Liberando

pedrodaltoe
(usa Fedora)

Enviado em 04/05/2010 - 10:35h

Bom pessoal, gostaria de saber como libero uma regra no IPtables para quando alguem da minha rede acessar o site ip199.unimedflorianopolis.com.br ou o IP 201.47.43.199 ele liberar, atualmente um software esta tentando acesso a esses sites e esta bloqueando, eu tentei ler alguma coisa aqui, mais preciso meio Urgente.

irado
(usa XUbuntu)

Enviado em 04/05/2010 - 10:51h

desconfio (vc não disse) que usa o proxy transparente e êsse site PROVAVELMENTE usa https; ou então (o que não é incomum) vc solicita por um server e a resposta vem por outro - muito comum nas entidades de govêrno. Mas pra gente ter uma idéia:

informe qual o seu topológico, se tem ou não proxy transparente, e quais as mensagens de êrro quando tenta acessar o site.

pedrodaltoe
(usa Fedora)

Enviado em 04/05/2010 - 11:09h

Opa, tem razao eu uso proxy transparente e o site que estou tentando liberar é https.
11:22:01.305087 IP ip199.unimedflorianopolis.com.br.https > server.46980: . 231131:232579(1448) ack 8898 win 64607 <nop,nop,timestamp 36848530 880750862>
11:22:01.305125 IP server.46980 > ip199.unimedflorianopolis.com.br.https: . ack 232579 win 681 <nop,nop,timestamp 880750909 36848530>
11:22:01.307456 IP ip199.unimedflorianopolis.com.br.https > server.46980: . 232579:234027(1448) ack 8898 win 64607 <nop,nop,timestamp 36848530 880750862>
11:22:01.307468 IP server.46980 > ip199.unimedflorianopolis.com.br.https: . ack 234027 win 721 <nop,nop,timestamp 880750911 36848530>
11:22:01.308923 IP ip199.unimedflorianopolis.com.br.https > server.46980: . 234027:235475(1448) ack 8898 win 64607 <nop,nop,timestamp 36848530 880750862>
11:22:01.308933 IP server.46980 > ip199.unimedflorianopolis.com.br.https: . ack 235475 win 743 <nop,nop,timestamp 880750913 36848530>
11:22:01.311289 IP ip199.unimedflorianopolis.com.br.https > server.46980: . 235475:236923(1448) ack 8898 win 64607 <nop,nop,timestamp 36848530 880750862>
11:22:01.311302 IP server.46980 > ip199.unimedflorianopolis.com.br.https: . ack 236923 win 766 <nop,nop,timestamp 880750915 36848530>
11:22:01.313660 IP ip199.unimedflorianopolis.com.br.https > server.46980: . 236923:238371(1448) ack 8898 win 64607 <nop,nop,timestamp 36848530 880750862>
11:22:01.313674 IP server.46980 > ip199.unimedflorianopolis.com.br.https: . ack 238371 win 789 <nop,nop,timestamp 880750917 36848530>
11:22:01.313698 IP ip199.unimedflorianopolis.com.br.https > server.46980: P 238371:238799(428) ack 8898 win 64607 <nop,nop,timestamp 36848530 880750862>
11:22:01.313706 IP server.46980 > ip199.unimedflorianopolis.com.br.https: . ack 238799 win 811 <nop,nop,timestamp 880750917 36848530>

pedrodaltoe
(usa Fedora)

Enviado em 04/05/2010 - 11:46h

Alguem?

magnolinux
(usa Debian)

Enviado em 04/05/2010 - 12:44h

amigo se vc estiver usando proxy transparent é so criar uma regra aceitando esse trafego para fora da rede sem ser redirecionado.

iptables -t filter -A INPUT -p tcp --dport 80 -s IP_Origem -d IP_Destino -j ACCEPT

Feito isso ta pronto..

agora se vc está usando o proxy configurado no navegador, essa requisição nao passa pelo firewall ela vai direto para o proxy, entao vc deve criar uma regra no proxy liberando..

OK..

abraço.

irado
(usa XUbuntu)

Enviado em 05/05/2010 - 09:18h

bem.. o protocolo https não pode passar pelo proxy transparente. Vc pode pesquisar razões no google, mas isso é fato: não pode :) então vc deve DESVIAR êsse tráfego nas regras de iptables, como o colega magnolinux mencionou; eu só alteraria DE enderêço ip PARA porta ou protocolo, porque outras máquinas poderão acessar sites https (bancos, principalmente).

provavelmente sua regra está assim (ou parecida):
$IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 -j REDIRECT --to-port 3128

então, antes dela vc adiciona a regra de desvio:

$IPT -t nat -A PREROUTING -s $REDE -d 0/0 -p tcp --dport https -j ACCEPT
$IPT -t nat -A PREROUTING -i $NIC_INTERNA -p tcp -d 0/0 -j REDIRECT --to-port 3128