Author Topic: Auxilio nas regas do Firewall  (Read 7115 times)

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Auxilio nas regas do Firewall
« on: July 08, 2011, 04:24:31 am »
Olá a todos, desde que entre no fórum, já tive varias duvidas resolvidas, só lendo outros tópicos, mas agora preciso de um auxilio.
Vou descrever o ambiente que hoje tenho funcionando.
Eth0 cai direto no Switch
Eth1 entra o Adsl da velox
Então recebe internet na Eth1 e compartilho para a rede usando a Eth0.
Estou usando o Domínio funcionando redondinho compartilhamentos etc. tenho algumas duvidas para um outro tópico para questão de script de logon. Vamos em frente
abaixo vou postar o logo que estava olhando no squid

1310075089.813    298 192.168.200.177 TCP_MISS/200 978 POST http://upgrade.pcinformatica.com.br/upgrade/ws/atualizador.asmx - DIRECT/189.59.13.199 text/xml

1310075089.823      0 192.168.200.177 TCP_DENIED/403 1489 CONNECT pcinfo.g8networks.com.br:21 - NONE/- text/html

Bom fazemos atualizações diárias aqui na empresa do Erp, o mesmo usa um programa para baixar as atualizações coloquei o proxy no mesmo usuário e senha começou a conectar como podem ver ai em cima
 nesse aqui 1310075089.813
ai aparece o que tem que ser atualizado no caso as rotinas. quando mando atualizar ele já nega

1310075089.823

 não sei como fazer a liberação das postar para deixar livre na rede. sei que é no firewall eu já mexir em tanta coisa e nada certo, então o que acontece, está como padrão de instalação to que eu fiz eu apaguei e deixei como fica a pois a instalação.
 
Por favor se alguém ler esse tópico e pode me ajudar eu agradeço.

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Re: Auxilio nas regas do Firewall
« Reply #1 on: July 08, 2011, 03:31:45 pm »
Olá,

Parece que o software tenta fazer um FTP no host pcinfo.g8networks.com.br... Talvez este FTP não seja compatível com o proxy, provavelmente não faz a autenticação necessária... Uma alternativa pode ser liberar no firewall o destino "pcinfo.g8networks.com.br" e colocar no seu navegador o "pcinfo.g8networks.com.br" como exceção de uso do proxy...

Abraços,
Jorge Quintão

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #2 on: July 08, 2011, 08:59:22 pm »
entendi +- srsr. como que faço para colcoar como ecessao pcinfo.g8networks.com.br no firewall?

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #3 on: July 08, 2011, 09:04:45 pm »
caso vc sabei o caminho para eu achar o arquivo conf do firewal ja ajuda tb.

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Re: Auxilio nas regas do Firewall
« Reply #4 on: July 09, 2011, 01:57:15 pm »
Olá,

Se você der um ping pcinfo.g8networks.com.br verá que o memso aponta para o IP 189.50.115.240... Neste caso, basta ir em Firewall -> Filtro de Pacotes -> Regras de filtros para redes internas e criar uma regra permitindo "todos" acessarem este IP de destino...

Abraços,
Jorge Quintão

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #5 on: July 10, 2011, 04:41:05 pm »
Obrigado, na segunda vou testar o que você falou. Mas ainda queria saber onde fica o arquivo de configuração do firewall, tipo quando eu faço uma instalação de firewall eu geralmente crio o arquivo firewall.conf lá em cd /etc, dentro desse arquivo é vão ficar todas as regras, daí gostaria de saber onde fica localizado esse arquivo. pois quereo está fazendo alguma melhorias tipo latência para ssh, criar regras para ping da morte, eu tenho uma lista de ips e endereços de P2p's. Sem abusar da sua pessoa pode me dizer onde fica o arquivo que posso mudar o nome do zentyal na hora que o usuário abre a internet dai pede login e senha, aparece o Ip do servidor  ai tem lá o nome proxy zentyal, gostaria de colocar o nome da empresa. Para ser mais sincero eu não queria que o usuário ficasse colocando o login e senha toda vez. mais como lá nos filtros só tem opção para funcionar o proxy só se colocar uma das opções onde : "autorizar e filtrar" entre outros, com a opção "sempre permitir" não funciona os filtros.

Me sinto um pouco perdido ainda com o zentyal, mais é uma mão na roda para levantar ambiente linux sem muitos esforços, zentyal para minha pessoa leva nota 10. Tô querendo solicitar aqueles livros do sistema, sei tb que você faz parte da empresa que fez curso diretamente com eles certo? Vocês realizam as vendas dos mesmos ou só implantação mesmo?

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #6 on: July 11, 2011, 03:19:51 pm »
amigão, quando fiz o que vc falow a internet parou.

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Re: Auxilio nas regas do Firewall
« Reply #7 on: July 12, 2011, 06:57:09 pm »
Olá,

Você pode criar regras manualmente no arquivo /etc/ebox/hooks/firewall.postservice... Exemplo:

Code: [Select]
#!/bin/sh

# This is the firewall postservice script and it's run after eBox has finished
# setting up the firewall.

# You can add here custom rules that you might need for your firewall

# The script will receive a command line argument indicating whether the
# module is enabled (1) or not (0).

if [ "$1" -eq "1" ]
then
    #add custom rules here
    #proxy transparente para o ip 10.10.10.5
    sudo iptables -t nat -I premodules -s 10.10.10.5/32 ! -d 10.10.10.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3129
    true
fi
exit 0


Para que as regras sejam executadas, execute "/etc/init.d/ebox firewall restart" após alterar o arquivo firewall.postservice...

Abraços,
Jorge Quintão

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #8 on: July 12, 2011, 08:54:14 pm »
Obrigado, vou testar so depende desse ponto para poder migrar na outra filial tb, caso não se incomode queria deixar 5 maquinas navegando sem passar pelo proxy. pode me mostrar um exemplo para usar essa regra. outra coisa a regra que vc me deu de Ex ta como proxy transparente. no caso não ta marcao no meu servidor isso tem problema?

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #9 on: July 14, 2011, 04:05:34 pm »
Amigo voce pode ver o que está errado aqui quero a a maquina de ip 192.168.200.177 navegue sem passar pelo proxy.
A net vem da eth1 e a eth0 distribui na rede.

pelo que entendi o premodules é referente ao modulo certo?
bom amigo ja ta tudo migrado só preciso fazer algumas maquinas navegarem sem passar pelo proxy.
alguem que souber me da uma ajuda ai please.

# setting up the firewall.

# You can add here custom rules that you might need for your firewall

# The script will receive a command line argument indicating whether the
# module is enabled (1) or not (0).

if [ "$1" -eq "1" ]
then
    #add custom rules here
    #proxy transparente para o ip 192.168.200.177
    sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.177/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3128
    true
fi
exit 0

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #10 on: July 15, 2011, 02:34:29 am »
Meu senario de trabalho
ja migrei tudo ta rodando tudo ok  dominio e internet rodando, não marquei a opção proxy tranparente.
Eth1 192.168.1.x  --> Minha net é velox o modem está roteado,  antes deu colocar o zentyal eu conseguia acessar te varios acesso  as maquinas.  Eth0  192.168.200.x _  vai pra  swithi

acesso que eu não tenho mais

Banco do Brasil (Gerenciador financeiro)
Conectividade Social.
SSH
Vnc
Logmine
Team Viewer
Show mypc
-------------------------------------------------------------
      Esse aqui resolvir colocando proxy.
Logmine --> coloquei o proxy ta funcionando
Team Viewer--> coloquei Poxy ta funcionando
------------------------------------------------------

Bom realmente ainda preciso de uma luz aqui.

Banco do Brasil (Gerenciador financeiro) pessoal do finaceiro quem minha cabeça
Conectividade Social. contabildiade nem se fala
SSH_ aqui eu logo lá de casa ( no modem eu apontei o ip e disse que porta era, dai eu via o meu ip da internte, pronto ja caia no servido.)
Vnc o mesmo
Show mypc o mesmo.
 e ainda tenho o agravante do nosso ERP que tem qeu fazer atualização diariamente e ta barrando
-------------------------------
1310075089.813    298 192.168.200.177 TCP_MISS/200 978 POST http://upgrade.pcinformatica.com.br/upgrade/ws/atualizador.asmx - DIRECT/189.59.13.199 text/xml

1310075089.823      0 192.168.200.177 TCP_DENIED/403 1489 CONNECT pcinfo.g8networks.com.br:21 - NONE/- text/html

Bom fazemos atualizações diárias aqui na empresa do Erp, o mesmo usa um programa para baixar as atualizações coloquei o proxy no mesmo usuário e senha começou a conectar como podem ver ai em cima
 nesse aqui 1310075089.813
ai aparece o que tem que ser atualizado no caso as rotinas. quando mando atualizar ele já nega

1310075089.823
-------------------------------------------------------------------------------------------------------------------


Gente por favor me dei um auxilo de como resolver.


Tipo ja fiz como o jquintao

disse

---------------------------------

#proxy transparente para o ip 192.168.200.177
    sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.x/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3128
   
só para conferir  essa regra onde ptables -t nat -I premodules -s 192.168.200.177/32  é o ip que vai ficar navegar sem usar o proxy?
e o é o ip da pla ca minha internet -d 192.168.200.x/32 -i eth1 ?
------------------------------------------------------------------------------------------

Se possivel  quero fazer apenas uma coisa pro enquanto só apra aliviar aqui o meu lado
quero deixar 4 maquina navegando sem usar o proxy. apenas isso.
e Preciso deixar liberado o SSH ja caindo nos servidore
que é o 192.168.200.x
e o zentyal que está na faixa 192.168.1.x

Gente ajuda ai Porfavo ja fiz de tudo ja li forum revirei esse aqui. se eu não conseguir me expressar corretamente eu reescrevo mais ajudem ai please



jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Re: Auxilio nas regas do Firewall
« Reply #11 on: July 17, 2011, 05:14:13 am »
Olá,

Tenho 1 observação pra vc:

- se vc usa o filtro de conteúdo, o redirecionamento tem que ser para a porta 3129... Exemplo:

sudo iptables -t nat -I premodules -s 10.10.10.5/32 ! -d 10.10.10.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129

Fará proxy transparente para a máquina cuja origem é 10.10.10.5...

Abraços,
Jorge Quintão

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #12 on: July 25, 2011, 09:46:53 pm »
Olá boa tarde, infelizmente não consigo fazer proxy transparente para os ips dos diretores, os usuarios estão usando proxy autenticado (autenticar e filtrar) redondinho. mas os diretores não querem ficar autenticando, dai to tentando fazer nat  como o jquintao havia dito, mas não funciona.

Aqui oh como fiz no arquivos do firewall.

# You can add here custom rules that you might need for your firewall

# The script will receive a command line argument indicating whether the
# module is enabled (1) or not (0).

if [ "$1" -eq "1" ]
then
    #add custom rules here
    #proxy transparente para o ip 192.168.200.177
    sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.177/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3129
    true
fi
exit 0

-------------------------------
como o  jquintao havia falado, depois fiz /etc/init.d/ebox firewall restar, tirei o proxy e não funcionou só navega pelo proxy.

Por desespero :
Minha net vem da eth0 então creio que tenho que deixar ali como eth0 né?

mas sugestões agradeço, meu chefe tá me pertubando por causa disso
« Last Edit: July 25, 2011, 10:57:26 pm by hericportal »

jquintao

  • Moderator
  • Zen Hero
  • *****
  • Posts: 648
  • Karma: +14/-0
  • jquintao
    • View Profile
    • NetSol
Re: Auxilio nas regas do Firewall
« Reply #13 on: July 29, 2011, 02:01:28 am »
Olá,

Te recomendaria fixar os IP's dos diretores... Ai, vc cria um objeto com os IP's dos diretores e fala que este objeto não será filtrado... Os demais, vc manda autorizar e filtrar... Esta configuração você pode fazer pela interface web...

Abraços,
Jorge Quintão

hericportal

  • Zen Apprentice
  • *
  • Posts: 26
  • Karma: +0/-0
    • View Profile
Re: Auxilio nas regas do Firewall
« Reply #14 on: August 04, 2011, 02:07:08 pm »
Ok amigo vou testar, mas estou achando estranho de mas, as regras não funcionarem diretamente no firewall.
aqui oh  #proxy transparente para o ip 192.168.200.177
    sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.240/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3129
    true
corrigindo as regrans funcionaram mais param quase 1 h depois.

No caso a minha internet vem da eth0 logo tem que fazer nat quando vem do ip acima que está ligado no Switch , só sei eu tiver errado mais tudo que vem do Switch vai cair na eth1, dai ela informa a eth0 ei fulano que  internet! correto?