Autor Tópico: liberar via iptables  (Lida 1207 vezes)

Offline mgottfried

  • Usuário Ubuntu
  • *
  • Mensagens: 61
    • Ver perfil
liberar via iptables
« Online: 06 de Novembro de 2017, 14:49 »
Ola Pessoal
como faço para liberar estes ips e dominios na minha rede interna via iptables em 1 unica regra se possivel :

sped.fazenda.gov.br
200.198.239.22
200.198.232.62
200.149.239.154
fazenda.gov.br
receita.fazenda.gov.br
br.gov.serpro
br.gov.serpro.spedfiscalserver
serpro.gov.br
200.198.239.21

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 18.862
  • Gratidão gera gratidão, lamúria gera lamúria...
    • Ver perfil
Re:liberar via iptables
« Resposta #1 Online: 06 de Novembro de 2017, 15:04 »
Em uma única regra? Não faz...

Que tipo de bloqueio há, que vc precisa liberar esses IPs? Você já tem algum script em funcionamento?
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline mgottfried

  • Usuário Ubuntu
  • *
  • Mensagens: 61
    • Ver perfil
Re:liberar via iptables
« Resposta #2 Online: 06 de Novembro de 2017, 17:53 »
Não tenho script , somente alguns direcionamento de portas no  rc.local.

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 18.862
  • Gratidão gera gratidão, lamúria gera lamúria...
    • Ver perfil
Re:liberar via iptables
« Resposta #3 Online: 06 de Novembro de 2017, 18:02 »
Portanto, você tem um script no rc.local, que é o que  você precisa mostrar. ;)
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline mgottfried

  • Usuário Ubuntu
  • *
  • Mensagens: 61
    • Ver perfil
Re:liberar via iptables
« Resposta #4 Online: 06 de Novembro de 2017, 18:17 »
#!/bin/sh -e

#
# rc.local


#Limpando as Tabelas

iptables -F

iptables -X

iptables -t nat -F

iptables -t nat -X


# Roteamento do Gateway

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o enp1s7 -j MASQUERADE




#Desabilitar resposta de ping

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP



# IP por fora do squid

iptables -A FORWARD -s 10.0.0.200 -j ACCEPT

iptables -t nat -A PREROUTING -p tcp --dport 80 -s 10.0.0.200 -j RETURN




# Redirecionamento de rede para o SQUID

iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128


exit 0

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 18.862
  • Gratidão gera gratidão, lamúria gera lamúria...
    • Ver perfil
Re:liberar via iptables
« Resposta #5 Online: 06 de Novembro de 2017, 18:36 »
Observo que você tem regras de redirecionamento para um proxy local, o que significa que você tem um proxy transparente (meus pêsames).
Juntando isso com os sites que você pediu pra "liberar", acredito que você já descobriu que esses sites não funcionam quando você os redireciona.

Primeira sugestão: não use proxy transparente. Informe-se sobre como usar proxy via WPAD, ou use o proxy configurado.

Segunda sugestão: NUNCA TENTE REDIRECIONAR A PORTA 443. Você foi avisado.

Terceira sugestão: em vez de se matar com regras de iptables no Ubuntu, use o pfsense ou o Endian, que foram feitos pra isso, e são muito, muito mais fáceis de usar.

Quarta sugestão: não coloque suas regras diretamente no arquivos /etc/rc.local. Coloque-as em um outro arquivo --- p.ex., em "/etc/firewall.sh", e depois chame esse arquivo no "rc.local".
« Última modificação: 06 de Novembro de 2017, 18:39 por zekkerj »
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 18.862
  • Gratidão gera gratidão, lamúria gera lamúria...
    • Ver perfil
Re:liberar via iptables
« Resposta #6 Online: 06 de Novembro de 2017, 18:42 »
Pra não dizer que eu não falei das flores... pegue o trecho abaixo:
Citar
iptables -t nat -A PREROUTING -p tcp --dport 80 -s 10.0.0.200 -j RETURN




# Redirecionamento de rede para o SQUID

Para cada um dos destinos que você não quer que passe pelo Squid, adicione entre essas duas linhas, uma linha como esta:

iptables -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j RETURN -d <destino>

P.ex.:

Código: [Selecionar]
iptables -A PREROUTING -s 10.0.0.0/24 -p tcp --dport 80 -j RETURN -d sped.fazenda.gov.br
Repita para os outros destinos. E lembre-se, tem que ficar entre as duas linhas lá de cima.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Offline mgottfried

  • Usuário Ubuntu
  • *
  • Mensagens: 61
    • Ver perfil
Re:liberar via iptables
« Resposta #7 Online: 06 de Novembro de 2017, 21:35 »
Observo que você tem regras de redirecionamento para um proxy local, o que significa que você tem um proxy transparente (meus pêsames).
Juntando isso com os sites que você pediu pra "liberar", acredito que você já descobriu que esses sites não funcionam quando você os redireciona.

Primeira sugestão: não use proxy transparente. Informe-se sobre como usar proxy via WPAD, ou use o proxy configurado. --> (uso configurado)

Segunda sugestão: NUNCA TENTE REDIRECIONAR A PORTA 443. Você foi avisado. ---> ( foi a forma que consegui parar o facebook)

Terceira sugestão: em vez de se matar com regras de iptables no Ubuntu, use o pfsense ou o Endian, que foram feitos pra isso, e são muito, muito mais fáceis de usar  --> vou estudar sua sugestão!

Quarta sugestão: não coloque suas regras diretamente no arquivos /etc/rc.local. Coloque-as em um outro arquivo --- p.ex., em "/etc/firewall.sh", e depois chame esse arquivo no "rc.local". ( servidor ainda esta em fase de testes na rede por isso ainda não aprimorei o firewall)