BFW Firewall & Router

[scoober]

Gostaria de compartilhar aqui a maneira que resolvi todos os problemas com a conectividade social da Caixa, pois tive vários problemas com ela, e não havia um único tópico com a solução definitiva. Por isso, compilei todas as informações que encontrei procurando remover redundâncias, e agora estou disponibilizando aqui. Espero que ajude.

1 - Definições:
- IP da rede interna: 192.168.0.0/24
- Placa de rede externa (internet): eth0
- Placa de rede interna: eth1

2 - Squid:
- Não cachear os seguintes endereços:

Código: Selecionar todos

200.201.166.200
200.201.166.240
200.201.169.69
200.201.173.0/24
200.201.173.68
200.201.174.0/24
200.201.174.204
200.201.174.207

3 - Firewall:
3.1 - Arquivos de configuração:

Código: Selecionar todos

access Y permit tcp 192.168.0.0/24 200.201.174.0/24 80

3.2 - Regras Personalizadas

Código: Selecionar todos

iptables -t nat -A PREROUTING -s 192.168.0.89 -d 200.201.174.0/24 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -d 200.201.174.202 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.202:80
iptables -t nat -A PREROUTING -d 200.201.174.203 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.203:80
iptables -t nat -A PREROUTING -d 200.201.174.204 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.204:80
iptables -t nat -A PREROUTING -d 200.201.174.205 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.205:80
iptables -t nat -A PREROUTING -d 200.201.174.206 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.206:80
iptables -t nat -A PREROUTING -d 200.201.174.207 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.207:80
iptables -t nat -A PREROUTING -d 200.201.174.208 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.208:80
iptables -t nat -A PREROUTING -d 200.201.174.209 -p tcp -m tcp --dport 80 -j DNAT --to-destination 200.201.174.209:80

iptables -t nat -I PREROUTING -i eth1 -d 200.201.174.0/24 -p tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth1 -d www.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d www1.caixa.gov.br -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -d cmt.caixa.gov.br -p tcp --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -d 200.201.174.207 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.174.207 -j ACCEPT

iptables -t nat -I PREROUTING -d 200.201.169.69 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.169.69 -j ACCEPT

iptables -t nat -I PREROUTING -d 200.201.166.240 -j ACCEPT
iptables -t nat -I PREROUTING -s 200.201.166.240 -j ACCEPT

iptables -I FORWARD -p tcp --dport 80 -s 192.168.0.0/24 -d 200.201.174.0/24 -j ACCEPT

iptables -I FORWARD -p tcp --dport 21 -d 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.174.207 -j ACCEPT

iptables -I FORWARD -p tcp --dport 21 -d 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.169.69 -j ACCEPT

iptables -I FORWARD -p tcp --dport 21 -d 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 80 -d 200.201.166.240 -j ACCEPT

iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.169.69 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.169.69 -j ACCEPT

iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.166.240 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.166.240 -j ACCEPT

iptables -I FORWARD -p tcp --dport 20001:20005 -s 200.201.174.207 -j ACCEPT
iptables -I FORWARD -p tcp --dport 20000:20019 -d 200.201.174.207 -j ACCEPT

iptables -I FORWARD -p tcp -s 200.201.174.207 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.169.69 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -p tcp -s 200.201.166.240 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -i eth0 -p udp -s 200.201.174.207 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.174.207 -j ACCEPT

iptables -A INPUT -i eth0 -p udp -s 200.201.169.69 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.169.69 -j ACCEPT

iptables -A INPUT -i eth0 -p udp -s 200.201.166.240 -j ACCEPT
iptables -A INPUT -i eth1 -p udp -s 200.201.166.240 -j ACCEPT

iptables -A OUTPUT -p tcp --destination-port 2631:2631 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 2631:2631 -j ACCEPT

4 - Salvar tudo, backup e reiniciar.

Autor: Scoober
Editado por Reginaldo em 09/02/2009

[reginaldo]

scoober, Parabéns. Otima Iniciativa.

Valeu.

Agora uma indagação

por que esta linha esta comentada?

Código: Selecionar todos

#iptables -t nat -A PREROUTING -i eth1 -d internetcaixa.caixa.gov.br -p tcp --dport 80 -j ACCEPT

P.S.:
Editado em 09/02/2009 por Reginaldo.
O scoober deu retorno dizendo que a referida linha acima estava dando erro, ele ja editou
o Tutorial apagando a citada linha.


Novamente, Valeu