Re: Ajuda na criação de regras no IPTABLES - <Off-Topic>

[Rondineli Gama Saad <rsaad@gelre.com.br>]

Olá Igor,
O mais complicado de tudo isso, para que você consiga criar uma regra no 
firewall no qual só será aceito conexões partindo de um determinado ip, 
cujo ips são dinâmicos, será necessário você criar regras no qual será 
necessário resolver nome. Para resolver nome, algum estação na unidade 
deve usar algum software que disponibilize um nome e que identifique 
qual ip a unidade está usando agora. Um dos softwares que tem esta 
funcionalidade é o no-ip. O no-ip é um software que se comunica 
diretamente ao site www.no-ip.com.br atualizando o ip que está sendo 
utilizado naquele momento. Exemplo: Imagine que vc tenha uma unidade X, 
onde utiliza ADSL como conexão banda larga e que o controle é feito por 
um roteador adsl, não existindo um servidor de compatilhamento de 
internet. Será necessário a instalação em uma estação do sotware e o 
cadastro no site do no-ip. Siga os passos: 
http://www.no-ip.com/comecar_com_pt.php.
Feito a instalação e o nome disponibilizado esteja respondendo, vc 
devera configurar o seu firewall para aceitar conexoes vinda do nome 
configurado. Utilize o PREROUTING para fazer o redirecionamento para o 
servidor http. Leia o foca linux que mostra como criar regras NAT.
Foi dado a opção de criar regras usando o mac address do roteador das 
unidades. Acredito que não funcione, pois quando a requisição parte de 
uma rede externa o mac address não é armazenado. Vou dar um exemplo: 
imagine que voce esta numa rede interna e quer falar com um computador 
interno. Ao fazer a consulta o mac address do computador de destino 
estará na sua tabela arp. Mas se vc quiser falar com um computador 
externo, quem vai dar o retorno vai ser o seu gateway interno, portanto 
o mac address que vai ficar na sua tabela arp vai ser do seu gateway e 
nao do endereço interno. O mesmo acontece para uma requisição partindo 
de um roteador externo para a sua rede, o mac address que vai ficar 
atrelado a tabela arp do seu firewall nao vai ser do roteador que esta 
requisitando, mas sim do ultimo que salto antes de chegar no seu 
firewall. Sendo assim, acredito que não será possível usar a regra 
usando o mac address. Espero ter ajudar. Flw

Rondineli Saad

Igor Sarmento Toledo wrote:
> Rondineli,
>  
> Meu cenário é o seguinte:
>  
> - Trabalho em uma construtora, portanto temos diversas obras em todo o 
> país, e nessas obras temos algumas máquinas que são utilizadas pelos 
> almoxarifes para acessar via TS o nosso sistema;
> - Nas obras, até mesmo que por uma questão de custo, não temos nenhum 
> tipo de servidor ou firewall, simplesmente uma conexão com a Internet 
> que chega em um roteador simples, normalmente esses DLink DI 624;
> - Na matriz temos um servidor WEB com Linux com duas placas de rede, 
> uma com endereço válido na internet e outra com endereço da rede 
> interna, rodando apache e talz.. Nele temos um ftp ativo e já rodando 
> na internet e rede interna;
>  
> Minha necessidade:
>  
> - Tenho um servidor de intranet interno na minha rede com IIS aonde 
> roda a intranet, que foi desenvolvida em asp. Necessito publicar 
> para todas as minhas obras essa nossa intranet, mais somente para as 
> obras. Não poderá ter nenhum tipo de autenticação como user e senha, 
> deverá ser automatico para evitar a baixa qtde de acessos dessas obras.
>  
> Necessito que o usuário ao entrar na internet e acessar o endereço 
> www.sitetal.com.br <http://www.sitetal.com.br> ele aponte para o meu 
> linux (até aqui tudo Ok, o site publicado funcionando no server que tá 
> na internet) ae em seguida que fará um redirecionamento para meu 
> server interno, observando as condições de autenticação.
>  
> Dúvidas:
>  
> Como redirecionar tudo que vier pela porta 80 (ou seja, acessarem esse 
> meu site) aponte para o meu server interno que não tem ip externo???
>  
> Após redirecionado, como poderei autenticar meus clientes internos???
>
>
>
>
> ------------------------------------------------------------------------
>
> > Date: Tue, 11 Mar 2008 14:37:55 -0300
> > From: rsaad@gelre.com.br
> > To: igortoledo@hotmail.com; debian-user-portuguese@lists.debian.org
> > Subject: Re: Ajuda na criação de regras no IPTABLES - <Off-Topic>
> >
> > Igor Sarmento Toledo wrote:
> > > Rodrigo,
> > >
> > > É exatamente isso que precisamos... Tenho um servidor aonde outros
> > > sites estão hospedados, e gostaria que um desses sites somente 
> tivesse
> > > acesso restrito, por exemplo, tenho www.site1.com.br
> > > <http://www.site1.com.br> e www.site2.com.br
> > > <http://www.site2.com.br>; quero que no site2 somente as minhas
> > > filiais tenham acesso, o site1 todos que desejaram possam acessar.
> > >
> > > Resumo da solução:
> > > // Para Bloquear o site desejado
> > > iptables -A INPUT -s www.site_que_deseja_bloquear -j DROP
> > >
> > > // Liberar somente os maqs dos modens das minhas filiais
> > > iptables -A INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT
> > >
> > > o site2.com.br estará em outro servidor interno da minha rede que não
> > > tem endereço válido na internet, como posso proceder com isso? Alguma
> > > dica de como posso fazer???
> > >
> > > Muito obrigado pelas sugestões e atenção.
> > >
> > >
> > > 
> ------------------------------------------------------------------------
> > >
> > > > Date: Tue, 11 Mar 2008 12:04:32 -0300
> > > > From: rodrigo.suportelivre@gmail.com
> > > > To: igortoledo@hotmail.com; debian-user-portuguese@lists.debian.org
> > > > Subject: Re: Ajuda na criação de regras no IPTABLES - <Off-Topic>
> > > >
> > > > Igor,
> > > >
> > > > Provavelmente o modem do seu provedor está fazendo NAT para os 
> outros
> > > > computadores da sua rede. Assim, acredito que você deve configurar a
> > > > regra do iptables com o endereço MAC desse dispositivo.
> > > > Em relação à outra regra, se eu entendi bem, você deseja 
> bloquear acesso
> > > > a um determinado site, deixando todo o resto acessível?
> > > > Se for isso você pode tentar algo como:
> > > >
> > > > iptables -A INPUT -s www.site_que_deseja_bloquear -j DROP
> > > >
> > > > Mas essa regra só faz sentido ser usada se você está configurando um
> > > > firewall permissivo por padrão, onde tudo é permitido e só é 
> bloqueado o
> > > > que é necessário.
> > > >
> > > > []s.
> > > >
> > > > Rodrigo
> > > >
> > > > Igor Sarmento Toledo escreveu:
> > > > > Rodrigo, no seu modelo proposto pegaria o mac dos meus roteadores
> > > das obras e adicionaria nas minhas regras???
> > > > >
> > > > > Minhas filiais funcionam da seguinte forma:
> > > > >
> > > > > - Todos os computadores das obras conectam atraves de um
> > > roteador/Switch qualquer que distribui o sinal de internet vindo 
> de um
> > > provedor x, que normalmente tem um modem...
> > > > >
> > > > > Minha pergunta, esse mac que devo cadastrar para aceitar as
> > > conexões no iptables em meu servidor deverá ser do meu roteador ou
> > > modem fornecido pelo provedor??
> > > > >
> > > > > [REDE] ---------- [ROTEADOR/SWITCH] ------------- [MODEM 
> PROVEDOR]
> > > --->>--->>--->>--- {INTERNET}Outra questão que tenho é que preciso
> > > restringir somente acesso a um site, como exemplo
> > > obras.empresa.com.br. Somente esse site será restrito, todos os 
> outros
> > > deverão ser liberados normalmente, como exemplo www.empresa.com.br.
> > > > >
> > > > > Se puderem me ajudar ficarei grato.
> > > > >
> > > > >
> > > > >
> > > > >> Date: Mon, 10 Mar 2008 20:12:35 -0300> From:
> > > rodrigo.suportelivre@gmail.com> To:
> > > debian-user-portuguese@lists.debian.org> Subject: Re: Ajuda na 
> criação
> > > de regras no IPTABLES - <Off-Topic>> > > O ideal é você alterar a
> > > política padrão da chain INPUT para rejeitar> todos os pacotes que
> > > chegam à sua rede (iptables -P INPUT DROP) e> liberar acesso 
> apenas ao
> > > que é necessário.> Assim, sua regra permitindo acesso de um 
> computador
> > > específico seria> construída basicamente desta forma:> > iptables -A
> > > INPUT -m mac --mac-source xx:xx:xx:xx:xx:xx -j ACCEPT> > Se quiser,
> > > ainda pode incrementar a regra adicionando quais portas está>
> > > liberando, protocolos, etc.> Se tiver dúvidas consulte este ótimo
> > > material:>
> > > http://focalinux.cipsga.org.br/guia/avancado/ch-fw-iptables.html> >
> > > []s.> > Rodrigo> > > Igor Sarmento Toledo escreveu:> > Galera,> > > >
> > > Sei que é um pouco off-topic, mais estou precisando de um help.> > 
> > >
> > > Estou precisando criar uma regra de entrada em um dos meus servidores
> > > web d
> > > > a seguinte forma:> > > > Tenho algumas filiais remotas que utilizam
> > > conexões de internet de banda larga comercial sem ip fixo, pois são
> > > obras e na maioria em lugares muito remoto... Minha questão é a
> > > seguinte:> > > > - Preciso de acesso a um determinado site hospedado
> > > em meu servidor aqui em BH, aonde só aceitaria conexões dessas obras,
> > > não devendo haver solicitação de usuário e senha, o acesso deverá ser
> > > direto, porém somente será liberado para esses locais, de qualquer
> > > outro ponto da internet ficaria indisponível;> > > > Alguém tem 
> alguma
> > > sugestão para esse meu problema? Pensei em criar uma regra no
> > > iptables, porém não tenho IP fixo nas obras, como poderia proceder??>
> > > > > > Aguardo retorno. Não consigo encontrar uma solução, se puderem
> > > me ajudar ficarei grato.> > > > Atenciosamente,> > Igor Toledo> > 
> (31)
> > > 9809 6744> >
> > > _________________________________________________________________> >
> > > Conheça o Windows Live Spaces, a rede de relacionamentos do
> > > Messenger!> > http://www.amig
> > > > osdomessenger.com.br/> > > -- > To UNSUBSCRIBE, email to
> > > debian-user-portuguese-REQUEST@lists.debian.org> with a subject of
> > > "unsubscribe". Trouble? Contact listmaster@lists.debian.org>
> > > > > _________________________________________________________________
> > > > > Confira vídeos com notícias do NY Times, gols direto do Lance,
> > > videocassetadas e muito mais no MSN Video!
> > > > > http://video.msn.com/?mkt=pt-br
> > > >
> > > >
> > > > --
> > > > To UNSUBSCRIBE, email to 
> debian-user-portuguese-REQUEST@lists.debian.org
> > > > with a subject of "unsubscribe". Trouble? Contact
> > > listmaster@lists.debian.org
> > > >
> > >
> > >
> > > 
> ------------------------------------------------------------------------
> > > Encontre o que você procura com mais eficiência! Instale já a 
> Barra de
> > > Ferramentas com Windows Desktop Search! É GRÁTIS!
> > > <http://www.windowslive.com.br>
> > Olá Igor,
> > Para que possamos lhe ajudar, peço que me passe algumas informações:
> > 1 - Tendo as filiais ip dinâmico, existe um servidor Linux ou Windows
> > nas filiais?
> > 2 - Na matriz o seu servidor está com um firewall iptables configurado?
> > Qual a política padrão do mesmo?
> > 3 - Este site que apenas as filiais devem acessar usa qual a porta,
> > seria a 80?
> >
> > Fico no aguardo
> >
> > Rondineli Saad
>
>
> ------------------------------------------------------------------------
> Notícias direto do New York Times, gols do Lance, videocassetadas e 
> muitos outros vídeos no MSN Videos! Confira já! 
> <http://video.msn.com/?mkt=pt-br>