# libera POP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
# libera SMTP
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
# Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
# mascara saida dos pacotes
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
obs. a única diferença e que na minha casa o meu link de internet está na eth1 e não na eth0 como é aqui no trabalho.
fiz a mesma coisa acima aqui no trabalho e não está funcionando.
aaaaa outra coisa, em casa a conta que configurei no outlook é uma conta do Gmail que utiliza portas diferentes da 25 e 110 para pop3 e smtp. Por isso na verdade acho que nem em casa funcionou essa liberação da porta 110 e 25 que tá grifado ai em cima de amarelo....acho que a única coisa que funcionou foi o compartilhamento da internet.
Marcelo Castilho Manzano escreveu:
> Resumo pra entenderem!
> o que eu queria configurar, e consegui, com a ajuda da turma aqui da
> lista é:
> O Squid+outlook+Iptables.
> tudo se resume à fazer com que as regras do iptables deixasse passar
> somente o tráfego do outlook POP(porta110), SMTP(porta25) direto sem
> ter que passar pelo meu proxy e que todo o restante do tráfego
> passasse por ele.
> se o usuário desabilitar o proxy e deixar as configurações dele em
> branco no navegador ele não conseguirá navegar pois as requisições
> para a internet o sistema faz pela porta 80 ...e essa porta eu
> bloquiei pelo iptables.
>
> agora pro usuário espertinho de windows vc pode bloquear o acesso as
> configurações do proxy pelo Iinternet explorer da seguinte forma:
> iniciar>executar> gpedit.msc,,,, dai abrirá uma janela que vc deve ir o
> seguinte item:
> configuração do usuário>modelos administrativos>internet explorer> e
> dentro da pasta vai ter uma chave de nome:
> - Desativar a alteração das configurações de proxy, abra ela e marque
> ativado....
>
> Já era ....seu usuário não vai alterar mais o proxy....
>
> ele vai ter que ser muito inteligente pra descobrir essa opção e
> depois vai ter que conhecer outro proxy de fora da sua rede pra
> acessar a internet..
OK. Isso vai impedir os usuários que não intendem por onde passa a
conexão com a internet de consiguirem uma "receita de bolo" pelo Google
e contornar o proxy, ou seja, eu considero isso inútil. Além de bloquear
a configuração do proxy a ponto de nem você conseguir resolver algum
problema de falta de configuração de forma prática.
> *Uma dúvida que me resta é....*
> se o usuário souber outro proxy/porta.....e ele configurar no IE dele
> como funciona o tramite...?????
> ex: suponha que ele conheça o proxy de ip 200.200.200.26
> <http://200.200.200.26> porta: 3214..
> Minha pergunta:
> o usuário usuará a porta 3214 do PC dele pra chegar ao ip
> 200.200.200.26 <http://200.200.200.26> e de lá sair pela porta 80 do
> servidor proxy????
> ou ele usará a 80 do pc dele pra chegar ao ip 200.200.200.26
> <http://200.200.200.26> pra depois que chegar nesse ip sair pela porta
> 3214 desse servidor....???? fico mei confuso nessas coisas..
Ele pode utilizar qualquer porta alta para fazer isso, você não pode
bloquear isso com base na porta de origem. E isso já foi esclarecido nos
e-mails anteriores.
O que se recomenda fazer (e que já foi dito anteriormente) é bloquear
TUDO por padrão (flag -P na cadeia FORWARD com política DROP) e liberar
o necessário, SOMENTE as portas 110 e 25 para os SEUS PROVEDORES (elas
podem ser utilizadas para proxys também, nada impede que exista um proxy
externo que aceite conexões na porta 110, por exemplo).
> outra questão ....
> se, minha máquina é ligada diretamente a um modem do virtua e eu
> obtenho um ip válido(200) do virtua e talz......sei que vou sair pela
> porta 80.
> Consigo mudar a porta de saída e configurar outra em vez da 80....?????
As portas baixas sugerem que nelas existam determinados serviços
aguardando por conexões, a porta 80 indica que provavelmente exista um
servidor HTTP escutando nela.
Sua conexão NÃO SAI na porta 80, ela sai em portas altas (de 1024 em
diante) aleatórias e entram na porta 80 de cada endereço (no caso de
acesso a páginas HTTP).
Exemplo das minhas conexões ativas com a página do Google e a do Terra
recentemente abertas e um envio de e-mail em andamento:
Obviamente "endereço local" é a origem da conexão.
edmundo@msik7n2d:~$ netstat -n --inet
Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto
Estado
tcp 0 0 10.0.0.10:42943 200.176.2.94:80
TIME_WAIT
tcp 0 451 10.0.0.10:48834 65.205.8.52:80
ESTABELECIDA
tcp 0 0 10.0.0.10:53918 65.212.92.117:80
ESTABELECIDA
tcp 0 0 10.0.0.10:45924 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45925 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45923 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45953 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45960 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:60393 200.176.3.222:80
ESTABELECIDA
tcp 0 0 10.0.0.10:60391 200.176.3.222:80
ESTABELECIDA
tcp 0 0 10.0.0.10:43443 64.233.167.99:80
ESTABELECIDA
tcp 0 0 10.0.0.10:60287 200.176.3.221:80
TIME_WAIT
tcp 0 0 10.0.0.10:60292 200.176.3.221:80
TIME_WAIT
tcp 0 0 10.0.0.10:60294 200.176.3.221:80
TIME_WAIT
tcp 0 69120 10.0.0.10:59755 200.154.55.11:25
ESTABELECIDA
Raramente os protocolos utilizam portas fixas na origem.
> se alguem tiver algum tutorial que explique bem esse entra e sai de
> portas agradeço....
>
>
> abraço
>
>
>
>
> DEU Certo:
> coloquei as regras assim:
>
>
> # libera POP
> *iptables -A FORWARD -p tcp --dport 110 -j ACCEPT*
>
> # libera SMTP
> *iptables -A FORWARD -p tcp --dport 25 -j ACCEPT*
>
> # bloqueia somente a porta 80 e os usuários não conseguiram navegar
> sem o proxy setado nas configurações do Internet Explorer. essa regra
> deve vir antes da regra(abaixo) que compartilha a internet. vindo
> antes irá bloquear a navegação dos usuários caso eles removam o proxy
> pois se eles removerem o proxy e deixar em branco a configuração do
> proxy o sistema operacional entenderá que deve mandar as
> saidas(requisições) de páginas da internet pela porta 80 dai a porta
> 80 estará bloqueada e o mesmo não conseguira sair....porém essa regra
> não atrapalhará a regra que permiti a saída do POP/SMTP(outlook) pois
> as mesmas deixam os arquivos do outlook trafegarem pela porta 25 e 110.
> *iptables -A FORWARD -p tcp --dport 80 -j DROP*
>
>
>
>
> # Ativa roteamento
> *echo 1 > /proc/sys/net/ipv4/ip_forward*
>
> # mascara saida dos pacotes
> *iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> *
>
> ps..... a minha eth1 é a minha placa que tá ligada a saída pra
> internet...o virtua...
OK. Você habilitou o NAT, se sua regra padrão na cadeia FORWARD é ACCEPT
você só bloqueou o acesso a páginas HTTP na porta 80 do destino. Seus
usuários podem acessar e enviar e-mail em qualquer lugar, utilizar
QUALQUER programa P2P, utilizar proxys externos, etc. Você literalmente
abriu o acesso da sua rede e seu proxy agora so serve como cache mesmo.
Se você ainda não entendeu o que você fez eu sugiro que tente se
informar a respeito da diferença entre NAT e Proxy. Quanto aos
tutoriais, eu sugiro qualquer livro a respeito de configuração de
firewalls e a respeito do protocolo TCP/IP. Eu gosto muito do "Linux
Firewalls, 3rd Edition" da Novell Press, que é voltado para o iptables,
mas é em inglês.
Atenciosamente.
Edmundo Valle Neto
--
To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org