Zentyal Forum, Linux Small Business Server
International => Portuguese => Topic started by: hericportal on July 08, 2011, 04:24:31 am
-
Olá a todos, desde que entre no fórum, já tive varias duvidas resolvidas, só lendo outros tópicos, mas agora preciso de um auxilio.
Vou descrever o ambiente que hoje tenho funcionando.
Eth0 cai direto no Switch
Eth1 entra o Adsl da velox
Então recebe internet na Eth1 e compartilho para a rede usando a Eth0.
Estou usando o Domínio funcionando redondinho compartilhamentos etc. tenho algumas duvidas para um outro tópico para questão de script de logon. Vamos em frente
abaixo vou postar o logo que estava olhando no squid
1310075089.813 298 192.168.200.177 TCP_MISS/200 978 POST http://upgrade.pcinformatica.com.br/upgrade/ws/atualizador.asmx - DIRECT/189.59.13.199 text/xml
1310075089.823 0 192.168.200.177 TCP_DENIED/403 1489 CONNECT pcinfo.g8networks.com.br:21 - NONE/- text/html
Bom fazemos atualizações diárias aqui na empresa do Erp, o mesmo usa um programa para baixar as atualizações coloquei o proxy no mesmo usuário e senha começou a conectar como podem ver ai em cima
nesse aqui 1310075089.813
ai aparece o que tem que ser atualizado no caso as rotinas. quando mando atualizar ele já nega
1310075089.823
não sei como fazer a liberação das postar para deixar livre na rede. sei que é no firewall eu já mexir em tanta coisa e nada certo, então o que acontece, está como padrão de instalação to que eu fiz eu apaguei e deixei como fica a pois a instalação.
Por favor se alguém ler esse tópico e pode me ajudar eu agradeço.
-
Olá,
Parece que o software tenta fazer um FTP no host pcinfo.g8networks.com.br... Talvez este FTP não seja compatível com o proxy, provavelmente não faz a autenticação necessária... Uma alternativa pode ser liberar no firewall o destino "pcinfo.g8networks.com.br" e colocar no seu navegador o "pcinfo.g8networks.com.br" como exceção de uso do proxy...
Abraços,
Jorge Quintão
-
entendi +- srsr. como que faço para colcoar como ecessao pcinfo.g8networks.com.br no firewall?
-
caso vc sabei o caminho para eu achar o arquivo conf do firewal ja ajuda tb.
-
Olá,
Se você der um ping pcinfo.g8networks.com.br verá que o memso aponta para o IP 189.50.115.240... Neste caso, basta ir em Firewall -> Filtro de Pacotes -> Regras de filtros para redes internas e criar uma regra permitindo "todos" acessarem este IP de destino...
Abraços,
Jorge Quintão
-
Obrigado, na segunda vou testar o que você falou. Mas ainda queria saber onde fica o arquivo de configuração do firewall, tipo quando eu faço uma instalação de firewall eu geralmente crio o arquivo firewall.conf lá em cd /etc, dentro desse arquivo é vão ficar todas as regras, daí gostaria de saber onde fica localizado esse arquivo. pois quereo está fazendo alguma melhorias tipo latência para ssh, criar regras para ping da morte, eu tenho uma lista de ips e endereços de P2p's. Sem abusar da sua pessoa pode me dizer onde fica o arquivo que posso mudar o nome do zentyal na hora que o usuário abre a internet dai pede login e senha, aparece o Ip do servidor ai tem lá o nome proxy zentyal, gostaria de colocar o nome da empresa. Para ser mais sincero eu não queria que o usuário ficasse colocando o login e senha toda vez. mais como lá nos filtros só tem opção para funcionar o proxy só se colocar uma das opções onde : "autorizar e filtrar" entre outros, com a opção "sempre permitir" não funciona os filtros.
Me sinto um pouco perdido ainda com o zentyal, mais é uma mão na roda para levantar ambiente linux sem muitos esforços, zentyal para minha pessoa leva nota 10. Tô querendo solicitar aqueles livros do sistema, sei tb que você faz parte da empresa que fez curso diretamente com eles certo? Vocês realizam as vendas dos mesmos ou só implantação mesmo?
-
amigão, quando fiz o que vc falow a internet parou.
-
Olá,
Você pode criar regras manualmente no arquivo /etc/ebox/hooks/firewall.postservice... Exemplo:
#!/bin/sh
# This is the firewall postservice script and it's run after eBox has finished
# setting up the firewall.
# You can add here custom rules that you might need for your firewall
# The script will receive a command line argument indicating whether the
# module is enabled (1) or not (0).
if [ "$1" -eq "1" ]
then
#add custom rules here
#proxy transparente para o ip 10.10.10.5
sudo iptables -t nat -I premodules -s 10.10.10.5/32 ! -d 10.10.10.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3129
true
fi
exit 0
Para que as regras sejam executadas, execute "/etc/init.d/ebox firewall restart" após alterar o arquivo firewall.postservice...
Abraços,
Jorge Quintão
-
Obrigado, vou testar so depende desse ponto para poder migrar na outra filial tb, caso não se incomode queria deixar 5 maquinas navegando sem passar pelo proxy. pode me mostrar um exemplo para usar essa regra. outra coisa a regra que vc me deu de Ex ta como proxy transparente. no caso não ta marcao no meu servidor isso tem problema?
-
Amigo voce pode ver o que está errado aqui quero a a maquina de ip 192.168.200.177 navegue sem passar pelo proxy.
A net vem da eth1 e a eth0 distribui na rede.
pelo que entendi o premodules é referente ao modulo certo?
bom amigo ja ta tudo migrado só preciso fazer algumas maquinas navegarem sem passar pelo proxy.
alguem que souber me da uma ajuda ai please.
# setting up the firewall.
# You can add here custom rules that you might need for your firewall
# The script will receive a command line argument indicating whether the
# module is enabled (1) or not (0).
if [ "$1" -eq "1" ]
then
#add custom rules here
#proxy transparente para o ip 192.168.200.177
sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.177/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3128
true
fi
exit 0
-
Meu senario de trabalho
ja migrei tudo ta rodando tudo ok dominio e internet rodando, não marquei a opção proxy tranparente.
Eth1 192.168.1.x --> Minha net é velox o modem está roteado, antes deu colocar o zentyal eu conseguia acessar te varios acesso as maquinas. Eth0 192.168.200.x _ vai pra swithi
acesso que eu não tenho mais
Banco do Brasil (Gerenciador financeiro)
Conectividade Social.
SSH
Vnc
Logmine
Team Viewer
Show mypc
-------------------------------------------------------------
Esse aqui resolvir colocando proxy.
Logmine --> coloquei o proxy ta funcionando
Team Viewer--> coloquei Poxy ta funcionando
------------------------------------------------------
Bom realmente ainda preciso de uma luz aqui.
Banco do Brasil (Gerenciador financeiro) pessoal do finaceiro quem minha cabeça
Conectividade Social. contabildiade nem se fala
SSH_ aqui eu logo lá de casa ( no modem eu apontei o ip e disse que porta era, dai eu via o meu ip da internte, pronto ja caia no servido.)
Vnc o mesmo
Show mypc o mesmo.
e ainda tenho o agravante do nosso ERP que tem qeu fazer atualização diariamente e ta barrando
-------------------------------
1310075089.813 298 192.168.200.177 TCP_MISS/200 978 POST http://upgrade.pcinformatica.com.br/upgrade/ws/atualizador.asmx - DIRECT/189.59.13.199 text/xml
1310075089.823 0 192.168.200.177 TCP_DENIED/403 1489 CONNECT pcinfo.g8networks.com.br:21 - NONE/- text/html
Bom fazemos atualizações diárias aqui na empresa do Erp, o mesmo usa um programa para baixar as atualizações coloquei o proxy no mesmo usuário e senha começou a conectar como podem ver ai em cima
nesse aqui 1310075089.813
ai aparece o que tem que ser atualizado no caso as rotinas. quando mando atualizar ele já nega
1310075089.823
-------------------------------------------------------------------------------------------------------------------
Gente por favor me dei um auxilo de como resolver.
Tipo ja fiz como o jquintao
disse
---------------------------------
#proxy transparente para o ip 192.168.200.177
sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.x/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3128
só para conferir essa regra onde ptables -t nat -I premodules -s 192.168.200.177/32 é o ip que vai ficar navegar sem usar o proxy?
e o é o ip da pla ca minha internet -d 192.168.200.x/32 -i eth1 ?
------------------------------------------------------------------------------------------
Se possivel quero fazer apenas uma coisa pro enquanto só apra aliviar aqui o meu lado
quero deixar 4 maquina navegando sem usar o proxy. apenas isso.
e Preciso deixar liberado o SSH ja caindo nos servidore
que é o 192.168.200.x
e o zentyal que está na faixa 192.168.1.x
Gente ajuda ai Porfavo ja fiz de tudo ja li forum revirei esse aqui. se eu não conseguir me expressar corretamente eu reescrevo mais ajudem ai please
-
Olá,
Tenho 1 observação pra vc:
- se vc usa o filtro de conteúdo, o redirecionamento tem que ser para a porta 3129... Exemplo:
sudo iptables -t nat -I premodules -s 10.10.10.5/32 ! -d 10.10.10.1/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3129
Fará proxy transparente para a máquina cuja origem é 10.10.10.5...
Abraços,
Jorge Quintão
-
Olá boa tarde, infelizmente não consigo fazer proxy transparente para os ips dos diretores, os usuarios estão usando proxy autenticado (autenticar e filtrar) redondinho. mas os diretores não querem ficar autenticando, dai to tentando fazer nat como o jquintao havia dito, mas não funciona.
Aqui oh como fiz no arquivos do firewall.
# You can add here custom rules that you might need for your firewall
# The script will receive a command line argument indicating whether the
# module is enabled (1) or not (0).
if [ "$1" -eq "1" ]
then
#add custom rules here
#proxy transparente para o ip 192.168.200.177
sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.177/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3129
true
fi
exit 0
-------------------------------
como o jquintao havia falado, depois fiz /etc/init.d/ebox firewall restar, tirei o proxy e não funcionou só navega pelo proxy.
Por desespero :
Minha net vem da eth0 então creio que tenho que deixar ali como eth0 né?
mas sugestões agradeço, meu chefe tá me pertubando por causa disso
-
Olá,
Te recomendaria fixar os IP's dos diretores... Ai, vc cria um objeto com os IP's dos diretores e fala que este objeto não será filtrado... Os demais, vc manda autorizar e filtrar... Esta configuração você pode fazer pela interface web...
Abraços,
Jorge Quintão
-
Ok amigo vou testar, mas estou achando estranho de mas, as regras não funcionarem diretamente no firewall.
aqui oh #proxy transparente para o ip 192.168.200.177
sudo iptables -t nat -I premodules -s 192.168.200.177/32 ! -d 192.168.200.240/32 -i eth0 -p tcp -m tcp --dport 80 -j REDIREC --to-ports 3129
true
corrigindo as regrans funcionaram mais param quase 1 h depois.
No caso a minha internet vem da eth0 logo tem que fazer nat quando vem do ip acima que está ligado no Switch , só sei eu tiver errado mais tudo que vem do Switch vai cair na eth1, dai ela informa a eth0 ei fulano que internet! correto?
-
Olá,
Talvez depois de um tempo o seu firewall esteja sendo reaplicado... Experimente criar a regra feita na mão no arquivo /etc/ebox/hooks/firewall.postservice.
Abraços,
Jorge Quintão
-
Foi o que eu pensei, mas como não da para esperar né! Ai já viu, sobre criar as regrar eu crio nesse arquivo mesmo.
Só me diz uma coisa pela sua experiencia a regra vai funcionar eu não usando a opção de proxy transparente marcada?
Tipo não uso proxy transparente nem quando faço tudo na unha, cá entre nos não é aconselhável e da mas trabalho.
Como a regra diz para fazer Nat creio que vá funcionar mesmo que a opção de fazer proxy transparente não esteja marcada. correto?
-
Olá,
Eu não gosto de proxy transparente... Ainda mais quando estamos no Brasil, onde diversos sites como o conectividade social da caixa não funcionam com proxy... Acho que o melhor a fazer é criar um objeto com os ip's dos diretores... Ai, vc libera eles pra navegar sem proxy ou cria um perfil todo aberto para eles no proxy...
Para isto, vc não precisa criar nenhuma regra manualmente... Pode fazer tudo pela interface web...
Abraços,
Jorge Quintão
-
Então Jorge Quintão, crie o objeto deixie liberado, funcionado legal, porem como faço para não ter que setar o proxy em cada maquina que vai fazer parte desse objeto, tipo se eu tiro o proxy não navega. se eu coloco o proxy navega liberado "claro que não pede usuario e senha!" abre o navegador e ja libera internet.
Tipo fiz isso aqui >> Acho que o melhor a fazer é criar um objeto com os ip's dos diretores...
mas esse aqui não sei onde faz como disse se eu tiro o proxy não navega>> Ai, vc libera eles pra navegar sem proxy ou cria um perfil todo aberto para eles no proxy...
Estou muito feliz com o resultado do zentayl fora isso.
-
Olá,
Me tira uma dúvida... Vc precisa guardar o histórico do que estas máquinas liberadas acessam? Sim ou Não?
Abraços,
Jorge Quintão
-
Olá desculpe a demora confesso que já queri ter fechado esse topic.
Respondendo não preciso guarda ! (Creio que quando você fala em guarda reference do cache.)
Bom como falei a uns Reply atrás, zentyal uma solução muito boa estou apanhando um pouco mas to gostando do desafio.
Só que tem umas coisa curiosas tipo uso o shallalist para fazer o controle de filtro
Observei que quando crio mas 4 filtros separados o serviço do proxy para deve lembra que eu abri um topic separado ai finalizei com resolvido pois realmente fazendo com você comentou resolveu, mas ai descobri a raiz do problema. esse e um ponto
o outro ponto é o seguinte criei um filtro usando o shallalist onde só liberei os bancos e Email.
Funciona todos os banco só que o gerenciador financeiro não consegue fazer transação.
veja se já teve algum problema semelhante e relação ao filtro usando o shallalist fazendo parar o proxy!
relendo esse post percebi que muita coisa já foi ajustada só que está pegando a gora e o gerenciador financeiro e a questão de deixar os ips que preciso liberado na rede.
-
Olá,
Se vc não precisa guardar histórico destes usuários, o melhor a fazer é criar um objeto com os ip's e liberar este objeto no firewall...
Abraços,
Jorge
-
Ola jquinto quero a gradece pelos auxilo estão me trazendo grandes resultados, tenho apanhado mas estou me saindo. bom só para atualiza e dizer só falta um ponto a ser resolvido desse grande Topic, precisava saber o que faço para liberar o gerenciador financeiro para ser usado por qual quer um na rede. só para explicar melhor. os usuários do grupo financeiro consegue entrar no site do bb ogo depois ir no gerenciado financeiro coloca a chave de segurança mas não consegue fazer transações. o que posso fazer para liberar o gerenciador para funcionar em qual quer pc ou só pra o financeiro, os pcs que estão liberados funciona normal. Já os passam pelo filtro num vai!
-
Olá,
Dê uma checada no /var/log/squid/access.log e /var/log/dansguardian.log pra tentar descobrir o que está acontecendo... Talvez vc precise criar alguma exceção para este grupo...
Abraços,
Jorge Quintão
-
pois é aqui /var/log/squid/access.log negou acesso,
ja no /var/log/dansguardian.log aceita,
tipo tens alguma regra que vc custuma usar para deixar liberado para toda a rede semelhante aquela do conectividade social?
-
Olá,
Vc pode editar o squid.conf.mas para liberar este acesso... Sobre a conectividade social, costumo colocar o site da caixa como exceção de uso do proxy e deixar o acesso a ele liberado pelo firewall..
Abraços,
Jorge Quintão
-
Eu não entendi, alguém pode mostrar de outra maneira
http://www.pousadasbaratas.com.br
-
olá bom dia ,
jquintao e equipes que entrao e saiem do forum em buscas de soluções.
Gente ja faz mas de 3 messe que esse topico ta aberto, por conta de não conseguir realizar algumas tarefas, mas sou brasileiro e não desisto nunca. (heheh). bom meu problema constinua em parte de tudo o que ja soi escrito aqui só ainda não consigo deixa 5 maquinas que são dos diretores navegarem sem restrições, e 2 maquinas que tem acesso aos banco não conseguem fazer qual quer operaçao bancaria. nem itau bradesco e muito menos o banco do brasil que tem o tal gerenciador financeiro. algume pode me dar outro auxilio nessa questão. ja tentei colocar as regras direto no firewal ja reinstalei tudo do zero e nada. as regras postas no firewall não funciona como se não reconhecese ou nao estivese sido posta!
abraços a todos
-
Olá Heric,
Estava fora por alguns dias... Estou retornando agora... O problema continua? Me explique o que tá pegando agora....
Abraços,
Jorge Quintão
-
Tenho a mesma dúvida. Já tentei muito e não consegui. Gostaria de solução para duas coisas:
1. Colocar determinada maquina para usar internet sem passar proxy.
2. Fazer com que todas as maquinas da rede acessem determinados endereços sem passar pelo proxy.
Essas duas opções utilizando proxy transparente.
-
Olá Glauber,
Vc pode criar um objeto chamado IPS_LIBERADOS com o IP e/ou MAC ADDRESS destas máquinas que deseja liberar para navegar sem proxy. Feito isto, vc vai até o "Firewall/Filtro de Pacotes/Regras de filtros para redes internas" e libera este objeto para navegar...
Abraços,
Jorge Quintão
-
Prezados minha dúvida ainda não foi esclarecida, alguém pode me ajudar?
www.otimizacaodesites.tv
-
Voltando a reascender a discussão.
www.otimizacaodesites.tv
-
Você tentou fazer o que eu lhe sugeri? A idéia do Forum é dar dicas... Você informa o problema e os membros da comunidade dão dicas de como resolver... Quanto mais você detalhar o problema, maior a chance de alguém conseguir lhe ajudar...
Abraços,
Jorge Quintão