Relatorios SARG Ripe.net

[zekkerj]

Não, colega. Alguém no Japão, Rússia, Angola, Austrália, ou Marte descobriu o teu proxy e o está usando pra fugir de rastreamento. Entendeu agora?

[righteous]

Eitah! Sabe como posso resolver isso? :/

[zekkerj]

Como vc configurou seu firewall?

[righteous]

No meu /etc/network/interfaces estou chamando o firewall (junto com as minhas configurações das eth's).

#######################################

#######################################
######## Firewall Iptables ############
#######################################

post-up iptables-restore < /etc/iptables.up.rules

#######################################


Nesse arquivo eu tenho:


*nat

# NAT e Compartilhamento de Internet
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination xxx.xxx.xxx.xxx:3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A POSTROUTING -s xxx.xxx.xxx.xxx/24 -o eth0 -j MASQUERADE


# Regra para bloquear o trafego HTTPs
#iptables -t nat -I PREROUTING -s xxx.xxx.xxx.xxx -p tcp --dport 80 -j DNAT --to xxx.xxx.xxx.xxx
#iptables -t nat -I PREROUTING -s xxx.xxx.xxx.xxx -p tcp --dport 443 -j DNAT --to xxx.xxx.xxx.xxx

# Regras do Firewall

COMMIT
# Generated by webmin
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed

* Onde xxx é o IP do meu servidor Proxy.

Lembrando uma coisa, eu sei quais as máquinas que estão recebendo esse Rip.net, vejo os acesso, está com um IP da minha rede, estático, só que eu não pingo nesse IP, nem da minha máquina, nem do servidor proxy, acredito que seja isso que faz com que o servidor não me dê esses dados. Quando monitoro o trafego no servidor aparece tudinho só que na frente o Rip.net. E isso só acontece em duas máquinas da minha rede interna, as outras estão normais.

Outro ponto também é que esse servidor não sai pra WAN com um IP fixo por exemplo.

[zekkerj]

Então, essas regras não estão implantando bloqueio nenhum. Eu mudaria a política de entrada pra DROP ("iptables -P INPUT DROP") e liberaria apenas a entrada pela interface loopback ("iptables -A INPUT -i lo -j ACCEPT") e do que vier da rede local ("iptables -A INPUT -i eth1 -j ACCEPT").

[righteous]

Então, essas regras não estão implantando bloqueio nenhum. Eu mudaria a política de entrada pra DROP ("iptables -P INPUT DROP") e liberaria apenas a entrada pela interface loopback ("iptables -A INPUT -i lo -j ACCEPT") e do que vier da rede local ("iptables -A INPUT -i eth1 -j ACCEPT").

Ficaria assim:

*nat

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -P INPUT DROP

# NAT e Compartilhamento de Internet
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination xxx.xxx.xxx.xxx:3128
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
#-A PREROUTING -i eth1 -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A POSTROUTING -s xxx.xxx.xxx.xxx/24 -o eth0 -j MASQUERADE

# Regras do Firewall

COMMIT
# Generated by webmin
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
COMMIT
# Completed
# Generated by webmin
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed

Ou removo "# Regras do Firewall" e deixou só até a regra do Masquerade?

[zekkerj]

Falta adicionar as liberações, que ficariam no grupo "*filter". Mas vc também pode usar as regras que passei, e depois usar o comando "iptables-save" pra gerar um novo arquivo.