois assim manteremos o fórum organizado.
"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
-
GEFSANTANA - Mensagens: 1132
- Registrado em: Qua Out 22, 2008 12:57 pm
- Localização: Aracaju - SE - BR
- BrazilFW Box: Não Estou com o BFW ativo.
Re: Configurar SQUID e Regras do IPTABLES
por GEFSANTANA » Sex Dez 04, 2009 11:14 am
adassoft escreveu:quero que o SQUID não faça o cache desses IPs
200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207
como ficaria isso no arquivo squid.acl?
#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
...
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN
Você criar a regra para cada IP.
Caso tenha resolvido seu problema detalhe a solução do mesmo e clique no botão Resolvido. Pois assim manteremos o fórum organizado.
"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
"Há três métodos para ganhar sabedoria: primeiro, por reflexão, que é o mais nobre; segundo, por imitação, que é o mais fácil; e terceiro, por experiência, que é o mais amargo". - Confúcio.
-
GEFSANTANA - Mensagens: 1132
- Registrado em: Qua Out 22, 2008 12:57 pm
- Localização: Aracaju - SE - BR
- BrazilFW Box: Não Estou com o BFW ativo.
Re: Configurar SQUID e Regras do IPTABLES
por adassoft » Dom Dez 06, 2009 10:52 am
GEFSANTANA escreveu:adassoft escreveu:quero que o SQUID não faça o cache desses IPs
200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207
como ficaria isso no arquivo squid.acl?
#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
...
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN
Você criar a regra para cada IP.
Ficou assim
- Código: Selecionar todos
#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
iptables -t nat -I tproxy -d 200.201.166.240 -j RETURN
iptables -t nat -I tproxy -d 200.201.169.69 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.68 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.204 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN
Porém após inserir essas regras no arquivo squid.acl o site http://www.caixa.com.br ficou inacessível, mas o http://www.caixa.gov.br continuou funcionando.
Também tentei colocar no arquivo rc.local, mas deu o mesmo resultado.
Mas pelo o que pude perceber a conexão segura da Caixa está funcionando sem essa códificação.
Agora fica a dúvida, se o acesso ao site está passando por fora do proxy através das regras:
- Código: Selecionar todos
iptables -t nat -A PREROUTING -s 192.168.0.89 -d 200.201.174.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80
iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -d www.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d www1.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d cmt.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.174.207 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.174.207 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.169.69 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.169.69 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.166.240 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT
iptables -I FORWARD -p tcp --dport 21 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 21 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 21 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.174.207 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.169.69 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.166.240 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 200.201.174.207 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.174.207 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 200.201.169.69 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.169.69 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 200.201.166.240 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.166.240 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 2631:2631 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 2631:2631 -j ACCEPT
Ainda há possíbilidade do proxy faze o cache dos IPs que estão nessas regras? Caso afirmativo, como faço para que o site da caixa possa ser acessado pelo endereço http://www.caixa.com.br também?
Analisando a regra acima, penso que é só acrescentar as seguintes linhas:
- Código: Selecionar todos
iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -d www.caixa.com.br -p tcp --dport 80 -j ACCEPT
- adassoft
Re: Configurar SQUID e Regras do IPTABLES
por adassoft » Ter Dez 08, 2009 10:00 am
Resolvido
O código ficou assim:
As regras acima devem ser colocadas no arquivo rc.local que está em /etc/brazilfw/custom
O site da Caixa ficou funcionando nos dois domínios http://www.caixa.com.br e http://www.caixa.gov.br
O código ficou assim:
- Código: Selecionar todos
iptables -t nat -A PREROUTING -s 192.168.0.89 -d 200.201.174.0/24 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80
iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -d www.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d www1.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d cmt.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d www.caixa.com.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.174.207 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.174.207 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.169.69 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.169.69 -j ACCEPT
iptables -t nat -I PREROUTING -d 200.201.166.240 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT
iptables -I FORWARD -p tcp --dport 21 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 21 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 21 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.174.207 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.169.69 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.166.240 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 200.201.174.207 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.174.207 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 200.201.169.69 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.169.69 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -s 200.201.166.240 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.166.240 -j ACCEPT
iptables -A OUTPUT -p tcp --destination-port 2631:2631 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 2631:2631 -j ACCEPT
#### Passa por fora do Proxy ####
iptables -t nat -I tproxy -d 200.201.166.200 -j RETURN
iptables -t nat -I tproxy -d 200.201.166.240 -j RETURN
iptables -t nat -I tproxy -d 200.201.169.69 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.173.68 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.0/24 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.204 -j RETURN
iptables -t nat -I tproxy -d 200.201.174.207 -j RETURN
As regras acima devem ser colocadas no arquivo rc.local que está em /etc/brazilfw/custom
O site da Caixa ficou funcionando nos dois domínios http://www.caixa.com.br e http://www.caixa.gov.br
Editado pela última vez por adassoft em Ter Dez 08, 2009 1:22 pm, em um total de 1 vez.
- adassoft
Re: Configurar SQUID e Regras do IPTABLES
por reginaldo » Ter Dez 08, 2009 10:46 am
adassoft, por favor, Edite o titulo da sua primeira mensagem deste tópico e acrescente Resolvido.
Outra coisa.
Voce deixou estas regras no squid.ecl ou no rc.local?
Obrigado.
Outra coisa.
Voce deixou estas regras no squid.ecl ou no rc.local?
Obrigado.
Contribua para que o Projeto BFW permaneça no ar, Doe Click aqui
Contribua com o reginaldo, Doe, favor enviar e-mail para reginaldo@brazilfw.com.br
-----------------------------------------------------------------------------------------------------
"Disciplina é liberdade. Compaixão é fortaleza. Ter bondade é ter coragem" (Há Tempos [Dado Villa-Lobos/Renato Russo/Marcelo Bonfá])
Contribua com o reginaldo, Doe, favor enviar e-mail para reginaldo@brazilfw.com.br
-----------------------------------------------------------------------------------------------------
"Disciplina é liberdade. Compaixão é fortaleza. Ter bondade é ter coragem" (Há Tempos [Dado Villa-Lobos/Renato Russo/Marcelo Bonfá])
-
reginaldo 
- Mensagens: 12686
- Registrado em: Sáb Ago 27, 2005 12:10 pm
- Localização: Rio de Janeiro - RJ
- BrazilFW Box: Máquina Física
CPU: Intel Core i3 Model 530
Memória: 8.00 GiB / 2 Links
BFW 3.0.262 64 bits
Serviços Ativos: Control MAC, QOS
Addons: EBackup, EPM e Squid 3.5.x
11 mensagens
• Página 1 de 1
Voltar para BrazilFW 3.x - Ajuda em Geral
Quem está online
Usuários navegando neste fórum: Google [Bot], Majestic-12 [Bot] e 3 visitantes