Liberar acesso a sistema HTTP

nyter
(usa Ubuntu)

Enviado em 23/01/2008 - 18:19h

Tenho um servidor com squid e iptables funcionando perfeitamente.

Necessito liberar o acesso de uma maquina da rede interna para acessar a base de dados externa de outra empresa. Exemplo: http://interno.proway.com.br:81/helpdesk_demo

Minha duvida é como liberar para ter acesso a este endereço

m4tri_x
(usa Ubuntu)

Enviado em 23/01/2008 - 22:55h

nao entendi mto bem o problema, mais tenta ai:

iptables -A FORWARD -p TCP -s 172.16.30.31/32 -d 0/0 --dport 80 -j ACCEPT

veja se funciona...
[]'s

giaco
(usa Debian)

Enviado em 24/01/2008 - 07:58h

Nesse caso você tem que liberar a porta 81 no seu firewall, quase como disse o M4tri_x:

iptables -A FORWARD -p tcp --dport 81 -j ACCEPT

Assim você estará liberando o acesso de qualquer máquina para qualquer lugar pela porta 81. O tráfego neste caso não passará pelo Squid, ok?

elgio
(usa Debian)

Enviado em 24/01/2008 - 09:02h

Você falou rede interna?

Eu não entendi muito bem.
Você tem uma máquina na rede Interna com qual ip? Público? Privado?

quer acessar na rede externa qual ip? É na Internet?

Se tudo for mera questão de roteamento, a solução já apresentada deve funcionar.

Agora se tu estás saindo com ip privado para a Internet, ai precisarás de NAT.

elgio
(usa Debian)

Enviado em 24/01/2008 - 09:08h

Bom, vi que tu colocou uma URL no teu post:
http://interno.proway.com.br:81/helpdesk_demo

E este domínio resolve no DNS para um ip público.
Logo, acho mesmo que teu problema passa por NAT.
Mas ai tem que ver quem é o teu roteador, como tua rede está, o que ela atualmente acessa, etc..

Vou CONSIDERAR que esta máquina que tu quer liberar o acesso ja usa 100% a Internet, ok?

Então, como não está funcionando (senão tu não perguntaria :-D), sou tentado a supor que a tua "internet" da Empresa é via proxy. Estou certo? Todos colocam no navegador o IP e porta do proxy?

Se não é via proxy, então tu já deve ter algum NAT ligado no roteador e tudo se resumirá a uma questão de reconfigurar o firewall, mas não apenas na tabela filter/FORWARD mas também na nat/POSTROUTING.

Se é via proxy NÃO TRANSPARENTE (proxy citado nas configurações do Navegador), ai fica mais complicado! Porque nesta tua máquina de excessão tu vais ter que desligar o proxy ou colocar uma excessão (PORQUE O ACESSO QUE TU QUER é na porta 81 e não na porta 80).

Aguardemos maiores informações para possamos te ajudar melhor.

julinhoramones
(usa Slackware)

Enviado em 24/01/2008 - 15:27h

Se o proxy não for transparente você pode fazer o seguinte no seu squid.conf.

Crie três ACL´s (esta é uma solução)

acl proway_port port 81
acl proway dstdom_regex -i .proway.com.br
acl estacao_x src 192.168.0.X

e depois você precisara garantir o acesso:

http_access allow estacao_x proway proway_port
http_access allow CONNECT estacao_x proway proway_port

T+

nyter
(usa Ubuntu)

Enviado em 25/01/2008 - 11:47h

A rede de internet possui proxy e firewall, o usuario acessa a internet somente o que foi liberado para ele. Esta liberação é feita por usuario. Segue abaixo o meu squid.conf

http_port 3128
visible_hostname nome_empresa

# CONFIGURACAO DO CACHE

cache_mem 32 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256

# LOCALIZACAO DO LOG DE ACESSOS

cache_access_log /var/log/squid/access.log

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

#Parametros de autenticação

auth_param basic program /etc/squid/ldap_auth/ldap_auth -h 192.168.0.101 -b o=omil -a uid -p 389

#ACLs - Access Control Lists
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 #http, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistred ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl Safe-ports port 3389 #wts
acl Safe-ports port 81 # Proway
acl purge method PURGE
acl CONNECT method CONNECT


http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

# LIBERA ACESSOS NO HORARIO DE ALMOCO
#

#
# FILTRO POR PALAVRAS
#
acl proibidos dstdom_regex "/etc/squid/proibidos
http_access deny proibidos
#
#FILTRO POR DOMINIOS
#
acl safra dstdomain safraempresas.com.br safra.com.br lignetsafra.com.br
http_access allow safra

# acl cscaixa url_regex ".caixa.gov.br"
# no_cache deny cscaixa
# always_direct allow cscaixa



# LIBERA A REDE LOCAL
#
# acl redelocal src 10.0.0.0/8
# http_access allow localhost
# http_access allow redelocal

# acl usuarios proxy_auth teste
# acl bloqueia url_regex "/etc/squid/sites_bloqueados_para_fulano"
# http_access deny bloqueia !usuarios

# proxy_auth
# acl usuarios proxy_auth teste REQUIRED
#
#Filtro por ususario

# Seguranca do Trabalho
acl usuario_segurancadotrabalho proxy_auth segurancadotrabalho
acl permite_segurancadotrabalho url_regex .ashland.com.br .guiatrabalhista.com.br .gov.br .fimma.com.br .crea-sc.org.br .sobes.org.br gerenciamentoverde.com.br abnt.gov.br telelistas.net omil.com.br abntnet.com.br
http_access deny usuario_segurancadotrabalho all !permite_segurancadotrabalho

#Acls do pessoal comercial

# Luciano - SAC
acl usuario_sac proxy_auth sac
acl permite_sac url_regex .gov.br .telelistas.net .correios.com.br .omil.com.br .leomadeiras.com.br uol.com.br bol.com.br antispam.uol.gov.br abimaq.org.br b2babimaq.com.br ht-eservices.com.br telelistas.net omil.com.br efisco.sefaz.pe.gov.br sintegra.gov.br datasul.com.br
http_access deny usuario_sac all !permite_sac


# Exportacao - Luis
acl usuario_exportacao proxy_auth exportacao
acl permite_exportacao url_regex .gov.br .tnt.com .hapag-lloyd.com .cinsc.com.br .omil.com.br receita.fazenda.gov.br fedex.com.br portoitajai.com.br cma.com.br .jasworldwide.com agf.com.br calcfacil.agf.com.br calcfacil.agf.com.br:8080 abimaq.org.br telelistas.net omil.com.br abimaq.com.br serasa.com.br
http_access deny usuario_exportacao all !permite_exportacao


# Comercial Fundicao - Vilson
acl usuario_comercialfundicao proxy_auth comercialfundicao
acl permite_comercialfundicao url_regex .gov.br .auxilioalista.com.br .agralecompras.com.br telelistas.net omil.com.br
http_access deny usuario_comercialfundicao all !permite_comercialfundicao


# Fundicao02 - Daniel
acl usuario_fundicao02 proxy_auth fundicao02
acl permite_fundicao02 url_regex .correios.com.br telelistas.net omil.com.br
http_access deny usuario_fundicao02 all !permite_fundicao02


# Vendas
acl usuario_vendas proxy_auth vendas
acl permite_vendas url_regex .cma.com.br .omil.com.br .cma.com.br .portalmoveleiro.com.br .noticenter.com.br uol.com.br bol.com.br sintegra.gov.br cartaobndes.gov.br bndes.gov.br abimaq.com.br b2babimaq.com.br ht-eservices.com.br agf.com.br calcfacil.agf.com.br calcfacil.agf.com.br:8080 telelistas.net omil.com.br
http_access deny usuario_vendas all !permite_vendas

# Arthur - PCP
acl usuario_pcp proxy_auth pcp
acl permite_pcp url_regex .weg.com.br .wegonline.com.br .wegonline.com .datasul.com.br .besc.com.br telelistas.net omil.com.br interno.proway.com.br proway.com.br
http_access deny usuario_pcp all !permite_pcp


# Recepcao

acl usuario_recepcao proxy_auth recepcao
acl permite_recepcao url_regex .listasdaqui.com.br listel.com.br telelistas.net omil.com.br
http_access deny usuario_recepcao all !permite_recepcao

# Assistencia Tecnica

acl usuario_assistenciatecnica proxy_auth assistenciatecnica
acl permite_assistenciatecnica url_regex .listasdaqui.com.br listel.com.br telelistas.net omil.com.br
http_access deny usuario_assistenciatecnica all !permite_assistenciatecnica

# Engenheiro

acl usuario_engenheiro proxy_auth engenheiro
acl permite_engenheiro url_regex .listasdaqui.com.br listel.com.br telelistas.net omil.com.br
http_access deny usuario_engenheiro all !permite_engenheiro

# Rafael

acl usuario_rafael proxy_auth rafael
acl permite_rafael url_regex .listasdaqui.com.br listel.com.br telelistas.net omil.com.br
http_access deny usuario_rafael all !permite_rafael

# Estrutura

acl usuario_estrutura proxy_auth estrutura
acl permite_estrutura url_regex .listasdaqui.com.br listel.com.br telelistas.net omil.com.br
http_access deny usuario_estrutura all !permite_estrutura

# Montagem

acl usuario_montagem proxy_auth montagem
acl permite_montagem url_regex telelistas.net omil.com.br
http_access deny usuario_montagem all !permite_montagem

# Credito

acl usuario_credito proxy_auth credito
acl permite_credito url_regex telelistas.net omil.com.br
http_access deny usuario_credito all !permite_credito

# Producao

acl usuario_producao proxy_auth producao
acl permite_producao url_regex telelistas.net omil.com.br
http_access deny usuario_producao all !permite_producao

# Manutencao

acl usuario_manutencao proxy_auth manutencao
acl permite_manutencao url_regex telelistas.net omil.com.br
http_access deny usuario_manutencao all !permite_manutencao

# PCPFundicao

acl usuario_pcpfundicao proxy_auth pcpfundicao
acl permite_pcpfundicao url_regex telelistas.net omil.com.br
http_access deny usuario_pcpfundicao all !permite_pcpfundicao

# Laboratorio

acl usuario_laboratorio proxy_auth laboratorio
acl permite_laboratorio url_regex telelistas.net omil.com.br
http_access deny usuario_laboratorio all !permite_laboratorio

# Mairon

acl usuario_mairon proxy_auth mairon
acl permite_mairon url_regex telelistas.net omil.com.br
http_access deny usuario_mairon all !permite_mairon

# Pecas

acl usuario_pecas proxy_auth pecas
acl permite_pecas url_regex telelistas.net omil.com.br correios.com.br
http_access deny usuario_pecas all !permite_pecas

# Compras02

acl usuario_compras02 proxy_auth compras02
acl permite_compras02 url_regex telelistas.net omil.com.br
http_access deny usuario_compras02 all !permite_compras02

# Recebimento

acl usuario_recebimento proxy_auth recebimento
acl permite_recebimento url_regex telelistas.net omil.com.br
http_access deny usuario_recebimento all !permite_recebimento

# Fundicao

acl usuario_fundicao proxy_auth fundicao
acl permite_fundicao url_regex telelistas.net omil.com.br
http_access deny usuario_fundicao all !permite_fundicao

# Desenhos

acl usuario_desenhos proxy_auth desenhos
acl permite_desenhos url_regex telelistas.net omil.com.br
http_access deny usuario_desenhos all !permite_desenhos

# Qualidade

acl usuario_qualidade proxy_auth qualidade
acl permite_qualidade url_regex telelistas.net omil.com.br
http_access deny usuario_qualidade all !permite_qualidade

# Custos01

acl usuario_custos01 proxy_auth custos01
acl permite_custos01 url_regex telelistas.net omil.com.br
http_access deny usuario_custos01 all !permite_custos01

# Vendas Pecas

acl usuario_vendaspecas proxy_auth vendaspecas
acl permite_vendaspecas url_regex telelistas.net omil.com.br correios.com.br
http_access deny usuario_vendaspecas all !permite_vendaspecas

# PCP01

acl usuario_pcp01 proxy_auth pcp01
acl permite_pcp01 url_regex telelistas.net omil.com.br
http_access deny usuario_pcp01 all !permite_pcp01

# SupFundicao

acl usuario_supfundicao proxy_auth supfundicao
acl permite_supfundicao url_regex telelistas.net omil.com.br
http_access deny usuario_supfundicao all !permite_supfundicao

# Processos

# acl usuario_processos proxy_auth processos
# acl permite_processos url_regex telelistas.net omil.com.br besc.com.br bradesco.com.br cimm.gov.br intranet.sc.senai.br usinagem-brasil.com.br
# http_access deny usuario_processos all !permite_processos

# Processos 01

acl usuario_processos01 proxy_auth processos01
acl permite_processos01 url_regex telelistas.net omil.com.br
http_access deny usuario_processos01 all !permite_processos01

# Custos

acl usuario_custos proxy_auth custos
acl permite_custos url_regex telelistas.net omil.com.br
http_access deny usuario_custos all !permite_custos

# Metrologia

acl usuario_metrologia proxy_auth metrologia
acl permite_metrologia url_regex telelistas.net omil.com.br
http_access deny usuario_metrologia all !permite_metrologia

# Processos Fundicao

acl usuario_processosfundicao proxy_auth processosfundicao
acl permite_processosfundicao url_regex telelistas.net omil.com.br
http_access deny usuario_processosfundicao all !permite_processosfundicao

# Faturamento

acl usuario_faturamento proxy_auth faturamento
acl permite_faturamento url_regex telelistas.net omil.com.br
http_access deny usuario_faturamento all !permite_faturamento

# Terceirizacao

acl usuario_terceirizacao proxy_auth terceirizacao
acl permite_terceirizacao url_regex telelistas.net omil.com.br
http_access deny usuario_terceirizacao all !permite_terceirizacao

# ADM Fundicao

acl usuario_admfundicao proxy_auth admfundicao
acl permite_admfundicao url_regex telelistas.net omil.com.br
http_access deny usuario_admfundicao all !permite_admfundicao

# Terceirizacao 02

acl usuario_terceirizacao02 proxy_auth terceirizacao02
acl permite_terceirizacao02 url_regex telelistas.net omil.com.br
http_access deny usuario_terceirizacao02 all !permite_terceirizacao02

# Projetos

acl usuario_projetos proxy_auth projetos
acl permite_projetos url_regex telelistas.net omil.com.br
http_access deny usuario_projetos all !permite_projetos

# Terceirizacao 01

acl usuario_terceirizacao01 proxy_auth terceirizacao01
acl permite_terceirizacao01 url_regex telelistas.net omil.com.br
http_access deny usuario_terceirizacao01 all !permite_terceirizacao01

#Acl dos liberados

acl liberados proxy_auth shogun acesso logistica osni compras rh02 rh engenharia financeiro cobranca gerd comercial maikon datasul processos REQUIRED
http_access allow all liberados

acl password proxy_auth logistica pcp vendas sac exportacao comercialfundicao fundicao02 segurancadotrabalho shogun osni acesso compras rh02 rh engenharia financeiro cobranca gerd comercial recepcao assistenciatecnica engenheiro rafael estrutura montagem credito producao manutencao pcpfundicao laboratorio mairon pecas compras02 recebimento fundicao desenhos qualidade custos01 vendaspecas pcp01 supfundicao processos processos01 custos metrologia processosfundicao faturamento terceirizacao admfundicao terceirizacao02 projetos terceirizacao01 datasul REQUIRED
http_access allow password

#
# BLOQUEIA ACESSOS EXTERNOS
#
http_access deny all
#

Não fui eu que montei o servidor, mas o rapaz saiu da empresa e jogaram na minha mão. Agora tenho que me virar...

Agradeço desde já a ajuda.

nyter
(usa Ubuntu)

Enviado em 29/01/2008 - 13:55h

o ip da maquina é 192.168.0.10 e somente esta maquina deve acessar o site descrito e à porta 81.

Alguma ideia, pois tentei algumas alternativas e ainda não esta funcionando. segue abaixo o meu firewall:

#declaracao de variaveis...
dir=/etc/fw
iffora=eth0
ifdentro=eth1

redeint=192.168.0.0/255.255.255.0

limpa()
{
# Limpa e apaga as chains
iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
}

statefull()
{
#libera conexoes jah estabilizadas
iptables -A FORWARD -i $iffora -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $ifdentro -m state --state RELATED,ESTABLISHED -j ACCEPT
}

liberados(){


#financeiro
iptables -I FORWARD -s 192.168.0.195 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.195 -o eth0 -j MASQUERADE

#rh - conectividade social
iptables -I FORWARD -s 192.168.0.125 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.125 -o eth0 -j MASQUERADE

#osni
iptables -I FORWARD -s 192.168.0.28 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.28 -o eth0 -j MASQUERADE

#alecir
iptables -I FORWARD -s 192.168.0.137 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.137 -o eth0 -j MASQUERADE

#joceli
iptables -I FORWARD -s 192.168.0.111 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.111 -o eth0 -j MASQUERADE
#Gerd
iptables -I FORWARD -s 192.168.0.36 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.36 -o eth0 -j MASQUERADE

#Marcio
iptables -I FORWARD -s 192.168.0.33 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.33 -o eth0 -j MASQUERADE

#Servidor dados
iptables -I FORWARD -s 192.168.0.1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.1 -o eth0 -j MASQUERADE

#Sidnei Alecir
iptables -I FORWARD -s 192.168.0.20 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.20 -o eth0 -j MASQUERADE


#Ip de Acesso
iptables -I FORWARD -s 192.168.0.254 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.254 -o eth0 -j MASQUERADE

# ABNTNET - Seguranca
iptables -I FORWARD -s 192.168.0.32 -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.32 -o eth0 -j MASQUERADE

}
libera()
{

#Libera as portas TCP do arquivo liberadas.tcp
for porta in $(cat $dir/liberadas.tcp | grep -v ^#)
do
iptables -A FORWARD -s $redeint -p tcp --dport $porta -j ACCEPT
done
iptables -I FORWARD -s 0/0 -p tcp -m tcp --dport 3389 -j ACCEPT
#Libera as porta UDP do arquivo liberadas.udp
for porta in $(cat $dir/liberadas.udp | grep -v ^#)
do
iptables -A FORWARD -s $redeint -p udp --dport $porta -j ACCEPT
done
}

mascara()
{
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to 192.168.0.1:3389


iptables -t nat -A POSTROUTING -s 192.168.0.1 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.2 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.3 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.4 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.5 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.6 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.7 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.8 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.225 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.253 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.252 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.220 -j SNAT --to-source 200.180.22.221
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -j SNAT --to-source 200.180.22.218
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT --to-source 200.180.22.218
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j SNAT --to-source 200.180.22.218
}
#opcoes......
case "$1" in
start)
limpa
liberados
# mascara
libera
statefull
# input
;;

stop)
iptables -t nat -F
iptables -F
iptables -X

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
;;

*)
echo ""
echo "Assim nao vai funciona heim =/"
echo "Opcoes: { Start | Stop }"
echo ""
exit 1
;;
esac
exit 0

nyter
(usa Ubuntu)

Enviado em 29/01/2008 - 14:05h

Todas a maquinas colocam no navegador o ip do proxy e a porta.

A pagina http://interno.proway.com.br esta acessa... mas ao tentar pela porta 81 esta sendo bloqueada.

giaco
(usa Debian)

Enviado em 29/01/2008 - 14:26h

Basta adicionar ao seu firewall:

iptables -A FORWARD -p tcp -s -s 192.168.0.10 --dport 81 -j ACCEPT

Teste e reporte se funcionou.

elgio
(usa Debian)

Enviado em 29/01/2008 - 15:06h

iptables -A FORWARD -p tcp -s -s 192.168.0.10 --dport 81 -j ACCEPT

Isto NÃO FUNCIONARÁ!

Como nosso amigo postou a pouco, ele usa PROXY e não é transparente! Não importa o que os clientes coloquem na URL o navegador irá repassar para a porta 3128 do proxy! Então, esquece regras de firewall. Só funcionaria se o proxy fosse transparente ou se não houvesse proxy.

giaco
(usa Debian)

Enviado em 29/01/2008 - 15:17h

Eu passei pelo mesmo problema que nosso colega e liberei no iptables da forma que postei. A diferença é que tenho proxy transparente.
Mas se a porta estiver fechada no firewall, jamais vai passar. Se ele tem por padrão DROP no FORWARD, ainda acho que vai ser necessário liberar no iptables e no Squid. O que você sugere?