Re: (linux-br) Proxy Firewall WindowsUpdate

robertogomes23 Wed, 28 May 2008 07:26:39 -0700

Segue meu script de firewall, dúvidas ou sugestões? estou aqui.

=====================================


#!/bin/sh

IPTABLES="/sbin/iptables"

case "$1" in

start)

iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP

# Tabela mangle
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

for i in /proc/sys/net/ipv4/conf/*/rp_filter; do
  echo 1 >$i
done

echo "1" >/proc/sys/net/ipv4/ip_forward
echo "8192" > /proc/sys/net/ipv4/ip_conntrack_max

iptables -N internet

# Aceita trafego rede local
iptables -A INPUT -i lo -j ACCEPT

# Trafego da rede interna Ã© aceito aqui
iptables -A INPUT -s 192.168.3.0/24 -i eth1 -j ACCEPT

#Trafego de entrada e tradado pela chain internet
iptables -A INPUT -i eth0 -j internet

#Bloqueia o resto
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP

########################################################################
#### Chain FORWARD
########################################################################

iptables -A FORWARD -d 192.168.3.0/24 -i eth0 -o eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.3.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL FORWARD"
iptables -A FORWARD -j DROP

########################################################################
# Chain internet
########################################################################
# Aceita ping
iptables -A internet -p icmp -m limit --limit 2/s -j ACCEPT

# Libera o gateway do virtua
iptables -A internet -s 201.6.243.1 -j ACCEPT

# Libera o DNS pois naum resolve nome na chain POSTROUTING
iptables -A internet -p udp --dport 53 -j ACCEPT

# Libera a porta mysql para o host xxxx
iptables -A internet -s 000.000.000.49 -p tcp --dport 3306 -j ACCEPT

# Aceita SSH do host especifico
iptables -A internet -s 000.000.000.000 -p tcp --dport 22 -j ACCEPT

# Faz o log das portas espesificas
iptables -A internet -p tcp --dport 22 -j LOG --log-prefix " -> SSH "

# Nao aceita mais nada que nao case com as regras acima
iptables -A internet -m state --state ! ESTABLISHED,RELATED -j DROP
iptables -A internet -j ACCEPT

############################################################################
#### Tabela NAT
############################################################################

# Permite qualquer conexao vinda com destino a lo
iptables -t nat -A POSTROUTING -o lo -j ACCEPT

# Permite nat para rede local
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth1 -j ACCEPT

# DNS
iptables -t nat -A POSTROUTING -p udp --dport 53 -j MASQUERADE

# AVG
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d guru1.grisoft.cz -j 
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d guru2.grisoft.cz -j 
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d guru3.grisoft.cz -j 
MASQUERADE

# SITE e FTP EMPRESA.com.br
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d empresa.com.br -j MASQUERADE

#Proxy VIRTUA, tem que liberar 
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d 201.6.1.0/24 -j MASQUERADE

# Conectividade e sites da caixa economica
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d cmt.caixa.gov.br -j 
MASQUERADE

#Windows update
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d microsoft.com -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d update.microsoft.com -j 
MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d windowsupdate.microsoft.com 
-j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d download.windowsupdate.com 
-j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d 
www.download.windowsupdate.com -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d 
redir.metaservices.microsoft.com -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d 
images.metaservices.microsoft.com -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -d c.microsoft.com -j 
MASQUERADE


#Nao fazer nat da porta 80
#iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -p tcp --dport 80 -j 
DROP

# Mascarar tudo
#iptables -t nat -A POSTROUTING -s 192.168.3.0/24 -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth0 -j ACCEPT

# Registra e bloqueia qualquer outro tipo de trÃ¡fego desconhecido

iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP

        echo -e 'Firewall iniciado com sucesso.. \n'

;;

stop)

        echo -e 'Parando o firewall .....\n'
        iptables -F
        iptables -X
        iptables -Z
        iptables -t nat -F
        iptables -t nat -X
        iptables -t nat -Z

;;

restart)

        echo -e 'Reiniciando Firewall .......\n'
        $0 stop
        sleep 5
        $0 start

;;

*)

        echo "Favor use: $0 [ start | stop | restart ]"

;;

esac

#Fim
===============================================



=====================================
Assunto:RE: (linux-br) Proxy Firewall WindowsUpdate

Olá Roberto, estou batendo cabeça com relação à atualização do Avast, poderia 
me passar o modelo utilizado para o AVG? Para poder esclarecer algumas dúvidas 
minhas.
 
Atenciosamente,
 
Rodrigo Silveira


> 
> Bem, tenho um cenário com um servidor proxy (squid) fazendo um controle
> de conteúdo por grupo de usuários através de senhas, o squid está rodando
> na porta padrão 3128, não estou fazendo proxy transparente justamente 
> pelo fato de ter que exigir senhas para fazer o controle de conteúdo.
> 
> O firewall está fechado para tudo e configurado para fazer nat de 
> determinadas 
> portas e sites que utilizam a porta 80 que não tem configuração para utilizar 
> o servidor proxy, exemplos:
> 
> E-mail, FTP, Sistemas da Caixa Econômica, Atualização de anti-virus (alguns), 
> Windows Update etc.
> 
> Bem, sabemos que todos os sistemas que utilizam a porta 80 e não tem uma 
> configuração adicional para utilizar um proxy, pela logica simplesmente 
> colocaríamos uma regra no firewall para permitir a passagem dos pacotes 
> daquele aplicativo, exemplo a atualização do anti-vírus AVG
> 
> coloquei a regra para fazer nat do domínio guru1.grisoft.cz, guru2.grisoft.cz 
> ........
> 
> 
> O anti-vitus passou a se atualizar sem problemas, mas e no caso do windows 
> update? 
> 
> Busquei em diversos locais informações em relação a quais protocolos, portas, 
> endereços que deveria desbloquear, sem sucesso, até encontrei algumas 
> informações porem desencontradas, como não tenho alguma forma de efetuar 
> teste, as atualizações acontecem de acordo com o humor da microsoft, também 
> coloquei um monitor de rede em um windows só que apareceu dezenas de 
> endereços, sendo assim fiquei sem resposta ainda. 
> 
> 
> 
> Alguem tem alguma sugestão ou alguma documentação para indicar
> 
> 
> Antecipadamente, 
> Muito grato pela atenção de todos, 
> 
> 
> Roberto Gomes 
> 

---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br

Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html

Re: (linux-br) Proxy Firewall WindowsUpdate

Responder a