Firewall VS Windows 8.1

Iniciado por bitencourtt2, 16 de Dezembro de 2014, 15:55

tópico anterior - próximo tópico

bitencourtt2

Boa tarde a todos,

Configurei recentemente um firewall e quase tudo funciona perfeitamente.

Exitem os IPs que eu faço liberação total ou seja nem passam pelo squid sendo que o meu proxy é autenticado.

Tem uma maquina que eu estou tentando fazer essa liberação total só que não vai.

Fiz uma reserva no DHCP por MAC para aquela placa de rede pegar o IP 192.168.0.16 e fui no iptables e fiz uma liberação total

Citar#!/bin/bash

# --- Inicio - Variaveis --- #
#
# iptables
iptables=/sbin/iptables

# Net
EXT_I="eth1"
EXT_IP="172.16.1.2"
EXT_GW="172.16.1.1"

# Lan
INT_I="eth0"
INT_IP="192.168.0.1"
INT_NET="192.168.0.0/24"

# Localhost
LO_I="lo"
#
# --- Fim - Variaveis --- #


# --- Inicio - Regras Padroes --- #
#
# Limpa todas regras
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Regras default
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

# Localhost
iptables -A INPUT -i $LO_I -j ACCEPT
iptables -A OUTPUT -o $LO_I -j ACCEPT

# Modulos conntrack para FTP
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
#
# --- Final - Regras Padroes --- #




# --- Inicio - Regras INPUT --- #
#

# IPS BLOQUEADOS TENTATIVA DE ATAQUE
iptables -A INPUT -s 103.41.124.39 -j DROP
iptables -A INPUT -s 122.225.109.209 -j DROP
iptables -A INPUT -s 61.174.50.208 -j DROP
iptables -A INPUT -s 61.174.49.112 -j DROP
iptables -A INPUT -s 61.174.51.224 -j DROP
iptables -A INPUT -s 62.210.84.18 -j DROP
iptables -A INPUT -s 122.225.97.92 -j DROP

# Deixa passar qualquer conexao ja estabelecida
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -m state --state NEW -p tcp --dport 10000 -j ACCEPT

# Libera conexoes de ICMP (ping)
iptables -A INPUT -m state --state NEW -p icmp -j ACCEPT

# Libera porta 8080 site da prefeitura de são francisco
iptables -A INPUT -m state --state NEW -p tcp --dport 8080 -j ACCEPT


# Libera acesso para SSH (conexoes vindas da Internet ou rede local)
iptables -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT

# Libera acesso DNS
iptables -A INPUT -m state --state NEW -p tcp -s $INT_NET --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -s $INT_NET --dport 53 -j ACCEPT

# Libera acesso DHCP
iptables -A INPUT -m state --state NEW -p tcp -s $INT_NET --dport 67:68 -j ACCEPT
iptables -A INPUT -m state --state NEW -p udp -s $INT_NET --dport 67:68 -j ACCEPT

# Libera acesso da rede interna para servidor HTTP local (nagios e configuracoes de proxy)
iptables -A INPUT -m state --state NEW -p tcp -s $INT_NET --dport 80 -j ACCEPT

# Acesso da rede interna para Internet (http, https, msn, dns)
iptables -A FORWARD -p tcp -m state -m multiport --state NEW -s $INT_NET --dport 53,80,443,1863 -j ACCEPT
iptables -A FORWARD -p udp -m state -m multiport --state NEW -s $INT_NET --dport 53 -j ACCEPT

# Acesso WakeOnLan para incializar firewall remotamente.
iptables -A INPUT -p tcp -m state --state NEW -s $EXT_GW --dport 445 -j ACCEPT

# Libera conexao VPN (PPTP)
iptables -A INPUT -m state --state NEW -p tcp -d $EXT_IP --dport 1723 -j ACCEPT
iptables -A INPUT -m state --state NEW -p gre -d $EXT_IP -j ACCEPT

# Libera acesso para servidor proxy, somente rede interna
iptables -A INPUT -m state --state NEW -p tcp -s $INT_NET --dport 3128 -j ACCEPT

# Log de qualquer outro tipo de conexao bloqueada
iptables -A INPUT -j LOG --log-prefix "Firewall-BLOCK=Input "
#
# --- Fim - Regras INPUT --- #


# --- Inicio - Regras FORWARD --- #
#

# HELDER LIBERACAO
iptables -A FORWARD -m state --state NEW -s 192.168.0.75 -j ACCEPT

# Libera acesso ao site da prefeitura para o XXXX
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET -d 1.1.1.1 --dport 8080 -j ACCEPT

# Forward - Deixa passar qualquer conexao ja estabelecida
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Libera conexoes de ICMP (ping)
iptables -A FORWARD -m state --state NEW -p icmp -j ACCEPT

# Libera acesso para todos ftps
iptables -A FORWARD -m state --state NEW -p tcp --dport 20:21 -j ACCEPT

# Libera acesso SSH para servidor linux
iptables -A FORWARD -m state --state NEW -p tcp --dport 22 -j ACCEPT

# Libera acesso a DNS remoto
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET --dport 53 -j ACCEPT
iptables -A FORWARD -m state --state NEW -p udp -s $INT_NET --dport 53 -j ACCEPT

# Libera acesso da rede interna para o modem ADSL
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET -d $EXT_GW --dport 80 -j ACCEPT

# Acesso da rede interna para Internet (http, https)
iptables -A FORWARD -m state -m multiport --state NEW -p tcp -s $INT_NET --dport 80,443 -j ACCEPT

# Libera acesso a portas para SMTP/POP
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET --dport 465 -j ACCEPT
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET --dport 995 -j ACCEPT
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET --dport 587 -j ACCEPT
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET --dport 110 -j ACCEPT

# Libera acesso a MSN
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET --dport 1863 -j ACCEPT

#Libera acesso a VPN ao XXXX
iptables -A FORWARD -m state --state NEW -p tcp -s $EXT_GW -d 1.1.1.1 --dport 1194 -j ACCEPT

# Libera acesso da rede interna para sistema XXXX
iptables -A FORWARD -m state --state NEW -p tcp -s $INT_NET -d 1.1.1.1.1 --dport 3350 -j ACCEPT

# Acesso a Internet total para maquinas XXXX
iptables -A FORWARD -m state --state NEW -s 192.168.0.10 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 192.168.0.11 -j ACCEPT

# Acesso a Internet total para Maquina XXXX
iptables -A FORWARD -m state --state NEW -s 192.168.0.13 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 192.168.0.14 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 192.168.0.16 -j ACCEPT
iptables -A FORWARD -m state --state NEW -s 192.168.0.15 -j ACCEPT

# Libera a Internet total para XXXX
iptables -A FORWARD -m state --state NEW -s 192.168.0.150 -j ACCEPT

# Acesso total maquina XXXX
iptables -A FORWARD -m state --state NEW -s 192.168.0.17 -j ACCEPT


# Forward - Log de qualquer outro tipo de conexao
iptables -A FORWARD -j LOG --log-prefix "Firewall-BLOCK=Forward "
#
# --- Fim - Regras FORWARD --- #


# --- Inicio - Regras NAT --- #
#

# Nat - Squid
#
#iptables -t nat -A PREROUTING -i $INT_I -p tcp --dport 80 -j REDIRECT --to-port 3128

# Nat - Lan/Dmz -> Net
iptables -A POSTROUTING -t nat -o $EXT_I -j SNAT --to $EXT_IP
#
# --- Fim - Regras NAT --- #


Eu faço a liberação na CHAIN FORWARD: iptables -A FORWARD -m state --state NEW -s 192.168.0.16 -j ACCEPT

Nesse caso esse IP fica liberado só que menos em um NOTEBOOK que possui windows 8.1 (colocando manualmente, reservando por MAC) fiz até a liberação por MAC direto no iptables só que mesmo assim não funciona. Essa maquina não vai! se eu coloco o proxy no navegador funciona agora quando tiro o proxy não vai sendo que com essa liberação não necessita do usuario se autenticar.  (Coloquei essa regra na primeira regra na FORWARD) só que nada.

Tentei criar uma ACL de liberação por MAC no squid mas mesmo assim não acessa a internet sem se autenticar.

Ta rodando no Ubuntu Server.

Se alguem souber o que pode ser.. acredito que tenha algo ligado ao fato de ser Windows 8.1. Nas demais maquinas que são XP e 7 funciona inclusive com IP 192.168.0.16


Agradeço a colaboração de todos.

??? ??? ??? ??? ??? ??? ??? ??? ??? ???

zekkerj

Citar# Acesso da rede interna para Internet (http, https, msn, dns)
iptables -A FORWARD -p tcp -m state -m multiport --state NEW -s $INT_NET --dport 53,80,443,1863 -j ACCEPT
iptables -A FORWARD -p udp -m state -m multiport --state NEW -s $INT_NET --dport 53 -j ACCEPT
Se eu vi direito estas são as primeiras regras do teu fw para a cadeia forward, correto?

Citar# Forward - Log de qualquer outro tipo de conexao
iptables -A FORWARD -j LOG --log-prefix "Firewall-BLOCK=Forward "
#
Essa máquina problemática faz algum log de bloqueio?

CitarEu faço a liberação na CHAIN FORWARD: iptables -A FORWARD -m state --state NEW -s 192.168.0.16 -j ACCEPT
Verifique se os contadores de atividade dessa regra estão avançando.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D