liberar via iptables

Iniciado por mgottfried, 06 de Novembro de 2017, 14:49

tópico anterior - próximo tópico

mgottfried

Ola Pessoal
como faço para liberar estes ips e dominios na minha rede interna via iptables em 1 unica regra se possivel :

sped.fazenda.gov.br
200.198.239.22
200.198.232.62
200.149.239.154
fazenda.gov.br
receita.fazenda.gov.br
br.gov.serpro
br.gov.serpro.spedfiscalserver
serpro.gov.br
200.198.239.21

zekkerj

Em uma única regra? Não faz...

Que tipo de bloqueio há, que vc precisa liberar esses IPs? Você já tem algum script em funcionamento?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

mgottfried

Não tenho script , somente alguns direcionamento de portas no  rc.local.

zekkerj

Portanto, você tem um script no rc.local, que é o que  você precisa mostrar. ;)
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

mgottfried

#!/bin/sh -e

#
# rc.local


#Limpando as Tabelas

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X


# Roteamento do Gateway

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o enp1s7 -j MASQUERADE




#Desabilitar resposta de ping

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP



# IP por fora do squid

iptables -A FORWARD -s 10.0.0.200 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -s 10.0.0.200 -j RETURN




# Redirecionamento de rede para o SQUID

iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128


exit 0

zekkerj

#5
Observo que você tem regras de redirecionamento para um proxy local, o que significa que você tem um proxy transparente (meus pêsames).
Juntando isso com os sites que você pediu pra "liberar", acredito que você já descobriu que esses sites não funcionam quando você os redireciona.

Primeira sugestão: não use proxy transparente. Informe-se sobre como usar proxy via WPAD, ou use o proxy configurado.

Segunda sugestão: NUNCA TENTE REDIRECIONAR A PORTA 443. Você foi avisado.

Terceira sugestão: em vez de se matar com regras de iptables no Ubuntu, use o pfsense ou o Endian, que foram feitos pra isso, e são muito, muito mais fáceis de usar.

Quarta sugestão: não coloque suas regras diretamente no arquivos /etc/rc.local. Coloque-as em um outro arquivo --- p.ex., em "/etc/firewall.sh", e depois chame esse arquivo no "rc.local".
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

zekkerj

Pra não dizer que eu não falei das flores... pegue o trecho abaixo:
Citariptables -t nat -A PREROUTING -p tcp --dport 80 -s 10.0.0.200 -j RETURN




# Redirecionamento de rede para o SQUID

Para cada um dos destinos que você não quer que passe pelo Squid, adicione entre essas duas linhas, uma linha como esta:

iptables -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j RETURN -d <destino>

P.ex.:

iptables -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j RETURN -d sped.fazenda.gov.br

Repita para os outros destinos. E lembre-se, tem que ficar entre as duas linhas lá de cima.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

mgottfried

Citação de: zekkerj online 06 de Novembro de 2017, 18:36
Observo que você tem regras de redirecionamento para um proxy local, o que significa que você tem um proxy transparente (meus pêsames).
Juntando isso com os sites que você pediu pra "liberar", acredito que você já descobriu que esses sites não funcionam quando você os redireciona.

Primeira sugestão: não use proxy transparente. Informe-se sobre como usar proxy via WPAD, ou use o proxy configurado. --> (uso configurado)

Segunda sugestão: NUNCA TENTE REDIRECIONAR A PORTA 443. Você foi avisado. ---> ( foi a forma que consegui parar o facebook)

Terceira sugestão: em vez de se matar com regras de iptables no Ubuntu, use o pfsense ou o Endian, que foram feitos pra isso, e são muito, muito mais fáceis de usar  --> vou estudar sua sugestão!

Quarta sugestão: não coloque suas regras diretamente no arquivos /etc/rc.local. Coloque-as em um outro arquivo --- p.ex., em "/etc/firewall.sh", e depois chame esse arquivo no "rc.local". ( servidor ainda esta em fase de testes na rede por isso ainda não aprimorei o firewall)