Re: iptables e syslog

[paulo bruck]

Procure por iptables TEE

https://superuser.com/questions/853077/iptables-duplicate-traffic-to-another-ip

Em qui., 2 de jan. de 2020 às 09:44, Helio Loureiro 
escreveu:

> O que vc quer fazer parece ser um loadbalancer.  iptables não faz.  Vc
> precisa de algo como nginx ou apache webserver pra fazer isso com reverse
> proxy.
>
> ./helio
>
> On Wed, Dec 18, 2019, 01:28 Caio Ferreira  wrote:
>
>> Lista
>>
>> Através do iptables, no computador gateway da rede eu consegui
>> redirecionar o tráfego para um determinado IP e porta de um host da rede.
>> Eu queria saber se seria possível através do iptables fazer uma cópia dos
>> dados para um segundo IP e porta.
>>
>> Esse segundo host é um servidor de log. Alguém por acaso conhece algum
>> software que possa armazenar esses dados provenientes do gateway?
>>
>> DEsde já agradeço pela atenção.
>>
>>  .''`.   Caio Abreu Ferreira
>> : :'  :  abreuf...@gmail.com
>> `. `'`   Debian User
>>   `-
>>
>

-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br
gpg AAA59989 at wwwkeys.us.pgp.net

Re: iptables e syslog

[Helio Loureiro]

O que vc quer fazer parece ser um loadbalancer.  iptables não faz.  Vc
precisa de algo como nginx ou apache webserver pra fazer isso com reverse
proxy.

./helio

On Wed, Dec 18, 2019, 01:28 Caio Ferreira  wrote:

> Lista
>
> Através do iptables, no computador gateway da rede eu consegui
> redirecionar o tráfego para um determinado IP e porta de um host da rede.
> Eu queria saber se seria possível através do iptables fazer uma cópia dos
> dados para um segundo IP e porta.
>
> Esse segundo host é um servidor de log. Alguém por acaso conhece algum
> software que possa armazenar esses dados provenientes do gateway?
>
> DEsde já agradeço pela atenção.
>
>  .''`.   Caio Abreu Ferreira
> : :'  :  abreuf...@gmail.com
> `. `'`   Debian User
>   `-
>

Re: iptables cups

[paulo bruck]

Depende

se for o básico porta 631 tcp/udp

se for IPP possivelmente porta 901/tcp ( pelo que me lembro).

ats

Nadas que um ss -nlpt  no servidor onde vc estiver usando o CUPS não
resolva...80)

ou um netstat -nlpt

ats

Em seg, 29 de jul de 2019 às 16:28, Vitor Hugo 
escreveu:

> Bom dia;
>
> Qual portas precisa abrir para imprimir de uma maquina windows e um
> servidor debian linux cups?
>
>

-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br
gpg AAA59989 at wwwkeys.us.pgp.net

Re: Iptables

[Ricardo Tweeg]

Meus amigos,

Em primeiro lugar peço desculpas pelo retorno do e-mail.
Estava externo e só voltei hoje.
Acabamos tomando como solução a movimentação deste host para uma outra 
interface. O que resolveu.
Agradeço a ajuda de todos vocês.

Muito obrigado

Atenciosamente,

Ricardo Tweeg



Em Quarta-feira, 23 de Julho de 2014 12:16, Linux - Junior Polegato 
 escreveu:


>
>
>Olá!
>
>        O IP de destino é o IP externo e não o interno no
  PREROUTING.
>
>        iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d
   --dport 80 -m state --state
  NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80
>
>        Outra alternativa é trabalhar com views no DNS, assim para
  quem acessar o DNS de fora vai dar o IP externo e para quem for de
  dentro vai dar o IP interno.
>
>
>-- 
>
>[]'s
>
>Junior Polegato 
>
>
>
>
>Em 22-07-2014 16:07, Joao Arthur escreveu:
>
> 
>>
>>Ricardo, veja se da certo:
>>
>>iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29
--dport 80 -j DNAT --to 192.168.10.29
>>iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT
>>
>>
>>   
João Arthur
>> 
>>
>>
>>
>>Date: Tue, 22 Jul 2014 11:22:54 -0700
>>From: rtw...@yahoo.com.br
>>Subject: Iptables
>>To: debian-user-portuguese@lists.debian.org
>>
>>
>>Meus amigos, boa tarde.
>>
>>
>>Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de 
>>vocês.
>>
>>
>>Na minha rede local, existe uma máquina que precisa ser acessada por outras 
>>máquinas da mesma rede local passando pelo firewall.
>>
>>
>>O que fiz até agora foi:
>>Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor.
>>Assim, todas as máquinas da rede local que quiserem acessar este servidor, 
>>terão que resolver o nome e terão como resposta da resolução o IP externo.
>>Assim, como se trata de um IP externo, terão que passar pelo firewall.
>>No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que chegar 
>>da rede local, com destino ao IP externo e na porta 80 deverá ser 
>>redirecionado ao IP interno do servidor na porta 80.
>>
>>
>>Vejam a regra como ficou:
>>
>>
>>Rede Local: 192.168.0.0/24
>>IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80
>>
>>
>>iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 192.168.10.29 --dport 
>>80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80
>>
>> 
>>Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall 
>>para acessar uma máquina que faz parte do mesmo range/segmento.
>>Mas gostaria de fazer assim por conta de alguns motivos.
>>
>>
>>Essa seria a melhor solução?
>>Está faltando alguma regra de retorno?
>>Esta faltando alguma regra na FOWARD?
>>
>>
>>Obrigado pela ajuda
>>Atenciosamente,
>>
>>
>>Ricardo  
>
> 


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/1406229000.7694.yahoomail...@web140004.mail.bf1.yahoo.com

Re: Iptables

[Linux - Junior Polegato]

Olá!

O IP de destino é o IP externo e não o interno no PREROUTING.

iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 
 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT 
--to 192.168.10.29:80


Outra alternativa é trabalhar com views no DNS, assim para quem 
acessar o DNS de fora vai dar o IP externo e para quem for de dentro vai 
dar o IP interno.


--

[]'s

Junior Polegato





Em 22-07-2014 16:07, Joao Arthur escreveu:


Ricardo, veja se da certo:

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29 --dport 
80 -j DNAT --to 192.168.10.29

iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT

João Arthur


Date: Tue, 22 Jul 2014 11:22:54 -0700
From: rtw...@yahoo.com.br
Subject: Iptables
To: debian-user-portuguese@lists.debian.org

Meus amigos, boa tarde.

Preciso fazer uma determinada manobra com o iptables e gostaria da 
ajuda de vocês.


Na minha rede local, existe uma máquina que precisa ser acessada por 
outras máquinas da mesma rede local passando pelo firewall.


O que fiz até agora foi:
Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor.
Assim, todas as máquinas da rede local que quiserem acessar este 
servidor, terão que resolver o nome e terão como resposta da resolução 
o IP externo.

Assim, como se trata de um IP externo, terão que passar pelo firewall.
No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que 
chegar da rede local, com destino ao IP externo e na porta 80 deverá 
ser redirecionado ao IP interno do servidor na porta 80.


Vejam a regra como ficou:

Rede Local: 192.168.0.0/24
IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80

iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 192.168.10.29 
--dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 
192.168.10.29:80
Sei que é um pouco estranho uma máquina da rede local ter que ir no 
firewall para acessar uma máquina que faz parte do mesmo range/segmento.

Mas gostaria de fazer assim por conta de alguns motivos.

Essa seria a melhor solução?
Está faltando alguma regra de retorno?
Esta faltando alguma regra na FOWARD?

Obrigado pela ajuda
Atenciosamente,

Ricardo

RE: Iptables

[Joao Arthur]

Ricardo, veja se da certo:

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29 --dport 80 -j 
DNAT --to 192.168.10.29
iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT




  

João Arthur
 
Date: Tue, 22 Jul 2014 11:22:54 -0700
From: rtw...@yahoo.com.br
Subject: Iptables
To: debian-user-portuguese@lists.debian.org

Meus amigos, boa tarde.
Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de 
vocês.
Na minha rede local, existe uma máquina que precisa ser acessada por outras 
máquinas da mesma rede local passando pelo firewall.
O que fiz até agora foi:Cadastrei no DNS da rede local o nome e IP (ip externo) 
deste servidor.Assim, todas as máquinas da rede local que quiserem acessar este 
servidor, terão que resolver o nome e terão como resposta da resolução o IP 
externo.Assim, como se trata de um IP externo, terão que passar pelo 
firewall.No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que 
chegar da rede local, com destino ao IP externo e na porta 80 deverá ser 
redirecionado ao IP interno do servidor na porta 80.
Vejam a regra como ficou:
Rede Local: 192.168.0.0/24IP interno do servidor que deverá ser acessoado: 
192.168.10.29 porta 80
iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 192.168.10.29 --dport 80 
-m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80
 Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall 
para acessar uma máquina que faz parte do mesmo range/segmento.Mas gostaria de 
fazer assim por conta de alguns motivos.
Essa seria a melhor solução?Está faltando alguma regra de retorno?Esta faltando 
alguma regra na FOWARD?
Obrigado pela ajudaAtenciosamente,
Ricardo   

RE: Iptables & Squid - Preciso Bloquear o WhatsApp

[CássioElias .]

E aí?  O que deu essa pergunta?
O criador da pergunta adotou qual meio?Só uma curiosidade..

From: tobiase...@gmail.com
Date: Fri, 2 Aug 2013 17:21:51 -0300
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
To: he...@loureiro.eng.br
CC: debian-user-portuguese@lists.debian.org

De graça?! Até cd do windows vista!Att,

Tobias
http://gnu.eti.br
-BEGIN GEEK CODE BLOCK-


Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
--END GEEK CODE BLOCK--






Em 2 de agosto de 2013 17:13, Helio Loureiro  escreveu:


Quer que eu envie uma raquete elétrica pra esse momento?  Posso mandar 
autografada.
Abs,
Helio Loureiro
http://helio.loureiro.eng.br




http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro







Em 2 de agosto de 2013 16:34, Tobias Sette  escreveu:




Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um 
tempo, quando os aspectos tecnologicos estiverem melhores.Att,

Tobias






http://gnu.eti.br
-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@ W+++






!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
--END GEEK CODE BLOCK--




Em 29 de julho de 2013 00:10, Helio Loureiro  escreveu:




Valeu pela parte que me toca sobre ser escroto. 

Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre como 
usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de "vantagem 
competitiva".  Eu e vc somos concorrentes na venda de serviços de instalação de 
servidores Debian,  por exemplo.  O que eu posso extrair dos ambientes 
computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? 
Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API 
pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. 








Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem 
estar caminhando pra uma falência mascarada.  Então aprendi sobre métricas e 
governança.  E seu uso. 

Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa 
trazer?  Vai aumentar as vendas pelos funcionários estarem mais focados ou vai 
criar um atrito onde todos vão fazer o mínimo possível pois, se  empresa tem 
tal mentalidade,  os funcionários não serão diferentes?  Estatisticamente, o 
segundo caso. A receita pro sucesso é ter o funcionário feliz.  Isso o motiva. 








Se sua empresa faz isso,  e seu concorrente não, logo os funcionários terão 
interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará 
sua empresa, pela perda de capacitação.  É um ciclo que não tem muita 
longevidade.  Empresas assim caminham rapidamente pro fracasso. 








E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago 
mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é o 
mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema, então 
deve ser monitorado e colcado num QoS menor.  Isso é estratégia de TI. 








Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou outras 
aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um telefone capaz 
de usar Internet de 50 centavos por dia,  e provavelmente o fará.  Então qual 
foi o ganho com essa política da empresa? 








Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.  Minha 
dica? Fuja o quanto antes. 

Abs, 

Helio Loureiro 

http://helio.loureiro.eng.br 

http://br.linkedin.com/in/helioloureiro 

http://twitter.com/helioloureiro 

http://gplus.to/helioloureiro

- sent via Android -

Em 28/07/2013 18:10, "P. J."  escreveu:







Opa,



Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",

mas tipo se é a empresa que banca a infra, tipo não seria ela quem

poderia definir como utilizar os seus recursos? Não quero entrar no

mérito disso ser positivo ou não para a produção, mas estamos num país

de terceiro mundo e será que vc sendo dono de uma empresa que não

precise de acesso a conteudo na internet para trabalhar iria gostar de

seus funcionários deixassem de alcançar metas diminuindo o seu lucro?

Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim

espero que não seja mal interpretado.



Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até

parecem que são parentes...rs! Mas naquela thread eu broquei

contigo...;-* apelar para o meu currículo é a tipica de falta de

argumento num debate... mas vou tomar vergonha na cara e contribuir

financeiramente com o debian



Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser

desde ubuntu com kde e todos os frufus que tiver direito até o do tio

BILL...K



Abraços

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Tobias Sette]

De graça?! Até cd do windows vista!

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 2 de agosto de 2013 17:13, Helio Loureiro escreveu:

> Quer que eu envie uma raquete elétrica pra esse momento?  Posso mandar
> autografada.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
>
>
> Em 2 de agosto de 2013 16:34, Tobias Sette escreveu:
>
> Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um
>> tempo, quando os aspectos tecnologicos estiverem melhores.
>>
>> Att,
>>
>> Tobias
>>  http://gnu.eti.br
>>
>> -BEGIN GEEK CODE BLOCK-
>> Version: 3.12
>> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
>> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e-
>> h+ r-- y?
>> --END GEEK CODE BLOCK--
>>
>>
>>
>> Em 29 de julho de 2013 00:10, Helio Loureiro escreveu:
>>
>> Valeu pela parte que me toca sobre ser escroto.
>>>
>>> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
>>> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
>>> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
>>> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
>>> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
>>> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
>>> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
>>> me diferenciar.
>>>
>>> Essa diferença, através da TI, é o que estudei e as maneiras de fazer
>>> isso sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
>>> métricas e governança.  E seu uso.
>>>
>>> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
>>> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
>>> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
>>> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
>>> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
>>> feliz.  Isso o motiva.
>>>
>>> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
>>> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
>>> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
>>> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>>>
>>> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
>>> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
>>> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
>>> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
>>> TI.
>>>
>>> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
>>> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
>>> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
>>> fará.  Então qual foi o ganho com essa política da empresa?
>>>
>>> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
>>> Minha dica? Fuja o quanto antes.
>>>
>>> Abs,
>>> Helio Loureiro
>>> http://helio.loureiro.eng.br
>>> http://br.linkedin.com/in/helioloureiro
>>> http://twitter.com/helioloureiro
>>> http://gplus.to/helioloureiro
>>> - sent via Android -
>>> Em 28/07/2013 18:10, "P. J."  escreveu:
>>>
>>> Opa,

 Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
 mas tipo se é a empresa que banca a infra, tipo não seria ela quem
 poderia definir como utilizar os seus recursos? Não quero entrar no
 mérito disso ser positivo ou não para a produção, mas estamos num país
 de terceiro mundo e será que vc sendo dono de uma empresa que não
 precise de acesso a conteudo na internet para trabalhar iria gostar de
 seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
 Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
 espero que não seja mal interpretado.

 Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
 parecem que são parentes...rs! Mas naquela thread eu broquei
 contigo...;-* apelar para o meu currículo é a tipica de falta de
 argumento num debate... mas vou tomar vergonha na cara e contribuir
 financeiramente com o debian

 Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
 desde ubuntu com kde e todos os frufus que tiver direito até o do tio
 BILL...K

 Abraços

 --
 |  .''`.   A fé não dá respostas. Só impede perguntas.
 | : :'  :
 | `. `'`
 |   `-   Je vois tout

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Quer que eu envie uma raquete elétrica pra esse momento?  Posso mandar
autografada.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 2 de agosto de 2013 16:34, Tobias Sette  escreveu:

> Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um
> tempo, quando os aspectos tecnologicos estiverem melhores.
>
> Att,
>
> Tobias
>  http://gnu.eti.br
>
> -BEGIN GEEK CODE BLOCK-
> Version: 3.12
> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
> r-- y?
> --END GEEK CODE BLOCK--
>
>
>
> Em 29 de julho de 2013 00:10, Helio Loureiro escreveu:
>
> Valeu pela parte que me toca sobre ser escroto.
>>
>> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
>> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
>> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
>> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
>> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
>> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
>> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
>> me diferenciar.
>>
>> Essa diferença, através da TI, é o que estudei e as maneiras de fazer
>> isso sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
>> métricas e governança.  E seu uso.
>>
>> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
>> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
>> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
>> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
>> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
>> feliz.  Isso o motiva.
>>
>> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
>> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
>> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
>> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>>
>> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
>> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
>> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
>> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
>> TI.
>>
>> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
>> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
>> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
>> fará.  Então qual foi o ganho com essa política da empresa?
>>
>> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
>> Minha dica? Fuja o quanto antes.
>>
>> Abs,
>> Helio Loureiro
>> http://helio.loureiro.eng.br
>> http://br.linkedin.com/in/helioloureiro
>> http://twitter.com/helioloureiro
>> http://gplus.to/helioloureiro
>> - sent via Android -
>> Em 28/07/2013 18:10, "P. J."  escreveu:
>>
>> Opa,
>>>
>>> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
>>> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
>>> poderia definir como utilizar os seus recursos? Não quero entrar no
>>> mérito disso ser positivo ou não para a produção, mas estamos num país
>>> de terceiro mundo e será que vc sendo dono de uma empresa que não
>>> precise de acesso a conteudo na internet para trabalhar iria gostar de
>>> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
>>> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
>>> espero que não seja mal interpretado.
>>>
>>> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
>>> parecem que são parentes...rs! Mas naquela thread eu broquei
>>> contigo...;-* apelar para o meu currículo é a tipica de falta de
>>> argumento num debate... mas vou tomar vergonha na cara e contribuir
>>> financeiramente com o debian
>>>
>>> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
>>> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
>>> BILL...K
>>>
>>> Abraços
>>>
>>> --
>>> |  .''`.   A fé não dá respostas. Só impede perguntas.
>>> | : :'  :
>>> | `. `'`
>>> |   `-   Je vois tout
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmas...@lists.debian.org
>>> Archive:
>>> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>>>
>>>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Tobias Sette]

Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um
tempo, quando os aspectos tecnologicos estiverem melhores.

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 29 de julho de 2013 00:10, Helio Loureiro escreveu:

> Valeu pela parte que me toca sobre ser escroto.
>
> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
> me diferenciar.
>
> Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso
> sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
> métricas e governança.  E seu uso.
>
> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
> feliz.  Isso o motiva.
>
> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>
> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
> TI.
>
> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
> fará.  Então qual foi o ganho com essa política da empresa?
>
> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
> Minha dica? Fuja o quanto antes.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
> - sent via Android -
> Em 28/07/2013 18:10, "P. J."  escreveu:
>
> Opa,
>>
>> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
>> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
>> poderia definir como utilizar os seus recursos? Não quero entrar no
>> mérito disso ser positivo ou não para a produção, mas estamos num país
>> de terceiro mundo e será que vc sendo dono de uma empresa que não
>> precise de acesso a conteudo na internet para trabalhar iria gostar de
>> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
>> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
>> espero que não seja mal interpretado.
>>
>> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
>> parecem que são parentes...rs! Mas naquela thread eu broquei
>> contigo...;-* apelar para o meu currículo é a tipica de falta de
>> argumento num debate... mas vou tomar vergonha na cara e contribuir
>> financeiramente com o debian
>>
>> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
>> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
>> BILL...K
>>
>> Abraços
>>
>> --
>> |  .''`.   A fé não dá respostas. Só impede perguntas.
>> | : :'  :
>> | `. `'`
>> |   `-   Je vois tout
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive:
>> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>>
>>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Rodolfo]

Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
Minha dica? Fuja o quanto antes.

Concordo com o Helio, porque eu tive esta experiencia de ter um gestor
estupido, e o filho da mae ganhava fama nas minhas costas, eu fazia tudo,
consertava tudo, mas descobri que na reuniao da cupula da fabrica, ele
dizia que era ele quem fazia as coisas ¬¬, simplesmente sai da empresa, ela
veio atraz de mim oferecendo varias coisas, mesmo assim eu me neguei a
trabalhar com aquele cara, eu ate estava precisando do emprego, mas nao
consigo trabalhar com gente mal carater desse tipo, eu me lasquei todo mas
dei a volta por cima, MAS NAO ACEITEI a proposta de trabalhar com aquele,
desculpe a expressao, vagab. que na verdade depois de um tempo foi
mandado embora porque descobriram (que merda, eu sempre avisei) que ele
alem de nao saber merda nenhuma do que fazia, so fez gastar grana a toa.


Em 28 de julho de 2013 23:10, Helio Loureiro escreveu:

> Valeu pela parte que me toca sobre ser escroto.
>
> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
> me diferenciar.
>
> Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso
> sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
> métricas e governança.  E seu uso.
>
> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
> feliz.  Isso o motiva.
>
> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>
> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
> TI.
>
> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
> fará.  Então qual foi o ganho com essa política da empresa?
>
> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
> Minha dica? Fuja o quanto antes.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
> - sent via Android -
> Em 28/07/2013 18:10, "P. J."  escreveu:
>
> Opa,
>>
>> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
>> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
>> poderia definir como utilizar os seus recursos? Não quero entrar no
>> mérito disso ser positivo ou não para a produção, mas estamos num país
>> de terceiro mundo e será que vc sendo dono de uma empresa que não
>> precise de acesso a conteudo na internet para trabalhar iria gostar de
>> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
>> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
>> espero que não seja mal interpretado.
>>
>> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
>> parecem que são parentes...rs! Mas naquela thread eu broquei
>> contigo...;-* apelar para o meu currículo é a tipica de falta de
>> argumento num debate... mas vou tomar vergonha na cara e contribuir
>> financeiramente com o debian
>>
>> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
>> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
>> BILL...K
>>
>> Abraços
>>
>> --
>> |  .''`.   A fé não dá respostas. Só impede perguntas.
>> | : :'  :
>> | `. `'`
>> |   `-   Je vois tout
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive:
>> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>>
>>

RE: Iptables & Squid - Preciso Bloquear o WhatsApp

[CássioElias .]

Umm...acho que o pessoal já está começando a brigar. Cada um buscando mais 
poder que o outro.
Eu vejo as coisas assim. Bloqueie esse aplicativo ou site pela string lá no 
iptables. Você não vai bloquear o dia todo. Libere ele por exemplo no horário 
de almoço e depois do expediente. Com isso você deixa a opção de o usuário usar 
se quiser ou não. É claro para que ele use terá que dispor de algum tempo de 
seu horário de almoço ou ficar depois do expediente.
O pessoal está se perdendo numa simples pergunta.

Date: Mon, 29 Jul 2013 00:10:42 -0300
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
From: he...@loureiro.eng.br
To: pjotam...@gmail.com
CC: debian-user-portuguese@lists.debian.org

Valeu pela parte que me toca sobre ser escroto. 

Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre como 
usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de "vantagem 
competitiva".  Eu e vc somos concorrentes na venda de serviços de instalação de 
servidores Debian,  por exemplo.  O que eu posso extrair dos ambientes 
computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? 
Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API 
pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. 


Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem 
estar caminhando pra uma falência mascarada.  Então aprendi sobre métricas e 
governança.  E seu uso. 

Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa 
trazer?  Vai aumentar as vendas pelos funcionários estarem mais focados ou vai 
criar um atrito onde todos vão fazer o mínimo possível pois, se  empresa tem 
tal mentalidade,  os funcionários não serão diferentes?  Estatisticamente, o 
segundo caso. A receita pro sucesso é ter o funcionário feliz.  Isso o motiva. 


Se sua empresa faz isso,  e seu concorrente não, logo os funcionários terão 
interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará 
sua empresa, pela perda de capacitação.  É um ciclo que não tem muita 
longevidade.  Empresas assim caminham rapidamente pro fracasso. 


E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago 
mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é o 
mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema, então 
deve ser monitorado e colcado num QoS menor.  Isso é estratégia de TI. 


Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou outras 
aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um telefone capaz 
de usar Internet de 50 centavos por dia,  e provavelmente o fará.  Então qual 
foi o ganho com essa política da empresa? 


Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.  Minha 
dica? Fuja o quanto antes. 

Abs, 

Helio Loureiro 

http://helio.loureiro.eng.br 

http://br.linkedin.com/in/helioloureiro 

http://twitter.com/helioloureiro 

http://gplus.to/helioloureiro

- sent via Android -

Em 28/07/2013 18:10, "P. J."  escreveu:

Opa,



Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",

mas tipo se é a empresa que banca a infra, tipo não seria ela quem

poderia definir como utilizar os seus recursos? Não quero entrar no

mérito disso ser positivo ou não para a produção, mas estamos num país

de terceiro mundo e será que vc sendo dono de uma empresa que não

precise de acesso a conteudo na internet para trabalhar iria gostar de

seus funcionários deixassem de alcançar metas diminuindo o seu lucro?

Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim

espero que não seja mal interpretado.



Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até

parecem que são parentes...rs! Mas naquela thread eu broquei

contigo...;-* apelar para o meu currículo é a tipica de falta de

argumento num debate... mas vou tomar vergonha na cara e contribuir

financeiramente com o debian



Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser

desde ubuntu com kde e todos os frufus que tiver direito até o do tio

BILL...K



Abraços



--

|  .''`.   A fé não dá respostas. Só impede perguntas.

| : :'  :

| `. `'`

|   `-   Je vois tout





--

To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org

with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Archive: 
http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com




  

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Valeu pela parte que me toca sobre ser escroto.

Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
"vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
me diferenciar.

Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso
sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
métricas e governança.  E seu uso.

Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
feliz.  Isso o motiva.

Se sua empresa faz isso,  e seu concorrente não, logo os funcionários terão
interesse em mudar pra lá, justamente por ter regras melhores. E isso
afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
muita longevidade.  Empresas assim caminham rapidamente pro fracasso.

E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
TI.

Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
fará.  Então qual foi o ganho com essa política da empresa?

Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
Minha dica? Fuja o quanto antes.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro
- sent via Android -
Em 28/07/2013 18:10, "P. J."  escreveu:

> Opa,
>
> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
> poderia definir como utilizar os seus recursos? Não quero entrar no
> mérito disso ser positivo ou não para a produção, mas estamos num país
> de terceiro mundo e será que vc sendo dono de uma empresa que não
> precise de acesso a conteudo na internet para trabalhar iria gostar de
> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
> espero que não seja mal interpretado.
>
> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
> parecem que são parentes...rs! Mas naquela thread eu broquei
> contigo...;-* apelar para o meu currículo é a tipica de falta de
> argumento num debate... mas vou tomar vergonha na cara e contribuir
> financeiramente com o debian
>
> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
> BILL...K
>
> Abraços
>
> --
> |  .''`.   A fé não dá respostas. Só impede perguntas.
> | : :'  :
> | `. `'`
> |   `-   Je vois tout
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[P. J.]

Opa,

Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
mas tipo se é a empresa que banca a infra, tipo não seria ela quem
poderia definir como utilizar os seus recursos? Não quero entrar no
mérito disso ser positivo ou não para a produção, mas estamos num país
de terceiro mundo e será que vc sendo dono de uma empresa que não
precise de acesso a conteudo na internet para trabalhar iria gostar de
seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
espero que não seja mal interpretado.

Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
parecem que são parentes...rs! Mas naquela thread eu broquei
contigo...;-* apelar para o meu currículo é a tipica de falta de
argumento num debate... mas vou tomar vergonha na cara e contribuir
financeiramente com o debian

Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
desde ubuntu com kde e todos os frufus que tiver direito até o do tio
BILL...K

Abraços

-- 
|  .''`.   A fé não dá respostas. Só impede perguntas.
| : :'  :
| `. `'`
|   `-   Je vois tout


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Julio]

Identifica os ips e hosts acessados e bloqueia eles no foward

Em 24-07-2013 22:00, CássioElias . escreveu:

Tenta bloquear a string "whatsapp" pelo IPtables.
Quero ver alguém passar. ^^"


Date: Wed, 24 Jul 2013 17:58:13 -0700
From: walbersan...@yahoo.com.br
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; 
debian-user-portuguese@lists.debian.org


Corrigindo

tcpdump

abç


*De:* Walber Santos 
*Para:* Henrique Fagundes ; 
"debian-user-portuguese@lists.debian.org" 


*Enviadas:* Quarta-feira, 24 de Julho de 2013 21:45
*Assunto:* Re: Iptables & Squid - Preciso Bloquear o WhatsApp

Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de destino.


abç



*De:* Henrique Fagundes 
*Para:* debian-user-portuguese@lists.debian.org
*Enviadas:* Quarta-feira, 24 de Julho de 2013 19:20
*Assunto:* Iptables & Squid - Preciso Bloquear o WhatsApp

Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste 
aplicativo. Eo pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao 
acesso, mas até agora não achei nada relevante.


Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br <mailto:magnat...@yahoo.com.br>
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com <http://listas.aprendendolinux.com/>

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com 
<mailto:aprendendolinux-subscr...@listas.aprendendolinux.com>




--
To UNSUBSCRIBE, email to 
debian-user-portuguese-requ...@lists.debian.org 
<mailto:debian-user-portuguese-requ...@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact 
listmas...@lists.debian.org <mailto:listmas...@lists.debian.org>
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br 
<http://lists.debian.org/51F0531E.9000804%40yahoo.com.br>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[PaulinhoLinux]

Olá Henrique,

Imagino bem a sua situação, trabalhei por um bom tempo como LinuxAdmin em uma 
unidade militar e a idéia de cumprimento de ordens se torna um pouco complicada 
de ser realmente entendida por algumas pessoas que não vivenciam situações 
assim.

Tenho certeza que o Hélio, tentou apresentar o ponto de vista dele, referente 
ao assunto, da melhor forma possível. Através das palavras dele e possível 
identificar a revolta por atitudes iguais a estas. Sei que é errado, mas por 
muitas vezes estas decisões não passam nem mesmo pela TI.

Mesmo não concordando com as políticas da empresa de bloquear o whatsapp 
considero uma atitude infantil virar as costas para uma pessoa que está pedindo 
ajuda. 

O problema dele é equivalente a inúmeras perguntas que surgem diariamente na 
lista, por exemplo como bloquear o facebook, youtube, etc... E nem por isso 
falamos pra pessoa, não te ajudo porque não concordo com a política da sua 
empresa.

O importante é que o problema está resolvido e foi divulgada a solução para 
futuros problemas semelhantes.

Até mais!

Enviado do Yahoo! Mail no Android

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Elegante é tratar os funcionário como gado.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 13:44, Henrique Fagundes
escreveu:

> Amigos,
>  Eu acho que alguns da lista ainda não entenderam o seguinte:
> Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
> Apenas cumpro ordens.
> A função de definir a politica da empresa não é minha.
>
> Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso
> fazer esse bloqueio.
> Mesmo sendo contra isso.
>
> Outra coisa.
> Já resolvi o problema bloqueando as portas 5222 e 5223 no firewall e
> bloqueando o domínio whatsapp.net no DNS.
>
> Ao HELIO LOUREIRO que nôs acompanha na íntegra, achei sua consideração
> sobre esse tópico como desnecessária e deselegante.
>
>
> Pronto, falei!
>
> Atenciosamente,
>
> Henrique Fagundes
> magnat...@yahoo.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.**com/ 
> http://www.facebook.com/**PortalAprendendoLinux
> http://youtube.com/**aprendendolinux/
> http://twitter.com/**aprendendolinux/
> __**__**__
> Participe do Grupo Aprendendo Linux BR
> http://listas.aprendendolinux.**com 
>
> Ou envie um e-mail para:
> aprendendolinux-subscribe@**listas.aprendendolinux.com
>
> Helio Loureiro escreveu:
>
>> Claro que entendo.  Por isso estou recomendando o uso da raquete.
>>
>> E certeza que a ordem de algo absurdo vem de alguém de cima, e que não
>> tem a menor idéia do que fazer, nem na parte técnica, e provavelmente nem
>> na parte de negócios da empresa.
>>
>> Mas vou ser bondoso e ajudar.
>>
>> Posso fazer a configuração como serviço de consultoria.  Cobro apenas R$
>> 500,00.  Por pessoa bloqueada.  E por mês.  De brinde, ainda forneço uma
>> raquete elétrica de matar mosquitos, que é super eficaz em fazer
>> funcionários manterem o foco.  Forneço gráficos de KPI para eventuais
>> auditorias de processos de governança, em estilo barra, pizza, linha ou
>> raquete de matar pernilongo.
>>
>> Abs,
>> Helio Loureiro
>> http://helio.loureiro.eng.br
>> http://br.linkedin.com/in/**helioloureiro
>> http://twitter.com/**helioloureiro 
>> http://gplus.to/helioloureiro
>>
>>
>> Em 25 de julho de 2013 12:24, Henrique Fagundes 
>> > magnat...@yahoo.com.br**>> escreveu:
>>
>>
>> Amigos,
>>
>> Eu acho que alguns da lista ainda não entenderam o seguinte:
>> Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
>> Apenas cumpro ordens.
>> A função de definir a politica da empresa não é minha.
>>
>> Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu
>> preciso fazer esse bloqueio.
>> Mesmo sendo contra isso.
>>
>> Pronto, falei!
>>
>>
>> Atenciosamente,
>>
>> Henrique Fagundes
>> magnat...@yahoo.com.br 
>>
>> Skype: magnata-br-rj
>> Linux User: 475399
>>
>> http://www.aprendendolinux.__**com/ > com/ >
>> 
>> http://www.facebook.com/__**PortalAprendendoLinux<
>> http://www.facebook.com/**PortalAprendendoLinux
>> >
>> 
>> http://youtube.com/__**aprendendolinux/<
>> http://youtube.com/**aprendendolinux/
>> >
>> 
>> http://twitter.com/__**aprendendolinux/<
>> http://twitter.com/**aprendendolinux/
>> >
>> __**__**
>> __
>>
>> Participe do Grupo Aprendendo Linux BR
>> http://listas.aprendendolinux.**__com > aprendendolinux.com >
>>
>>
>> Ou envie um e-mail para:
>> 
>> aprendendolinux-subscribe@__li**stas.aprendendolinux.com> aprendendolinux-**subscribe@listas.**aprendendolinux.com
>> >
>>
>>
>> Linux - Junior Polegato escreveu:
>>
>> Em 25-07-2013 00:45, Helio Loureiro escreveu:
>>
>>
>> Que catzo de produtividade ou vantagem competitiva a empresa
>> vai ter com essa atitude?  Aliás, atitude não, espírito de porco?  Vai
>> aumentar produtividade através da desmotivação dos funcionários?
>>
>>
>> Olha só, aqui aumentamos a produtividade e ainda economizamos com
>> isso, tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber,
>> WhatsApp, e outros, para contatos pessoais e profissionais, não ligam
>> ("telefonam") mais para famíli

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

MBA em gestão de TI.  Conhecimento profundo em práticas de gestão e
práticas idiotas.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 13:02, Humberto A. Sousa
escreveu:

>  Desculpa Helio, mas você é especialista em TI, administração de empresas
> ou psicologia?
>
> Na boa, a política da empresa dele não deve nos impossibilitar de
> colaborar tecnicamente com o rapaz. Uma coisa não tem nada a ver com a
> outra...
>
>
> Saudações,
>
>
> Humberto Araujo de sousahumbe...@dontec.com.br
>
> Em 25/07/2013 00:45, Helio Loureiro escreveu:
>
> Dá pra fazer no Linux, mas não vou ensinar isso.
>
> Estamos na era do conhecimento.  Trabalhamos baseados em "entrega",  não
> no modelo fordista,  onde cada um tem de produzir tantas peças por hora.
> Horário comercial e horas rígidas de trabalho não fazem mais sentido.
>
> Mas tem empresas que gostam de viver em eras medievais. Gerentes que ficam
> monitorando funcionários.
>
> Que catzo de produtividade ou vantagem competitiva a empresa vai ter com
> essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar
> produtividade através da desmotivação dos funcionários?
>
> Empresas de call center agem assim,  e é algo que beira a criminalidade
> pelas péssimas condições de trabalho. Só não é escravidão porque escravos
> têm condições mais descentes de trabalho.
>
> Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
> - sent via Android -
> Em 25/07/2013 00:07, "Fabricio Cannini"  escreveu:
>
>> Em 24-07-2013 22:46, Helio Loureiro escreveu:
>>
>>> "pois pessoas estão deixando de trabalhar para ficar de bate papo
>>> através deste aplicativo. E o pior... Usando a internet da empresa."
>>>
>>> Isso não é uma empresa, é um campo de concentração.
>>>
>>> Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
>>> choque nas pessoas que estão usando celular.  É o que parece mais de
>>> acordo com as políticas da empresa.
>>>
>>
>>
>> HAHHAAHHAA , Hélio, tu é foda !
>>
>>
>> Mas falando sério, isso não é um problema de TI, e não vai ser resolvido
>> adequadamente usando TI .
>>
>> [ ]'s
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: http://lists.debian.org/51f09679.9050...@gmail.com
>>
>>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Henrique Fagundes]

Amigos,
 
Eu acho que alguns da lista ainda não entenderam o seguinte:

Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
Apenas cumpro ordens.
A função de definir a politica da empresa não é minha.

Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer 
esse bloqueio.
Mesmo sendo contra isso.

Outra coisa.
Já resolvi o problema bloqueando as portas 5222 e 5223 no firewall e bloqueando 
o domínio whatsapp.net no DNS.

Ao HELIO LOUREIRO que nôs acompanha na íntegra, achei sua consideração sobre 
esse tópico como desnecessária e deselegante.

Pronto, falei!

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com

Helio Loureiro escreveu:

Claro que entendo.  Por isso estou recomendando o uso da raquete.

E certeza que a ordem de algo absurdo vem de alguém de cima, e que não tem a 
menor idéia do que fazer, nem na parte técnica, e provavelmente nem na parte de 
negócios da empresa.

Mas vou ser bondoso e ajudar.

Posso fazer a configuração como serviço de consultoria.  Cobro apenas R$ 
500,00.  Por pessoa bloqueada.  E por mês.  De brinde, ainda forneço uma 
raquete elétrica de matar mosquitos, que é super eficaz em fazer funcionários 
manterem o foco.  Forneço gráficos de KPI para eventuais auditorias de 
processos de governança, em estilo barra, pizza, linha ou raquete de matar 
pernilongo.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 12:24, Henrique Fagundes mailto:magnat...@yahoo.com.br>> escreveu:

Amigos,

Eu acho que alguns da lista ainda não entenderam o seguinte:
Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
Apenas cumpro ordens.
A função de definir a politica da empresa não é minha.

Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso 
fazer esse bloqueio.
Mesmo sendo contra isso.

Pronto, falei!


Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br 
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.__com/ 
http://www.facebook.com/__PortalAprendendoLinux 

http://youtube.com/__aprendendolinux/ 
http://twitter.com/__aprendendolinux/ 
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.__com 

Ou envie um e-mail para:
aprendendolinux-subscribe@__listas.aprendendolinux.com 


Linux - Junior Polegato escreveu:

Em 25-07-2013 00:45, Helio Loureiro escreveu:


Que catzo de produtividade ou vantagem competitiva a empresa vai 
ter com essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar 
produtividade através da desmotivação dos funcionários?


Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, 
estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e 
profissionais, não ligam ("telefonam") mais para família, usam esses recursos, conversam 
por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz 
com clientes e fornecedores de todo mundo, além de uma alternativa mais "tempo real" ao o 
e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a 
diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os 
usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar 
essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às 
vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para 
manter contato com a família e com a empr

esa em

tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa 
otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não 
é fácil!

Bom, em vez de bloquear, tira proveito disso!

PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois 
tive que desbloquear (rsrsrs) a pedido da diretoria

[]'s
   Junior Polegato




--
To UNSUBSCRIBE, email to debian-user-portuguese-_

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Claro que entendo.  Por isso estou recomendando o uso da raquete.

E certeza que a ordem de algo absurdo vem de alguém de cima, e que não tem
a menor idéia do que fazer, nem na parte técnica, e provavelmente nem na
parte de negócios da empresa.

Mas vou ser bondoso e ajudar.

Posso fazer a configuração como serviço de consultoria.  Cobro apenas R$
500,00.  Por pessoa bloqueada.  E por mês.  De brinde, ainda forneço uma
raquete elétrica de matar mosquitos, que é super eficaz em fazer
funcionários manterem o foco.  Forneço gráficos de KPI para eventuais
auditorias de processos de governança, em estilo barra, pizza, linha ou
raquete de matar pernilongo.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 12:24, Henrique Fagundes
escreveu:

> Amigos,
>
> Eu acho que alguns da lista ainda não entenderam o seguinte:
> Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
> Apenas cumpro ordens.
> A função de definir a politica da empresa não é minha.
>
> Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso
> fazer esse bloqueio.
> Mesmo sendo contra isso.
>
> Pronto, falei!
>
>
> Atenciosamente,
>
> Henrique Fagundes
> magnat...@yahoo.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.**com/ 
> http://www.facebook.com/**PortalAprendendoLinux
> http://youtube.com/**aprendendolinux/
> http://twitter.com/**aprendendolinux/
> __**__**__
> Participe do Grupo Aprendendo Linux BR
> http://listas.aprendendolinux.**com 
>
> Ou envie um e-mail para:
> aprendendolinux-subscribe@**listas.aprendendolinux.com
>
> Linux - Junior Polegato escreveu:
>
>  Em 25-07-2013 00:45, Helio Loureiro escreveu:
>>
>>>
>>> Que catzo de produtividade ou vantagem competitiva a empresa vai ter com
>>> essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar
>>> produtividade através da desmotivação dos funcionários?
>>>
>>>
>> Olha só, aqui aumentamos a produtividade e ainda economizamos com isso,
>> tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e
>> outros, para contatos pessoais e profissionais, não ligam ("telefonam")
>> mais para família, usam esses recursos, conversam por escrito com amigos
>> sem deixar de atender pelo telefone e ainda conversam por escrito e por voz
>> com clientes e fornecedores de todo mundo, além de uma alternativa mais
>> "tempo real" ao o e-mail para troca de arquivos (vídeos, fotos, rascunhos,
>> orçamentos), investi (convencia a diretoria) em melhoria de velocidade e
>> qualidade de internet e uma parte da banda livre para os usuários de
>> tablets e smartphones no horário de almoço. Todos felizes e procurando
>> aprender a usar essas novas tecnologias. Colocamos tablets Android na mão
>> do pessoal técnico que fazem viagens, às vezes por idas, e estão felizes da
>> vida com a portabilidade e usabilidade, principalmente para manter contato
>> com a família e com a empresa em
>> tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa
>> otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos
>> não é fácil!
>>
>> Bom, em vez de bloquear, tira proveito disso!
>>
>> PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois
>> tive que desbloquear (rsrsrs) a pedido da diretoria
>>
>> []'s
>>   Junior Polegato
>>
>>
>>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**51f1431a.1070...@yahoo.com.br
>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Humberto A. Sousa]

Desculpa Helio, mas você é especialista em TI, administração de empresas 
ou psicologia?


Na boa, a política da empresa dele não deve nos impossibilitar de 
colaborar tecnicamente com o rapaz. Uma coisa não tem nada a ver com a 
outra...



Saudações,


Humberto Araujo de Sousa
humbe...@dontec.com.br

Em 25/07/2013 00:45, Helio Loureiro escreveu:


Dá pra fazer no Linux, mas não vou ensinar isso.

Estamos na era do conhecimento.  Trabalhamos baseados em "entrega",  
não no modelo fordista,  onde cada um tem de produzir tantas peças por 
hora.  Horário comercial e horas rígidas de trabalho não fazem mais 
sentido.


Mas tem empresas que gostam de viver em eras medievais. Gerentes que 
ficam monitorando funcionários.


Que catzo de produtividade ou vantagem competitiva a empresa vai ter 
com essa atitude?  Aliás, atitude não, espírito de porco?  Vai 
aumentar produtividade através da desmotivação dos funcionários?


Empresas de call center agem assim,  e é algo que beira a 
criminalidade pelas péssimas condições de trabalho. Só não é 
escravidão porque escravos têm condições mais descentes de trabalho.


Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro
- sent via Android -

Em 25/07/2013 00:07, "Fabricio Cannini" > escreveu:


Em 24-07-2013 22:46, Helio Loureiro escreveu:

"pois pessoas estão deixando de trabalhar para ficar de bate papo
através deste aplicativo. E o pior... Usando a internet da
empresa."

Isso não é uma empresa, é um campo de concentração.

Compre uma raquete elétrica, daquelas pra matar pernilogos, e
saia dando
choque nas pessoas que estão usando celular.  É o que parece
mais de
acordo com as políticas da empresa.



HAHHAAHHAA , Hélio, tu é foda !


Mas falando sério, isso não é um problema de TI, e não vai ser
resolvido adequadamente usando TI .

[ ]'s


-- 
To UNSUBSCRIBE, email to

debian-user-portuguese-requ...@lists.debian.org

with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org 
Archive: http://lists.debian.org/51f09679.9050...@gmail.com

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Henrique Fagundes]

Amigos,

Eu acho que alguns da lista ainda não entenderam o seguinte:
Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
Apenas cumpro ordens.
A função de definir a politica da empresa não é minha.

Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer 
esse bloqueio.
Mesmo sendo contra isso.

Pronto, falei!

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com

Linux - Junior Polegato escreveu:

Em 25-07-2013 00:45, Helio Loureiro escreveu:


Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa 
atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar produtividade 
através da desmotivação dos funcionários?



Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, 
estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e 
profissionais, não ligam ("telefonam") mais para família, usam esses recursos, conversam 
por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz 
com clientes e fornecedores de todo mundo, além de uma alternativa mais "tempo real" ao o 
e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a 
diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os 
usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar 
essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às 
vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para 
manter contato com a família e com a empresa em
tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa 
otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não 
é fácil!

Bom, em vez de bloquear, tira proveito disso!

PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois tive que 
desbloquear (rsrsrs) a pedido da diretoria

[]'s
  Junior Polegato





--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f1431a.1070...@yahoo.com.br

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Linux - Junior Polegato]

Em 25-07-2013 00:45, Helio Loureiro escreveu:


Que catzo de produtividade ou vantagem competitiva a empresa vai ter 
com essa atitude?  Aliás, atitude não, espírito de porco?  Vai 
aumentar produtividade através da desmotivação dos funcionários?




Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, 
tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, 
WhatsApp, e outros, para contatos pessoais e profissionais, não ligam 
("telefonam") mais para família, usam esses recursos, conversam por 
escrito com amigos sem deixar de atender pelo telefone e ainda conversam 
por escrito e por voz com clientes e fornecedores de todo mundo, além de 
uma alternativa mais "tempo real" ao o e-mail para troca de arquivos 
(vídeos, fotos, rascunhos, orçamentos), investi (convencia a diretoria) 
em melhoria de velocidade e qualidade de internet e uma parte da banda 
livre para os usuários de tablets e smartphones no horário de almoço. 
Todos felizes e procurando aprender a usar essas novas tecnologias. 
Colocamos tablets Android na mão do pessoal técnico que fazem viagens, 
às vezes por idas, e estão felizes da vida com a portabilidade e 
usabilidade, principalmente para manter contato com a família e com a 
empresa em tempo de atendimento a custo ínfimo. Falta agora um App/Site 
da empresa otimizado para Android, pois usar 2G entre 2 e 30 kbps na 
maioria dos casos não é fácil!


Bom, em vez de bloquear, tira proveito disso!

PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois 
tive que desbloquear (rsrsrs) a pedido da diretoria


[]'s
 Junior Polegato


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f113b0.5000...@juniorpolegato.com.br

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Dá pra fazer no Linux, mas não vou ensinar isso.

Estamos na era do conhecimento.  Trabalhamos baseados em "entrega",  não no
modelo fordista,  onde cada um tem de produzir tantas peças por hora.
Horário comercial e horas rígidas de trabalho não fazem mais sentido.

Mas tem empresas que gostam de viver em eras medievais. Gerentes que ficam
monitorando funcionários.

Que catzo de produtividade ou vantagem competitiva a empresa vai ter com
essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar
produtividade através da desmotivação dos funcionários?

Empresas de call center agem assim,  e é algo que beira a criminalidade
pelas péssimas condições de trabalho. Só não é escravidão porque escravos
têm condições mais descentes de trabalho.

Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro
- sent via Android -
Em 25/07/2013 00:07, "Fabricio Cannini"  escreveu:

> Em 24-07-2013 22:46, Helio Loureiro escreveu:
>
>> "pois pessoas estão deixando de trabalhar para ficar de bate papo
>> através deste aplicativo. E o pior... Usando a internet da empresa."
>>
>> Isso não é uma empresa, é um campo de concentração.
>>
>> Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
>> choque nas pessoas que estão usando celular.  É o que parece mais de
>> acordo com as políticas da empresa.
>>
>
>
> HAHHAAHHAA , Hélio, tu é foda !
>
>
> Mas falando sério, isso não é um problema de TI, e não vai ser resolvido
> adequadamente usando TI .
>
> [ ]'s
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**51f09679.9050...@gmail.com
>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Fabricio Cannini]

Em 24-07-2013 22:46, Helio Loureiro escreveu:

"pois pessoas estão deixando de trabalhar para ficar de bate papo
através deste aplicativo. E o pior... Usando a internet da empresa."

Isso não é uma empresa, é um campo de concentração.

Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
choque nas pessoas que estão usando celular.  É o que parece mais de
acordo com as políticas da empresa.



HAHHAAHHAA , Hélio, tu é foda !


Mas falando sério, isso não é um problema de TI, e não vai ser resolvido 
adequadamente usando TI .


[ ]'s


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f09679.9050...@gmail.com

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

"pois pessoas estão deixando de trabalhar para ficar de bate papo através
deste aplicativo. E o pior... Usando a internet da empresa."

Isso não é uma empresa, é um campo de concentração.

Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
choque nas pessoas que estão usando celular.  É o que parece mais de acordo
com as políticas da empresa.


Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 24 de julho de 2013 22:00, CássioElias . escreveu:

> Tenta bloquear a string "whatsapp" pelo IPtables.
> Quero ver alguém passar. ^^"
>
> --
> Date: Wed, 24 Jul 2013 17:58:13 -0700
> From: walbersan...@yahoo.com.br
> Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
> To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br;
> debian-user-portuguese@lists.debian.org
>
>
> Corrigindo
>
> tcpdump
>
> abç
>
>   --
>  *De:* Walber Santos 
> *Para:* Henrique Fagundes ; "
> debian-user-portuguese@lists.debian.org" <
> debian-user-portuguese@lists.debian.org>
> *Enviadas:* Quarta-feira, 24 de Julho de 2013 21:45
> *Assunto:* Re: Iptables & Squid - Preciso Bloquear o WhatsApp
>
> Kra
>
> Roda um tcpdumo e conecta do seu cel e faz o teste.
>
>
> Dai vc bloqueia a rede de destino.
>
>
> abç
>
>
>   --
>  *De:* Henrique Fagundes 
> *Para:* debian-user-portuguese@lists.debian.org
> *Enviadas:* Quarta-feira, 24 de Julho de 2013 19:20
> *Assunto:* Iptables & Squid - Preciso Bloquear o WhatsApp
>
> Prezados Colegas,
>
> Saudações pinguianas a todos.
>
> Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas
> estãodeixando de trabalhar para ficar de batepapo através deste aplicativo.
> Eo pior... Usando a internet da empresa.
> Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao
> acesso, mas até agora não achei nada relevante.
>
> Alguém sabe como eu posso proceder?
>
> Atenciosamente,
>
> Henrique Fagundes
> magnat...@yahoo.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.com/
> http://www.facebook.com/PortalAprendendoLinux
> http://youtube.com/aprendendolinux/
> http://twitter.com/aprendendolinux/
> __
> Participe do Grupo Aprendendo Linux BR
> http://listas.aprendendolinux.com
>
> Ou envie um e-mail para:
> aprendendolinux-subscr...@listas.aprendendolinux.com
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
>
>
>
>
>
>

RE: Iptables & Squid - Preciso Bloquear o WhatsApp

[CássioElias .]

Tenta bloquear a string "whatsapp" pelo IPtables.Quero ver alguém passar. ^^"

Date: Wed, 24 Jul 2013 17:58:13 -0700
From: walbersan...@yahoo.com.br
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; 
debian-user-portuguese@lists.debian.org

Corrigindo
tcpdump
abç
De: Walber Santos 
 Para: Henrique Fagundes ; 
"debian-user-portuguese@lists.debian.org" 
 
 Enviadas: Quarta-feira, 24 de Julho de 2013 21:45
 Assunto: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
   
Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de
 destino.


abç


De: Henrique Fagundes 
 Para: debian-user-portuguese@lists.debian.org 
 Enviadas: Quarta-feira, 24 de Julho de 2013 19:20
 Assunto: Iptables & Squid - Preciso Bloquear o WhatsApp
   
Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste
 aplicativo. Eo pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
mas até agora não achei nada relevante.

Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br





  

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Walber Santos]

Corrigindo

tcpdump

abç




 De: Walber Santos 
Para: Henrique Fagundes ; 
"debian-user-portuguese@lists.debian.org" 
 
Enviadas: Quarta-feira, 24 de Julho de 2013 21:45
Assunto: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
 


Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de destino.


abç





 De: Henrique Fagundes 
Para: debian-user-portuguese@lists.debian.org 
Enviadas: Quarta-feira, 24 de Julho de 2013 19:20
Assunto: Iptables & Squid - Preciso Bloquear o WhatsApp
 

Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo 
pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
mas até agora não achei nada relevante.

Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Walber Santos]

Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de destino.


abç





 De: Henrique Fagundes 
Para: debian-user-portuguese@lists.debian.org 
Enviadas: Quarta-feira, 24 de Julho de 2013 19:20
Assunto: Iptables & Squid - Preciso Bloquear o WhatsApp
 

Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo 
pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
mas até agora não achei nada relevante.

Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br

Re: IPTABLES

[Helio Loureiro]

Oi,

Não posso responder pelo que seus scripts fazem, mas não é comum o iptables
simplesmente "sumir".  A primeira coisa a supor é a pior: seu sistema está
comprometido.  Eu faria uma reinstalação e nem recuperaria nada do backup.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 18 de julho de 2013 08:50, Adriano Seixas escreveu:

> Bom dia Helio,
>
> Pô mas acontece comigo direto, será que é porque eu estou colocando alguns
> comando iptables para fazer umas marcações em um script que fica rodando de
> 10 em 10 segundos (Redundância).
>
>
> O erro é este: /sbin/iptables: Arquivo ou diretório não encontrado.
>
>
> Obrigado pel atenção,
>
>
>
>
>
> Adriano Seixas - adriano.adi...@gmail.com
>
>
>
>
>
> Em 18 de julho de 2013 07:42, Helio Loureiro escreveu:
>
> Isso não acontece nunca.  Seu sistema deve estar comprometido.
>>
>> Abs,
>> Helio Loureiro
>> http://helio.loureiro.eng.br
>> http://br.linkedin.com/in/helioloureiro
>> http://twitter.com/helioloureiro
>> http://gplus.to/helioloureiro
>> - sent via Android -
>> Em 17/07/2013 14:51, "Adriano Seixas" 
>> escreveu:
>>
>>  Boa tarde meus amigos,
>>>
>>>
>>> Tenho um servidor rodando IPTABLES no debian e de tempos em tempos o meu
>>> sistema não reconhece mais o comando IPTABLES aí eu preciso intervir e dou
>>> um apt-get install iptables e ele reconfigura o iptables e minhas regras
>>> voltam a funcionar. Será que tem uma forma de isso nunca mais acontecer?
>>> Alguém já passou por isso?
>>>
>>>
>>>
>>> Obrigado pela atenção,
>>>
>>>
>>>
>>> Adriano Seixas - adriano.adi...@gmail.com
>>>
>>>
>>
>

Re: IPTABLES

[Sinval Júnior]

Adriano Seixas, o quando você pede para instalar o script funciona? Também
nunca vi este comportamento.

Ao encaminhar esta mensagem, por favor:
1 - Apague meu endereço eletrônico;
2 - Encaminhe como Cópia Oculta (Cco ou BCc) aos seus destinatários.
Dificulte assim a disseminação de vírus, spams e banners.

#=+
#!/usr/bin/env python
nome = 'Sinval Júnior'
email = 'sinvalju arroba gmail ponto com'
print nome
print email
#==+


Em 18 de julho de 2013 08:50, Adriano Seixas escreveu:

> Bom dia Helio,
>
> Pô mas acontece comigo direto, será que é porque eu estou colocando alguns
> comando iptables para fazer umas marcações em um script que fica rodando de
> 10 em 10 segundos (Redundância).
>
>
> O erro é este: /sbin/iptables: Arquivo ou diretório não encontrado.
>
>
> Obrigado pel atenção,
>
>
>
>
>
> Adriano Seixas - adriano.adi...@gmail.com
>
>
>
>
>
> Em 18 de julho de 2013 07:42, Helio Loureiro escreveu:
>
> Isso não acontece nunca.  Seu sistema deve estar comprometido.
>>
>> Abs,
>> Helio Loureiro
>> http://helio.loureiro.eng.br
>> http://br.linkedin.com/in/helioloureiro
>> http://twitter.com/helioloureiro
>> http://gplus.to/helioloureiro
>> - sent via Android -
>> Em 17/07/2013 14:51, "Adriano Seixas" 
>> escreveu:
>>
>>  Boa tarde meus amigos,
>>>
>>>
>>> Tenho um servidor rodando IPTABLES no debian e de tempos em tempos o meu
>>> sistema não reconhece mais o comando IPTABLES aí eu preciso intervir e dou
>>> um apt-get install iptables e ele reconfigura o iptables e minhas regras
>>> voltam a funcionar. Será que tem uma forma de isso nunca mais acontecer?
>>> Alguém já passou por isso?
>>>
>>>
>>>
>>> Obrigado pela atenção,
>>>
>>>
>>>
>>> Adriano Seixas - adriano.adi...@gmail.com
>>>
>>>
>>
>

Re: IPTABLES

[Adriano Seixas]

Bom dia Helio,

Pô mas acontece comigo direto, será que é porque eu estou colocando alguns
comando iptables para fazer umas marcações em um script que fica rodando de
10 em 10 segundos (Redundância).


O erro é este: /sbin/iptables: Arquivo ou diretório não encontrado.


Obrigado pel atenção,





Adriano Seixas - adriano.adi...@gmail.com





Em 18 de julho de 2013 07:42, Helio Loureiro escreveu:

> Isso não acontece nunca.  Seu sistema deve estar comprometido.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
> - sent via Android -
> Em 17/07/2013 14:51, "Adriano Seixas"  escreveu:
>
>  Boa tarde meus amigos,
>>
>>
>> Tenho um servidor rodando IPTABLES no debian e de tempos em tempos o meu
>> sistema não reconhece mais o comando IPTABLES aí eu preciso intervir e dou
>> um apt-get install iptables e ele reconfigura o iptables e minhas regras
>> voltam a funcionar. Será que tem uma forma de isso nunca mais acontecer?
>> Alguém já passou por isso?
>>
>>
>>
>> Obrigado pela atenção,
>>
>>
>>
>> Adriano Seixas - adriano.adi...@gmail.com
>>
>>
>

Re: IPTABLES

[Helio Loureiro]

Isso não acontece nunca.  Seu sistema deve estar comprometido.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro
- sent via Android -
Em 17/07/2013 14:51, "Adriano Seixas"  escreveu:

> Boa tarde meus amigos,
>
>
> Tenho um servidor rodando IPTABLES no debian e de tempos em tempos o meu
> sistema não reconhece mais o comando IPTABLES aí eu preciso intervir e dou
> um apt-get install iptables e ele reconfigura o iptables e minhas regras
> voltam a funcionar. Será que tem uma forma de isso nunca mais acontecer?
> Alguém já passou por isso?
>
>
>
> Obrigado pela atenção,
>
>
>
> Adriano Seixas - adriano.adi...@gmail.com
>
>

Re: Iptables e CIFS entre redes

[Mauricio Neto]

Paulo, Boa noite

Nada como perguntar a quem esta de fora para enxergar nossos erros :-)
Muito obrigado.

Em 29-03-2013 18:47, Paulo Silva escreveu:

Boa noite,

# Roteamento da rede wifi para a NAS
iptables -t nat -A PREROUTING -s 192.168.20.12 -d 192.168.10.3 -j DNAT
--to-destination 192.168.10.3

Esta linha não faz sentido, estás a pegar em pacotes que vão do
192.168.20.12 para o 192.168.10.3 e a colocar como IP de destino o
192.168.10.3 (ou seja, a não alterar nada). Provavelmente querias
fazer SNAT:

iptables -t nat -A POSTROUTING -s 192.168.20.12 -d 192.168.10.3 -j
SNAT --to-source 

No dia 29 de Março de 2013 à18 02:25, Mauricio Neto
 escreveu:

Amigos da lista, boa noite.
Por favor peço a ajuda de vocês para o seguinte problema:
Não estou conseguindo que o host Windows (192.168.20.12) mapeie uma pasta no
host NAS 192.168.10.3

Topologia:
eth1 - placa para a rede interna 192.168.10.0/24
eth2 - placa para a rede wifi 192.168.20.0/24

regras do firewall:
...
# Permite pacotes relativos a conexões já estabelecida
iptables -A FORWARD -d $WIFI_NET -m state --state ESTABLISHED,RELATED -j
ACCEPT

# Libera CIFS entre a rede wifi e a NAS
iptables -A FORWARD -s $WIFI_NET -p udp --dport 137 -d $NAS_IP -j ACCEPT
iptables -A FORWARD -s $WIFI_NET -p udp --dport 138 -d $NAS_IP -j ACCEPT
iptables -A FORWARD -s $WIFI_NET -p udp --dport 139 -d $NAS_IP -j ACCEPT

iptables -A FORWARD -s $WIFI_NET -p tcp --dport 137 -d $NAS_IP -j ACCEPT
iptables -A FORWARD -s $WIFI_NET -p tcp --dport 138 -d $NAS_IP -j ACCEPT
iptables -A FORWARD -s $WIFI_NET -p tcp --dport 139 -d $NAS_IP -j ACCEPT
iptables -A FORWARD -s $WIFI_NET -p tcp --dport 445 -d $NAS_IP -j ACCEPT

# Roteamento da rede wifi para a NAS
iptables -t nat -A PREROUTING -s 192.168.20.12 -d 192.168.10.3 -j DNAT
--to-destination 192.168.10.3

Não aparece nenhuma mensagem de pacote rejeitado no log do iptables.
na rede interna tenho outra maquina também Windows que mapeia essa mesma
pasta sem problema, ou seja, estou fazendo alguma bobagem no roteamento
entre redes.
Espero ter sido claro.
Quem puder ajudar agradeço muito
Abraço

--
Maurício Neto
(21)8236-2505
(21)2576-4645


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
Archive: http://lists.debian.org/5154fb8e.9090...@gmail.com







--
Maurício Neto
(21)8236-2505
(21)2576-4645


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/515649dc.6030...@gmail.com

Re: Iptables e CIFS entre redes

[Paulo Silva]

Boa noite,

# Roteamento da rede wifi para a NAS
iptables -t nat -A PREROUTING -s 192.168.20.12 -d 192.168.10.3 -j DNAT
--to-destination 192.168.10.3

Esta linha não faz sentido, estás a pegar em pacotes que vão do
192.168.20.12 para o 192.168.10.3 e a colocar como IP de destino o
192.168.10.3 (ou seja, a não alterar nada). Provavelmente querias
fazer SNAT:

iptables -t nat -A POSTROUTING -s 192.168.20.12 -d 192.168.10.3 -j
SNAT --to-source 

No dia 29 de Março de 2013 à18 02:25, Mauricio Neto
 escreveu:
> Amigos da lista, boa noite.
> Por favor peço a ajuda de vocês para o seguinte problema:
> Não estou conseguindo que o host Windows (192.168.20.12) mapeie uma pasta no
> host NAS 192.168.10.3
>
> Topologia:
> eth1 - placa para a rede interna 192.168.10.0/24
> eth2 - placa para a rede wifi 192.168.20.0/24
>
> regras do firewall:
> ...
> # Permite pacotes relativos a conexões já estabelecida
> iptables -A FORWARD -d $WIFI_NET -m state --state ESTABLISHED,RELATED -j
> ACCEPT
>
> # Libera CIFS entre a rede wifi e a NAS
> iptables -A FORWARD -s $WIFI_NET -p udp --dport 137 -d $NAS_IP -j ACCEPT
> iptables -A FORWARD -s $WIFI_NET -p udp --dport 138 -d $NAS_IP -j ACCEPT
> iptables -A FORWARD -s $WIFI_NET -p udp --dport 139 -d $NAS_IP -j ACCEPT
>
> iptables -A FORWARD -s $WIFI_NET -p tcp --dport 137 -d $NAS_IP -j ACCEPT
> iptables -A FORWARD -s $WIFI_NET -p tcp --dport 138 -d $NAS_IP -j ACCEPT
> iptables -A FORWARD -s $WIFI_NET -p tcp --dport 139 -d $NAS_IP -j ACCEPT
> iptables -A FORWARD -s $WIFI_NET -p tcp --dport 445 -d $NAS_IP -j ACCEPT
>
> # Roteamento da rede wifi para a NAS
> iptables -t nat -A PREROUTING -s 192.168.20.12 -d 192.168.10.3 -j DNAT
> --to-destination 192.168.10.3
>
> Não aparece nenhuma mensagem de pacote rejeitado no log do iptables.
> na rede interna tenho outra maquina também Windows que mapeia essa mesma
> pasta sem problema, ou seja, estou fazendo alguma bobagem no roteamento
> entre redes.
> Espero ter sido claro.
> Quem puder ajudar agradeço muito
> Abraço
>
> --
> Maurício Neto
> (21)8236-2505
> (21)2576-4645
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/5154fb8e.9090...@gmail.com
>



-- 
Paulo Silva 


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CAHJdQrk86CWOEWTNLu+4ioSX7NxFnVCc_RMushLWk6RÌ_...@mail.gmail.com

Re: iptables openvpn

[Greyson Farias]

Criei um artigo tratando deste assunto:
http://softwarelivre-ac.org/areas/geral/65-servidores/193-openvpn-acessando-a-rede-local-do-lado-cliente-da-vpn.html

Espero que ajude.

Att.

*Greyson Farias da Silva*
Técnico em Operação de redes - CREA/AC 9329TD
Eu prefiro receber documentos em ODF
.
http://about.me/greysonfarias



Em 14 de março de 2013 09:18, Mauro Collin  escreveu:

> Jorge,
>
> Acho que tenho a solução para as suas noites de sono. kkk
> Já fui muito ajudado aqui na lista, acho que chegou a hora de contribuir.
>
> Seguinte, a duas semanas estava com o mesmo problema que o seu e passei 1
> semana sem dormir tentando resolver, ai pedi ajuda a meu gerente de TI, ele
> sentou a buzanfa na cadeira digitou duas linha e tudo funcionou... nao
> sabia se matava ou beijava elers. Mas vamos aos fatos:
> Vou te explicar minha config e vc aplica na sua ok:
>
> #
> FW1 (NOVA IGUACU)
>
> eth0 = LAN = 10.0.0.253
> tun0 = open vpn = 10.10.10.10
> range = 10.0.0.0
> #
>
> #
> FW2 (CAXIAS)
>
> eth0 = LAN = 192.168.0.253
> tun0 = open vpn = 10.10.10.20
> range = 192.168.0.0
> #
>
> no FW1 fiz:
> route add -net 192.168.0.0 netmask 255.255.255.0 tun0
> iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -j MASQUERADE
>
> no FW2 fiz:
> route add -net 10.0.0.0 netmask 255.255.255.0 tun0
> iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE
>
> Ou seja, todo mundo enxerga todo mundo, segundo meu chefe, fizemos uma
> rota para que nossa rede interna passe pelo tun0 (openvpn).
> Depois mascaramos os pacotes da rede interna como da rede remota, ai
> quando o pacote chega la na outra rede ele tem o mesmo ip da rede em que
> ele caiu. Simples assim.
>
> Gostaria de registrar meu agradecimento a Wanderson Gonzalez.
>
> Abs a todos.
>
>
>
> Em 12 de março de 2013 08:19, Jorge Quiterio escreveu:
>
>> Bom a todos!!!
>>
>> Tenho dois sites ligados via openvpn.
>>
>> nesses dois sites há um firewall configurados para trabalharem como
>> gatway para internet...
>>
>>
>> mais ou menos assim
>>
>> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>>
>> em Firewall 1 e em Firewall 2... existem três interfaces:
>> eth0 - local
>> eth1 - internet
>> tun0 - vpn
>>
>> em Cada Firewall tenho...
>>
>> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>>
>> Consigo...:
>>
>> Pingar entre as interfaces tun0 das duas máquinas...
>> Pingar entre as interfaces eth1 das duas máquinas..
>>
>>
>> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
>> comuniquem
>>
>> Alguém tem alguma dica?
>>
>>
>> Obrigado
>>
>> --
>> Jorge Quitério
>> IT Specialist
>> unix.co.ao
>> Linux User: #533142
>> jquiteri...@gmail.com
>> +244 927 161 667
>>
>>
>>
>
>
> --
> Att.
>
> Mauro Collin.
> Analista de Suporte Pleno.
> TI-Infraestrutura / Rede / Servidores Linux/Windows.
> Skype: mauro.collin
> Cel: 21 8728-5445 (Oi).
> Cel: 21 8055-3606 (Tim).
> Cel: 21 9600-5348 (Vivo).
>

Re: iptables openvpn

[Mauro Collin]

Jorge,

Acho que tenho a solução para as suas noites de sono. kkk
Já fui muito ajudado aqui na lista, acho que chegou a hora de contribuir.

Seguinte, a duas semanas estava com o mesmo problema que o seu e passei 1
semana sem dormir tentando resolver, ai pedi ajuda a meu gerente de TI, ele
sentou a buzanfa na cadeira digitou duas linha e tudo funcionou... nao
sabia se matava ou beijava elers. Mas vamos aos fatos:
Vou te explicar minha config e vc aplica na sua ok:

#
FW1 (NOVA IGUACU)

eth0 = LAN = 10.0.0.253
tun0 = open vpn = 10.10.10.10
range = 10.0.0.0
#

#
FW2 (CAXIAS)

eth0 = LAN = 192.168.0.253
tun0 = open vpn = 10.10.10.20
range = 192.168.0.0
#

no FW1 fiz:
route add -net 192.168.0.0 netmask 255.255.255.0 tun0
iptables -t nat -I POSTROUTING -s 10.0.0.0/24 -j MASQUERADE

no FW2 fiz:
route add -net 10.0.0.0 netmask 255.255.255.0 tun0
iptables -t nat -I POSTROUTING -s 192.168.0.0/24 -j MASQUERADE

Ou seja, todo mundo enxerga todo mundo, segundo meu chefe, fizemos uma rota
para que nossa rede interna passe pelo tun0 (openvpn).
Depois mascaramos os pacotes da rede interna como da rede remota, ai quando
o pacote chega la na outra rede ele tem o mesmo ip da rede em que ele caiu.
Simples assim.

Gostaria de registrar meu agradecimento a Wanderson Gonzalez.

Abs a todos.



Em 12 de março de 2013 08:19, Jorge Quiterio escreveu:

> Bom a todos!!!
>
> Tenho dois sites ligados via openvpn.
>
> nesses dois sites há um firewall configurados para trabalharem como gatway
> para internet...
>
>
> mais ou menos assim
>
> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>
> em Firewall 1 e em Firewall 2... existem três interfaces:
> eth0 - local
> eth1 - internet
> tun0 - vpn
>
> em Cada Firewall tenho...
>
> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>
> Consigo...:
>
> Pingar entre as interfaces tun0 das duas máquinas...
> Pingar entre as interfaces eth1 das duas máquinas..
>
>
> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
> comuniquem
>
> Alguém tem alguma dica?
>
>
> Obrigado
>
> --
> Jorge Quitério
> IT Specialist
> unix.co.ao
> Linux User: #533142
> jquiteri...@gmail.com
> +244 927 161 667
>
>
>


-- 
Att.

Mauro Collin.
Analista de Suporte Pleno.
TI-Infraestrutura / Rede / Servidores Linux/Windows.
Skype: mauro.collin
Cel: 21 8728-5445 (Oi).
Cel: 21 8055-3606 (Tim).
Cel: 21 9600-5348 (Vivo).

Re: iptables openvpn

[Ricardo César]

aparentemente sua tabela de rotas está correta, provavelmente os gateways das 
redes estão certo também:
micros da LAN do firewall 1 com o gateway: 172.16.1.8

micros da LAN do firewall 2 com gateway: 172.17.0.1

a mascara de sub rede dos computadores das 2 lans também deve estar correta 
255.255.0.0


não deve haver nenhuma rota a mais nos micros da LAN, somente o gateway padrão.

Era pra estar tudo funcionando ai.
Tenho um servidor com OpenVPN funcionando aqui com configuração um pouco 
diferente do seu. No meu a interface está em tap, no seu deve estar em tun. No 
meu, eu nem fiz rotas nas demais máquinas, coloquei o parametro direto no 
servidor. e quando eu me conecto nele ele me envia as rotas que funcionam 
normalmente.
Minhas rotas ficam assim no conf do servidor:
push "route
 192.168.0.0 255.255.255.0"





 
-->>®!©@®dø<<--

TECNOLOGIA EM REDES DE COMPUTADORES.
PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
NÃO SEJA PRÁTICO, SEJA EFICIENTE!
USE A FORÇA, OLHE OS FONTES!




 De: Jorge Quiterio 
Para: Ricardo César  
Cc: d-u-p  
Enviadas: Terça-feira, 12 de Março de 2013 22:38
Assunto: Re: iptables openvpn
 

Ricardo..

Não funcionou... 

---

Traceroute de lab (LAN1 - 172.16.0.0/16) para interface lan(eth1) de Firewall 2


root@lab:/# traceroute -n -m 10 172.17.0.1
traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets
 1  172.16.1.8  0.459 ms  0.510 ms  1.015 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
-


Traceroute de lab (LAN1 - 172.16.0.0/16) para interface tun0 de firewall 1

root@lab:/# traceroute -n -m 10 10.9.0.1
traceroute to 10.9.0.1 (10.9.0.1), 10 hops max, 60 byte packets
 1  10.9.0.1  0.631 ms  0.624 ms  1.204 ms

-

Traceroute de lab (LAN 1 - 172.16.0.0/16) para interface tun0 de firewall 2

root@lab:/# traceroute -n -m 10 10.9.0.2
traceroute to 10.9.0.2 (10.9.0.2), 10 hops max, 60 byte packets
 1  172.16.1.8  0.641 ms  0.635 ms  1.190 ms
 2  10.9.0.2  14.240 ms  14.797 ms  14.798 ms


---

Traceroute a partir de Firewall 2 para interface lan(eth1) de firewall 1

root@fw2:/# traceroute -n -m 10 172.16.1.8
traceroute to 172.16.1.8 (172.16.1.8), 10 hops max, 60 byte packets
 1  172.16.1.8  41.545 ms  41.483 ms  41.494 ms

-

Trace router a partir de Firewall 1 para interface lan(eth1) de firewall 2
root@fw1:/# traceroute -n -m 10 172.17.0.1
traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets
 1  172.17.0.1  14.357 ms  14.067 ms  14.261 ms

-


Obrigado










No dia 13 de Março de 2013 à46 01:02, Ricardo César  
escreveu:

tenta adicionar estas rotas nos seus firewalls:
>Firewall1:
>ip route add 172.17.0.0/16 via 10.9.0.2
>
>
>Firewall2:
>ip route add 172.16.0.0/16 via 10.9.0.1
>
>
>Caso não funcione libera o forward no seu firewall e faz um novo teste.
>Firewall1:
>
>iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s 
>172.16.0.0/255.255.0.0 -j ACCEPT
>
>iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d 
>172.16.0.0/255.255.0.0 -j ACCEPT
>
>
>
>Firewall2:
>
>iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s 
>172.17.0.0/255.255.0.0 -j ACCEPT
>
>iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d 
>172.17.0.0/255.255.0.0 -j ACCEPT
>
>
>Caso ainda não funcione, rode o comando abaixo em uma das máquinas da Lan1 e 
>me manda o resultado.
>
>
>Caso a maquina seja windows rode:
>tracert -d 
>Ex: tracert -d 172.17.0.5
>
>
>Caso a máquina esteja com linux rode:
> traceroute -n 
>Ex:  traceroute -n 172.17.0.5
>
>
>
>
>Testa lá e me fala se deu certo.
>=D
> 
>-->>®!©@®dø<<--
>>
>TECNOLOGIA EM REDES DE COMPUTADORES.
>PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
>LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
>NÃO SEJA PRÁTICO, SEJA EFICIENTE!
>USE A FORÇA, OLHE OS FONTES!
>
>
>
>
>
> De: Jorge Quiterio 
>Para: Ricardo César  
>Cc: d-u-p  
>Enviadas: Terça-feira, 12 de Março de 2013 20:28
>Assunto: Re: iptables openvpn
> 
>
>
>Ricardo,
>
>Firewall1
>
tun0: 10.9.0.1
>eth1: 172.16.0.8/16
>
>
>Lan1: 172.16.0.0/16
>
>
>Firewall2
>tun0: 10.9.0.2
>eth1: 172.17.0.1/16
>
>Lan2: 172.17.0.0/16
>
>
>Obrigado
>
>
>
>
>
>
>
>No dia 12 de Março de 2013 à19 16:24, Ricardo César  
>escreveu:

Re: iptables openvpn

[Ricardo César]

aparentemente sua tabela de rotas está correta, provavelmente os gateways das 
redes estão certo também:
micros da LAN do firewall 1 com o gateway: 172.16.1.8

micros da LAN do firewall 2 com gateway: 172.17.0.1

a mascara de sub rede dos computadores das 2 lans também deve estar correta 
255.255.0.0


não deve haver nenhuma rota a mais nos micros da LAN, somente o gateway padrão.

Era pra estar tudo funcionando ai.
Tenho um servidor com OpenVPN funcionando aqui com configuração um pouco 
diferente do seu. No meu a interface está em tap, no seu deve estar em tun. No 
meu, eu nem fiz rotas nas demais máquinas, coloquei o parametro direto no 
servidor. e quando eu me conecto nele ele me envia as rotas que funcionam 
normalmente.
Minhas rotas ficam assim no conf do servidor:
push "route 192.168.0.0 255.255.255.0"





 
-->>®!©@®dø<<--

TECNOLOGIA EM REDES DE COMPUTADORES.
PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
NÃO SEJA PRÁTICO, SEJA EFICIENTE!
USE A FORÇA, OLHE OS FONTES!




 De: Jorge Quiterio 
Para: Ricardo César  
Cc: d-u-p  
Enviadas: Terça-feira, 12 de Março de 2013 22:38
Assunto: Re: iptables openvpn
 

Ricardo..

Não funcionou... 

---

Traceroute de lab (LAN1 - 172.16.0.0/16) para interface lan(eth1) de Firewall 2


root@lab:/# traceroute -n -m 10 172.17.0.1
traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets
 1  172.16.1.8  0.459 ms  0.510 ms  1.015 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
-


Traceroute de lab (LAN1 - 172.16.0.0/16) para interface tun0 de firewall 1

root@lab:/# traceroute -n -m 10 10.9.0.1
traceroute to 10.9.0.1 (10.9.0.1), 10 hops max, 60 byte packets
 1  10.9.0.1  0.631 ms  0.624 ms  1.204 ms

-

Traceroute de lab (LAN 1 - 172.16.0.0/16) para interface tun0 de firewall 2

root@lab:/# traceroute -n -m 10 10.9.0.2
traceroute to 10.9.0.2 (10.9.0.2), 10 hops max, 60 byte packets
 1  172.16.1.8  0.641 ms  0.635 ms  1.190 ms
 2  10.9.0.2  14.240 ms  14.797 ms  14.798 ms


---

Traceroute a partir de Firewall 2 para interface lan(eth1) de firewall 1

root@fw2:/# traceroute -n -m 10 172.16.1.8
traceroute to 172.16.1.8 (172.16.1.8), 10 hops max, 60 byte packets
 1  172.16.1.8  41.545 ms  41.483 ms  41.494 ms

-

Trace router a partir de Firewall 1 para interface lan(eth1) de firewall 2
root@fw1:/# traceroute -n -m 10 172.17.0.1
traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets
 1  172.17.0.1  14.357 ms  14.067 ms  14.261 ms

-


Obrigado










No dia 13 de Março de 2013 à46 01:02, Ricardo César  
escreveu:

tenta adicionar estas rotas nos seus firewalls:
>Firewall1:
>ip route add 172.17.0.0/16 via 10.9.0.2
>
>
>Firewall2:
>ip route add 172.16.0.0/16 via 10.9.0.1
>
>
>Caso não funcione libera o forward no seu firewall e faz um novo teste.
>Firewall1:
>
>iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s 
>172.16.0.0/255.255.0.0 -j ACCEPT
>
>iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d 
>172.16.0.0/255.255.0.0 -j ACCEPT
>
>
>
>Firewall2:
>
>iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s 
>172.17.0.0/255.255.0.0 -j ACCEPT
>
>iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d 
>172.17.0.0/255.255.0.0 -j ACCEPT
>
>
>Caso ainda não funcione, rode o comando abaixo em uma das máquinas da Lan1 e 
>me manda o resultado.
>
>
>Caso a maquina seja windows rode:
>tracert -d 
>Ex: tracert -d 172.17.0.5
>
>
>Caso a máquina esteja com linux rode:
> traceroute -n 
>Ex:  traceroute -n 172.17.0.5
>
>
>
>
>Testa lá e me fala se deu certo.
>=D
> 
>-->>®!©@®dø<<--
>>
>TECNOLOGIA EM REDES DE COMPUTADORES.
>PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
>LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
>NÃO SEJA PRÁTICO, SEJA EFICIENTE!
>USE A FORÇA, OLHE OS FONTES!
>
>
>
>
>
> De: Jorge Quiterio 
>Para: Ricardo César  
>Cc: d-u-p  
>Enviadas: Terça-feira, 12 de Março de 2013 20:28
>Assunto: Re: iptables openvpn
> 
>
>
>Ricardo,
>
>Firewall1
>
tun0: 10.9.0.1
>eth1: 172.16.0.8/16
>
>
>Lan1: 172.16.0.0/16
>
>
>Firewall2
>tun0: 10.9.0.2
>eth1: 172.17.0.1/16
>
>Lan2: 172.17.0.0/16
>
>
>Obrigado
>
>
>
>
>
>
>
>No dia 12 de Março de 2013 à19 16:24, Ricardo César  
>escreveu:

Re: iptables openvpn

[Jorge Quiterio]

Tabela de roteamento de Firewall 2

root@fw2:/# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric RefUse
Iface
0.0.0.0 x.x.x 0.0.0.0 UG100
00 eth0
10.9.0.10.0.0.0 255.255.255.255 UH0  00 tun0
x.x.x.x  0.0.0.0 255.255.0.0 U 0  00 eth0
172.16.0.0  10.9.0.1255.255.0.0 UG0  00 tun0
172.17.0.0  0.0.0.0 255.255.0.0 U 0  00 eth1

---

Tabela de roteamento  de Firewall 1

root@fw1:/# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric RefUse
Iface
10.9.0.20.0.0.0 255.255.255.255 UH0  00 tun0
x.x.x.x  0.0.0.0 255.255.255.248 U 0  00
eth0
172.16.0.0  0.0.0.0 255.255.0.0 U 0  00 eth1
172.17.0.0  10.9.0.2255.255.0.0 UG0  00 tun0
0.0.0.0 x.x.x.x   0.0.0.0 UG10000 eth0

Obrigado





No dia 13 de Março de 2013 à46 01:02, Ricardo César
escreveu:

> tenta adicionar estas rotas nos seus firewalls:
> Firewall1:
> ip route add 172.17.0.0/16 via 10.9.0.2
>
> Firewall2:
> ip route add 172.16.0.0/16 via 10.9.0.1
>
> Caso não funcione libera o forward no seu firewall e faz um novo teste.
> Firewall1:
> iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s
> 172.16.0.0/255.255.0.0 -j ACCEPT
> iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d
> 172.16.0.0/255.255.0.0 -j ACCEPT
>
> Firewall2:
> iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s
> 172.17.0.0/255.255.0.0 -j ACCEPT
> iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d
> 172.17.0.0/255.255.0.0 -j ACCEPT
>
> Caso ainda não funcione, rode o comando abaixo em uma das máquinas da Lan1
> e me manda o resultado.
>
> Caso a maquina seja windows rode:
> tracert -d 
> Ex: tracert -d 172.17.0.5
>
> Caso a máquina esteja com linux rode:
>  traceroute -n 
> Ex:  traceroute -n 172.17.0.5
>
>
> Testa lá e me fala se deu certo.
> =D
>
> -->>®!©@®dø<<--
> --
> TECNOLOGIA EM REDES DE COMPUTADORES.
> PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
> LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
> NÃO SEJA PRÁTICO, SEJA EFICIENTE!
> USE A FORÇA, OLHE OS FONTES!
> **
>
>   ------
> *De:* Jorge Quiterio 
> *Para:* Ricardo César 
> *Cc:* d-u-p 
> *Enviadas:* Terça-feira, 12 de Março de 2013 20:28
> *Assunto:* Re: iptables openvpn
>
> Ricardo,
>
> Firewall1
> tun0: 10.9.0.1
> eth1: 172.16.0.8/16
>
> Lan1: 172.16.0.0/16
>
> Firewall2
> tun0: 10.9.0.2
> eth1: 172.17.0.1/16
>
> Lan2: 172.17.0.0/16
>
>
> Obrigado
>
>
>
>
> No dia 12 de Março de 2013 à19 16:24, Ricardo César  > escreveu:
>
> Como estão as configurações de IP.
>
> Me diga quais os IPs da interface TUN do firewall 1 e 2 e o ip da
> interfaces de rede do firewall ligado a LAN1 e LAN2
>
> -->>®!©@®dø<<--
> --
> TECNOLOGIA EM REDES DE COMPUTADORES.
> PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
> LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
> NÃO SEJA PRÁTICO, SEJA EFICIENTE!
> USE A FORÇA, OLHE OS FONTES!
> **
>
>   --
> *De:* Jorge Quiterio 
> *Para:* d-u-p 
> *Enviadas:* Terça-feira, 12 de Março de 2013 8:19
> *Assunto:* iptables openvpn
>
> Bom a todos!!!
>
> Tenho dois sites ligados via openvpn.
>
> nesses dois sites há um firewall configurados para trabalharem como gatway
> para internet...
>
>
> mais ou menos assim
>
> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>
> em Firewall 1 e em Firewall 2... existem três interfaces:
> eth0 - local
> eth1 - internet
> tun0 - vpn
>
> em Cada Firewall tenho...
>
> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>
> Consigo...:
>
> Pingar entre as interfaces tun0 das duas máquinas...
> Pingar entre as interfaces eth1 das duas máquinas..
>
>
> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
> comuniquem
>
> Alguém tem alguma dica?
>
>
> Obrigado
>
> --
> Jorge Quitério
> IT Specialist
> unix.co.ao
> Linux User: #533142
> jquiteri...@gmail.com
> +244 927 161 667
>
>
>
>
>
>
>
> --
> Jorge Quitério
> IT Specialist
> unix.co.ao
> Linux User: #533142
> jquiteri...@gmail.com
> +244 927 161 667
>
>
>
>
>


-- 
Jorge Quitério
IT Specialist
unix.co.ao
Linux User: #533142
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Jorge Quiterio]

Ricardo..

Não funcionou...

---

Traceroute de lab (LAN1 - 172.16.0.0/16) para interface lan(eth1) de
Firewall 2

root@lab:/# traceroute -n -m 10 172.17.0.1
traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets
 1  172.16.1.8  0.459 ms  0.510 ms  1.015 ms
 2  * * *
 3  * * *
 4  * * *
 5  * * *
 6  * * *
 7  * * *
 8  * * *
 9  * * *
10  * * *
-

Traceroute de lab (LAN1 - 172.16.0.0/16) para interface tun0 de firewall 1

root@lab:/# traceroute -n -m 10 10.9.0.1
traceroute to 10.9.0.1 (10.9.0.1), 10 hops max, 60 byte packets
 1  10.9.0.1  0.631 ms  0.624 ms  1.204 ms

-
Traceroute de lab (LAN 1 - 172.16.0.0/16) para interface tun0 de firewall 2

root@lab:/# traceroute -n -m 10 10.9.0.2
traceroute to 10.9.0.2 (10.9.0.2), 10 hops max, 60 byte packets
 1  172.16.1.8  0.641 ms  0.635 ms  1.190 ms
 2  10.9.0.2  14.240 ms  14.797 ms  14.798 ms

---

Traceroute a partir de Firewall 2 para interface lan(eth1) de firewall 1

root@fw2:/# traceroute -n -m 10 172.16.1.8
traceroute to 172.16.1.8 (172.16.1.8), 10 hops max, 60 byte packets
 1  172.16.1.8  41.545 ms  41.483 ms  41.494 ms

-

Trace router a partir de Firewall 1 para interface lan(eth1) de firewall 2
root@fw1:/# traceroute -n -m 10 172.17.0.1
traceroute to 172.17.0.1 (172.17.0.1), 10 hops max, 60 byte packets
 1  172.17.0.1  14.357 ms  14.067 ms  14.261 ms

-


Obrigado








No dia 13 de Março de 2013 à46 01:02, Ricardo César
escreveu:

> tenta adicionar estas rotas nos seus firewalls:
> Firewall1:
> ip route add 172.17.0.0/16 via 10.9.0.2
>
> Firewall2:
> ip route add 172.16.0.0/16 via 10.9.0.1
>
> Caso não funcione libera o forward no seu firewall e faz um novo teste.
> Firewall1:
> iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s
> 172.16.0.0/255.255.0.0 -j ACCEPT
> iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d
> 172.16.0.0/255.255.0.0 -j ACCEPT
>
> Firewall2:
> iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s
> 172.17.0.0/255.255.0.0 -j ACCEPT
> iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d
> 172.17.0.0/255.255.0.0 -j ACCEPT
>
> Caso ainda não funcione, rode o comando abaixo em uma das máquinas da Lan1
> e me manda o resultado.
>
> Caso a maquina seja windows rode:
> tracert -d 
> Ex: tracert -d 172.17.0.5
>
> Caso a máquina esteja com linux rode:
>  traceroute -n 
> Ex:  traceroute -n 172.17.0.5
>
>
> Testa lá e me fala se deu certo.
> =D
>
> -->>®!©@®dø<<--
> --
> TECNOLOGIA EM REDES DE COMPUTADORES.
> PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
> LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
> NÃO SEJA PRÁTICO, SEJA EFICIENTE!
> USE A FORÇA, OLHE OS FONTES!
> **
>
>   ------
> *De:* Jorge Quiterio 
> *Para:* Ricardo César 
> *Cc:* d-u-p 
> *Enviadas:* Terça-feira, 12 de Março de 2013 20:28
> *Assunto:* Re: iptables openvpn
>
> Ricardo,
>
> Firewall1
> tun0: 10.9.0.1
> eth1: 172.16.0.8/16
>
> Lan1: 172.16.0.0/16
>
> Firewall2
> tun0: 10.9.0.2
> eth1: 172.17.0.1/16
>
> Lan2: 172.17.0.0/16
>
>
> Obrigado
>
>
>
>
> No dia 12 de Março de 2013 à19 16:24, Ricardo César  > escreveu:
>
> Como estão as configurações de IP.
>
> Me diga quais os IPs da interface TUN do firewall 1 e 2 e o ip da
> interfaces de rede do firewall ligado a LAN1 e LAN2
>
> -->>®!©@®dø<<--
> --
> TECNOLOGIA EM REDES DE COMPUTADORES.
> PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
> LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
> NÃO SEJA PRÁTICO, SEJA EFICIENTE!
> USE A FORÇA, OLHE OS FONTES!
> **
>
>   --
> *De:* Jorge Quiterio 
> *Para:* d-u-p 
> *Enviadas:* Terça-feira, 12 de Março de 2013 8:19
> *Assunto:* iptables openvpn
>
> Bom a todos!!!
>
> Tenho dois sites ligados via openvpn.
>
> nesses dois sites há um firewall configurados para trabalharem como gatway
> para internet...
>
>
> mais ou menos assim
>
> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>
> em Firewall 1 e em Firewall 2... existem três interfaces:
> eth0 - local
> eth1 - internet
> tun0 - vpn
>
> em Cada Firewall tenho...
>
> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>
> Consigo...:
>
> Pingar entre as interfaces tun0 das duas máquinas...
> Pingar entre as interfaces eth1 das duas máquinas..
>
>
> No entanto n

Re: iptables openvpn

[Ricardo César]

tenta adicionar estas rotas nos seus firewalls:
Firewall1:
ip route add 172.17.0.0/16 via 10.9.0.2

Firewall2:
ip route add 172.16.0.0/16 via 10.9.0.1

Caso não funcione libera o forward no seu firewall e faz um novo teste.
Firewall1:

iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s 
172.16.0.0/255.255.0.0 -j ACCEPT

iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d 
172.16.0.0/255.255.0.0 -j ACCEPT


Firewall2:

iptables --append FORWARD --in-interface eth1 --out-interface tun0 -s 
172.17.0.0/255.255.0.0 -j ACCEPT

iptables --append FORWARD --in-interface tun0 --out-interface eth1 -d 
172.17.0.0/255.255.0.0 -j ACCEPT

Caso ainda não funcione, rode o comando abaixo em uma das máquinas da Lan1 e me 
manda o resultado.

Caso a maquina seja windows rode:
tracert -d 
Ex: tracert -d 172.17.0.5

Caso a máquina esteja com linux rode:
 traceroute -n 
Ex:  traceroute -n 172.17.0.5


Testa lá e me fala se deu certo.
=D
 
-->>®!©@®dø<<--

TECNOLOGIA EM REDES DE COMPUTADORES.
PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
NÃO SEJA PRÁTICO, SEJA EFICIENTE!
USE A FORÇA, OLHE OS FONTES!




 De: Jorge Quiterio 
Para: Ricardo César  
Cc: d-u-p  
Enviadas: Terça-feira, 12 de Março de 2013 20:28
Assunto: Re: iptables openvpn
 

Ricardo,

Firewall1
tun0: 10.9.0.1
eth1: 172.16.0.8/16


Lan1: 172.16.0.0/16

Firewall2
tun0: 10.9.0.2
eth1: 172.17.0.1/16

Lan2: 172.17.0.0/16


Obrigado






No dia 12 de Março de 2013 à19 16:24, Ricardo César  
escreveu:

Como estão as configurações de IP.
>
>
>Me diga quais os IPs da interface TUN do firewall 1 e 2 e o ip da interfaces 
>de rede do firewall ligado a LAN1 e LAN2
>
> 
>-->>®!©@®dø<<--
>>
> TECNOLOGIA EM REDES DE COMPUTADORES.
>PÓS GRADUANDO EM SISTEMAS DE
 INFORMAÇÃO
>LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
>NÃO SEJA PRÁTICO, SEJA EFICIENTE!
>USE A FORÇA, OLHE OS FONTES!
>
>
>
>
>
> De: Jorge Quiterio 
>Para: d-u-p  
>Enviadas: Terça-feira, 12 de Março de 2013 8:19
>Assunto: iptables openvpn
> 
>
>
>Bom a todos!!!
>
>Tenho dois sites ligados via openvpn.
>
>nesses dois sites há um firewall configurados para trabalharem como gatway 
>para internet...
>
>
>
>mais ou menos assim
>
>
>LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>
>
>em Firewall 1 e em Firewall 2... existem três interfaces:
>
>eth0 - local
>
>eth1 - internet
>
>tun0 - vpn
>
>
>em Cada Firewall tenho...
>
>
>
>route add -net LAN[1,2]/24 gw tun0IP dev tun0
>
>
>
>Consigo...:
>
>
>Pingar entre as interfaces tun0 das duas máquinas...
>
>Pingar entre as interfaces eth1 das duas máquinas..
>
>
>
>No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se comuniquem
>
>
>Alguém tem alguma dica?
>
>
>
>Obrigado
>
>
>
>-- 
>Jorge Quitério
>IT Specialist
>unix.co.ao
>
>Linux User: #533142 
>jquiteri...@gmail.com
>+244 927 161 667
>
>
>
>
>


-- 
Jorge Quitério
IT Specialist
unix.co.ao

Linux User: #533142 
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Jorge Quiterio]

Fábio,

Não sei... eu ainda sou muito leigo em matéria de roteamento

E se a LAN2 fosse 192.168.0.0/24, não daria para fazer VPN?

Se calhar dessa forma... autorizar ke os pacotes vindos da tun0 para a rede
local fosse aceite


Firewall 1

iptables -I FORWARD -i tun0 -o eth1 -s 10.9.0.2 -d 172.16.0.0/16 -m
conntrack --ctstate NEW -j ACCEPT

Firewall 2

iptables -I FORWARD -i tun0 -o eth1 -s 10.9.0.1 -d 172.17.0.0/16 -m
conntrack --ctstate NEW -j ACCEPT

Por favor, dêm uma olhada e me digam algo...

Ou será necessário outra regra ?

Obrigado




No dia 12 de Março de 2013 à55 23:35, Fábio Rabelo <
fa...@fabiorabelo.wiki.br> escreveu:

> Em 12 de março de 2013 20:28, Jorge Quiterio escreveu:
>
> Ricardo,
>>
>> Firewall1
>> tun0: 10.9.0.1
>> eth1: 172.16.0.8/16
>>
>> Lan1: 172.16.0.0/16
>>
>> Firewall2
>> tun0: 10.9.0.2
>> eth1: 172.17.0.1/16
>>
>> Lan2: 172.17.0.0/16
>>
>> Boa noite ...
>
> Não estou acompanhando toda a série, mas tem uma coisa bem errada na sua
> configuração !
>
> 172.16.x.x/16  NÃO será roteado "localmente" para 172.17.x.x/16, pois
> ambas estão em redes diferentes !
>
> Usando a máscara 255.255.0.0 todos os IPs da faixa compreendida entre
> 172.16.0.0 até 172.16.255.255 estarão na mesma rede , mas os ips da faixa
> 172.17.x.x estarão em outra faixa, pto os pacotes serão roteados pelo
> gateway padrão, e NÃO pela sua vpn !
>
>
> Fábio Rabelo
>



-- 
Jorge Quitério
IT Specialist
unix.co.ao
Linux User: #533142
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Fábio Rabelo]

Em 12 de março de 2013 20:28, Jorge Quiterio escreveu:

> Ricardo,
>
> Firewall1
> tun0: 10.9.0.1
> eth1: 172.16.0.8/16
>
> Lan1: 172.16.0.0/16
>
> Firewall2
> tun0: 10.9.0.2
> eth1: 172.17.0.1/16
>
> Lan2: 172.17.0.0/16
>
> Boa noite ...

Não estou acompanhando toda a série, mas tem uma coisa bem errada na sua
configuração !

172.16.x.x/16  NÃO será roteado "localmente" para 172.17.x.x/16, pois ambas
estão em redes diferentes !

Usando a máscara 255.255.0.0 todos os IPs da faixa compreendida entre
172.16.0.0 até 172.16.255.255 estarão na mesma rede , mas os ips da faixa
172.17.x.x estarão em outra faixa, pto os pacotes serão roteados pelo
gateway padrão, e NÃO pela sua vpn !


Fábio Rabelo

Re: iptables openvpn

[Jorge Quiterio]

Sim Junior,

o roteamente está assim

Firewall 1
route add default x.x.x.x dev eth0
route add -net 172.17.0.0 netmask 255.255.0.0 gw 10.9.0.2

Firewall 2

route add default x.x.x.x dev eth0
route add -net 172.16.0.0 netmask 255.255.0.0 gw 10.9.0.1

Está correcto assim ?

entre os firewalls as coisas funcionam muito bem!... só entre as máquinas
clientes é ke o traceroute para outra máquina cliente tenta passar pela
internet (eth0)


Obrigado




No dia 12 de Março de 2013 à58 18:00, Linux - Junior Polegato <
li...@juniorpolegato.com.br> escreveu:

> Jorge,
>
> Você vai ter que seguir o pacote para saber o que está havendo...
>
> Vai na máquina IP1 que está em LAN1 e execute "ping IP2", onde IP2
> é da LAN2, veja que LAN1 e LAN2 precisam ser LANs distintas.
>
> No FW1 execute "tcpdump -i eth0 -n host IP1 or host IP2". Verá o
> pacote chegando de IP1 e com destino a IP2. Agora troque eth0 por eth1 e
> depois por tun0 para ver em por qual interface ele está saindo e se houve
> troca de IP (NAT).
>
> Se houve troca de IP, então deve ter alguma regra iptables com
> SNAT ou MASQUERADE fazendo isso, tente tirar esta regra.
>
> Se sair por eth1 (internet) em vez de tun0 (vpn), então tem
> problema no roteamento, ele está sendo roteado para a interface errada,
> verifique sua tabela de roteamento com "route -n".
>
>
> []'s
>   Junior Polegato
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**513F6D5A.1020504@**
> juniorpolegato.com.br
>
>


-- 
Jorge Quitério
IT Specialist
unix.co.ao
Linux User: #533142
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Jorge Quiterio]

Ricardo,

Firewall1
tun0: 10.9.0.1
eth1: 172.16.0.8/16

Lan1: 172.16.0.0/16

Firewall2
tun0: 10.9.0.2
eth1: 172.17.0.1/16

Lan2: 172.17.0.0/16


Obrigado




No dia 12 de Março de 2013 à19 16:24, Ricardo César
escreveu:

> Como estão as configurações de IP.
>
> Me diga quais os IPs da interface TUN do firewall 1 e 2 e o ip da
> interfaces de rede do firewall ligado a LAN1 e LAN2
>
> -->>®!©@®dø<<--
> --
> TECNOLOGIA EM REDES DE COMPUTADORES.
> PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
> LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
> NÃO SEJA PRÁTICO, SEJA EFICIENTE!
> USE A FORÇA, OLHE OS FONTES!
> **
>
>   --
> *De:* Jorge Quiterio 
> *Para:* d-u-p 
> *Enviadas:* Terça-feira, 12 de Março de 2013 8:19
> *Assunto:* iptables openvpn
>
> Bom a todos!!!
>
> Tenho dois sites ligados via openvpn.
>
> nesses dois sites há um firewall configurados para trabalharem como gatway
> para internet...
>
>
> mais ou menos assim
>
> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>
> em Firewall 1 e em Firewall 2... existem três interfaces:
> eth0 - local
> eth1 - internet
> tun0 - vpn
>
> em Cada Firewall tenho...
>
> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>
> Consigo...:
>
> Pingar entre as interfaces tun0 das duas máquinas...
> Pingar entre as interfaces eth1 das duas máquinas..
>
>
> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
> comuniquem
>
> Alguém tem alguma dica?
>
>
> Obrigado
>
> --
> Jorge Quitério
> IT Specialist
> unix.co.ao
> Linux User: #533142
> jquiteri...@gmail.com
> +244 927 161 667
>
>
>
>
>


-- 
Jorge Quitério
IT Specialist
unix.co.ao
Linux User: #533142
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Linux - Junior Polegato]

Jorge,

Você vai ter que seguir o pacote para saber o que está havendo...

Vai na máquina IP1 que está em LAN1 e execute "ping IP2", onde 
IP2 é da LAN2, veja que LAN1 e LAN2 precisam ser LANs distintas.


No FW1 execute "tcpdump -i eth0 -n host IP1 or host IP2". Verá 
o pacote chegando de IP1 e com destino a IP2. Agora troque eth0 por eth1 
e depois por tun0 para ver em por qual interface ele está saindo e se 
houve troca de IP (NAT).


Se houve troca de IP, então deve ter alguma regra iptables com 
SNAT ou MASQUERADE fazendo isso, tente tirar esta regra.


Se sair por eth1 (internet) em vez de tun0 (vpn), então tem 
problema no roteamento, ele está sendo roteado para a interface errada, 
verifique sua tabela de roteamento com "route -n".


[]'s
  Junior Polegato


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/513f6d5a.1020...@juniorpolegato.com.br

Re: iptables openvpn

[Ricardo César]

Como estão as configurações de IP.

Me diga quais os IPs da interface TUN do firewall 1 e 2 e o ip da interfaces de 
rede do firewall ligado a LAN1 e LAN2

 
-->>®!©@®dø<<--

TECNOLOGIA EM REDES DE COMPUTADORES.
PÓS GRADUANDO EM SISTEMAS DE INFORMAÇÃO
LIVRE POR NECESSIDADE, LINUX POR OPÇÃO!
NÃO SEJA PRÁTICO, SEJA EFICIENTE!
USE A FORÇA, OLHE OS FONTES!




 De: Jorge Quiterio 
Para: d-u-p  
Enviadas: Terça-feira, 12 de Março de 2013 8:19
Assunto: iptables openvpn
 

Bom a todos!!!

Tenho dois sites ligados via openvpn.

nesses dois sites há um firewall configurados para trabalharem como gatway para 
internet...



mais ou menos assim


LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2


em Firewall 1 e em Firewall 2... existem três interfaces:

eth0 - local

eth1 - internet

tun0 - vpn


em Cada Firewall tenho...


route add -net LAN[1,2]/24 gw tun0IP dev tun0


Consigo...:


Pingar entre as interfaces tun0 das duas máquinas...

Pingar entre as interfaces eth1 das duas máquinas..



No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se comuniquem


Alguém tem alguma dica?



Obrigado


-- 
Jorge Quitério
IT Specialist
unix.co.ao

Linux User: #533142 
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Jorge Quiterio]

Paulo dessa forma não está a funcionar

Já tenho a regra "iptables -P FORWARD.. mas configurado com DROP".

com "iptables -A FORWARD -s LAN1 -d LAN2 -j ACCEPT e iptables -A FORWARD -s
LAN2 -d LAN1 -j ACCEPT" não tá a funcionar


obrigado


No dia 12 de Março de 2013 à31 11:34, paulo bruck
escreveu:

> sim
>
> se vc fez um firewall restritivo vc deve liberar o forward entre as 2
> redes:
>
> iptables -A FORWARD -s LAN1 -d LAN2 -j ACCEPT
> iptables -A FORWARD -s LAN2 -d LAN1 -j ACCEPT
>
> se vc estiver usando conntrack pode usar somemte uma das regras acima.
>
> Na dúvida sete provisoriamente a politica como ACCEPT
>
> iptables -P FORWARD ACCEPT
>
> e veja se vc consegue ver o trafego passando de uma rede a outra.
>
>
> obviamente vc já setou o ip_forward como 1 ( vim /etc/sysctl.conf)..80)
>
> []s
>
> Em 12 de março de 2013 08:19, Jorge Quiterio 
> escreveu:
> > Bom a todos!!!
> >
> > Tenho dois sites ligados via openvpn.
> >
> > nesses dois sites há um firewall configurados para trabalharem como
> gatway
> > para internet...
> >
> >
> > mais ou menos assim
> >
> > LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
> >
> > em Firewall 1 e em Firewall 2... existem três interfaces:
> > eth0 - local
> > eth1 - internet
> > tun0 - vpn
> >
> > em Cada Firewall tenho...
> >
> > route add -net LAN[1,2]/24 gw tun0IP dev tun0
> >
> > Consigo...:
> >
> > Pingar entre as interfaces tun0 das duas máquinas...
> > Pingar entre as interfaces eth1 das duas máquinas..
> >
> >
> > No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
> > comuniquem
> >
> > Alguém tem alguma dica?
> >
> >
> > Obrigado
> >
> > --
> > Jorge Quitério
> > IT Specialist
> > unix.co.ao
> > Linux User: #533142
> > jquiteri...@gmail.com
> > +244 927 161 667
> >
> >
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/cansgrxs7wgzqkykbn_ccs9phuranwkghdjes-+l6qxhq...@mail.gmail.com
>
>


-- 
Jorge Quitério
IT Specialist
unix.co.ao
Linux User: #533142
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Jorge Quiterio]

Junior,

O problema está ai "encontrar"

Entra os FWs, ele encontra...

Mas as máquinas dos usuários não encontram...

Os FW tmbm servem de gateway para internet... então há uma regra route add
defult gw IP_ISP...

O que acontece é que quando a máquina na LAN1 pede (ao firewall) para
contactar a outra máquina na LAN2 o firewall vai encaminha-lo para a
internet

Acho ke é isso ke acontece


No dia 12 de Março de 2013 à2 11:46, Linux - Junior Polegato <
li...@juniorpolegato.com.br> escreveu:

> Em 12-03-2013 08:19, Jorge Quiterio escreveu:
>
>  Bom a todos!!!
>> Tenho dois sites ligados via openvpn.
>> nesses dois sites há um firewall configurados para trabalharem como
>> gatway para internet...
>> mais ou menos assim
>> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>> em Firewall 1 e em Firewall 2... existem três interfaces:
>> eth0 - local
>> eth1 - internet
>> tun0 - vpn
>> em Cada Firewall tenho...
>> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>> Consigo...:
>> Pingar entre as interfaces tun0 das duas máquinas...
>> Pingar entre as interfaces eth1 das duas máquinas..
>> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
>> comuniquem
>> Alguém tem alguma dica?
>> Obrigado
>>
>
> Olá!
>
> Pense no caminho do pacote, ele deve sair de IP1 (na LAN1) para
> IP2 (na LAN2). Então o pacote sai de IP1 e vai para FW1, onde encontra a
> regra "route add -net LAN2/24 gw TUN2 dev tun0", assim ele sai via tun0 de
> FW1 em destino ao FW2, para o IP de TUN2 (IP de tun0 em FW2). Em FW2 ele
> deve encontrar a regra "route add -net LAN2/24 dev eth0", então ele sai
> pela eth0 de FW2 em direção à rede LAN2, onde encontra IP2.
>
> Na volta, ele sai de IP2 em direção à IP1, chega em FW2, encontra
> a regra "route add -net LAN1/24 gw TUN1 dev tun0", sai por tun0 de FW2 e
> chega em FW1, onde encontra o regra "route add -net LAN1/24 dev eth0", sai
> pela eth0 de FW1 e direção à LAN1 e encontra o IP1.
>
> Verifique nos FWs os pacotes de chegam e saem utilizando wireshark
> ou tcpdump com o filtro "-i any -n host IP2 or host IP2".
>
>
> []'s
>   Junior Polegato
>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**513F157A.60809@juniorpolegato.**com.br
>
>


-- 
Jorge Quitério
IT Specialist
unix.co.ao
Linux User: #533142
jquiteri...@gmail.com
+244 927 161 667

Re: iptables openvpn

[Linux - Junior Polegato]

Em 12-03-2013 08:19, Jorge Quiterio escreveu:

Bom a todos!!!
Tenho dois sites ligados via openvpn.
nesses dois sites há um firewall configurados para trabalharem como 
gatway para internet...

mais ou menos assim
LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
em Firewall 1 e em Firewall 2... existem três interfaces:
eth0 - local
eth1 - internet
tun0 - vpn
em Cada Firewall tenho...
route add -net LAN[1,2]/24 gw tun0IP dev tun0
Consigo...:
Pingar entre as interfaces tun0 das duas máquinas...
Pingar entre as interfaces eth1 das duas máquinas..
No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se 
comuniquem

Alguém tem alguma dica?
Obrigado


Olá!

Pense no caminho do pacote, ele deve sair de IP1 (na LAN1) para 
IP2 (na LAN2). Então o pacote sai de IP1 e vai para FW1, onde encontra a 
regra "route add -net LAN2/24 gw TUN2 dev tun0", assim ele sai via tun0 
de FW1 em destino ao FW2, para o IP de TUN2 (IP de tun0 em FW2). Em FW2 
ele deve encontrar a regra "route add -net LAN2/24 dev eth0", então ele 
sai pela eth0 de FW2 em direção à rede LAN2, onde encontra IP2.


Na volta, ele sai de IP2 em direção à IP1, chega em FW2, 
encontra a regra "route add -net LAN1/24 gw TUN1 dev tun0", sai por tun0 
de FW2 e chega em FW1, onde encontra o regra "route add -net LAN1/24 dev 
eth0", sai pela eth0 de FW1 e direção à LAN1 e encontra o IP1.


Verifique nos FWs os pacotes de chegam e saem utilizando 
wireshark ou tcpdump com o filtro "-i any -n host IP2 or host IP2".



[]'s
  Junior Polegato


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/513f157a.60...@juniorpolegato.com.br

Re: iptables openvpn

[Fábio Rabelo]

Bom dia ..

Minha configuração não é exatamente igual a sua, mas bem parecida .

Eu tive MUITA dor de cabeça para fazer isto funcionar, o que me ajudou foi
este tutorial :

http://www.shorewall.net/OPENVPN.html

Em tempo, eu já era usuário do Shorewall antes disto, todos os meus
servidores fazem uso dele !


Fábio Rabelo



Em 12 de março de 2013 08:19, Jorge Quiterio escreveu:

> Bom a todos!!!
>
> Tenho dois sites ligados via openvpn.
>
> nesses dois sites há um firewall configurados para trabalharem como gatway
> para internet...
>
>
> mais ou menos assim
>
> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>
> em Firewall 1 e em Firewall 2... existem três interfaces:
> eth0 - local
> eth1 - internet
> tun0 - vpn
>
> em Cada Firewall tenho...
>
> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>
> Consigo...:
>
> Pingar entre as interfaces tun0 das duas máquinas...
> Pingar entre as interfaces eth1 das duas máquinas..
>
>
> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
> comuniquem
>
> Alguém tem alguma dica?
>
>
> Obrigado
>
> --
> Jorge Quitério
> IT Specialist
> unix.co.ao
> Linux User: #533142
> jquiteri...@gmail.com
> +244 927 161 667
>
>
>

Re: iptables openvpn

[paulo bruck]

sim

se vc fez um firewall restritivo vc deve liberar o forward entre as 2 redes:

iptables -A FORWARD -s LAN1 -d LAN2 -j ACCEPT
iptables -A FORWARD -s LAN2 -d LAN1 -j ACCEPT

se vc estiver usando conntrack pode usar somemte uma das regras acima.

Na dúvida sete provisoriamente a politica como ACCEPT

iptables -P FORWARD ACCEPT

e veja se vc consegue ver o trafego passando de uma rede a outra.


obviamente vc já setou o ip_forward como 1 ( vim /etc/sysctl.conf)..80)

[]s

Em 12 de março de 2013 08:19, Jorge Quiterio  escreveu:
> Bom a todos!!!
>
> Tenho dois sites ligados via openvpn.
>
> nesses dois sites há um firewall configurados para trabalharem como gatway
> para internet...
>
>
> mais ou menos assim
>
> LAN 1--- Firewall 1 ISP 1--- ISP2-- Firewall 2- LAN2
>
> em Firewall 1 e em Firewall 2... existem três interfaces:
> eth0 - local
> eth1 - internet
> tun0 - vpn
>
> em Cada Firewall tenho...
>
> route add -net LAN[1,2]/24 gw tun0IP dev tun0
>
> Consigo...:
>
> Pingar entre as interfaces tun0 das duas máquinas...
> Pingar entre as interfaces eth1 das duas máquinas..
>
>
> No entanto não consigo fazer com que as máquinas das LAN's 1 e 2 se
> comuniquem
>
> Alguém tem alguma dica?
>
>
> Obrigado
>
> --
> Jorge Quitério
> IT Specialist
> unix.co.ao
> Linux User: #533142
> jquiteri...@gmail.com
> +244 927 161 667
>
>


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CANSGRxS7=wgzQKyKbn_CCs9PhUrAN=w=kghdjes-+l6qxhq...@mail.gmail.com

Re: IPTables

[Linux - Junior Polegato]

Em 13-02-2013 16:58, Jorge Quiterio escreveu:

Bom dia...
Eu tenho um asterisk instalado com dois IPs (privado e público)
Os telefones funcionam dentro do privado
Os troncos no público
Várias vezes tenho notado invasão nas minhas chamadas...
Tenho configurado no público na interface eth1
x.x.40.172/255.255.254.0 
gateway: x.x.40.1
tronco x.x.42.36
A minha pergunta é a seguinte...
Como posso criar uma regra no IPTables que faça com que as conexões 
5060, e a range 1000-2000 sejam feitas somente entre o meu IP e o 
tronco

Alguém tem uma dica ?


Olá!

Creio que esteja usando portas UDP com Asterisk, então:

# Para aceitar somente IP do tronco nas portas 5060 e 1-2 UDP 
que chegam na eth com a internet:
iptatables -A INPUT -i  ! -s  -p udp -m 
multiport --dports 5060,1:2 -j REJECT


[]'s
  Junior Polegato

Re: Iptables: pinga ip externo mas não resolve nomes [Resolvido]

[Instruisto Jose]

Pessoal,
Conversando com um amigo sobre este problema ele simplesmente me perguntou se 
eu tinha o arquivo /etc/resol.conf na máquina cliente.
E eu disse que não porque achava que a resolução de nomes seria feita pelo 
servidor usando o /etc/resolv.conf do servidor.
Portanto bastou criar um resolv.conf (8.8.8.8 e 8.8.4.4) na máquina cliente e o 
problema foi resolvido.
Agora o compartilhamento do acesso à Internet está OK.
Obrigado pela atenção,Markoswww.c2o.pro.br

--- Em qua, 24/10/12, Instruisto Jose  escreveu:

De: Instruisto Jose 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: debian-user-portuguese@lists.debian.org, "Bryan Magalhães" 

Cc: debian-user-portuguese@lists.debian.org
Data: Quarta-feira, 24 de Outubro de 2012, 11:22

Bom Dia Bryan,

Pingando um nome a partir do seu servidor ele responde?

Sim. No servidor ele reponde, apenas no cliente não resolve.

Como está configurado o seu resolv.conf?

O resolv.conf é criado dinâmicamente toda vez que é criada uma conexão ppp0 
pelo modem USB, com os DNS fornecidos pela VIVO.

Voce tem um servidor DHCP na rede? Se sim, configurou para atribuição de DNS?

Não. Não tenho servidor DHCP. Usei IP fixo para todas as máquinas.

Só vou ter chance de voltar a mexer na rede no próximo final de semana.

Você sugere algum um script simples para o iptables?

Estou tentando documentar a montagem desta rede na página:

http://www.c2o.pro.br/inf/pimentel/index.html

Obrigado pela atenção,
Markos
www.c2o.pro.br
--- Em seg, 22/10/12, Bryan Magalhães
  escreveu:

De: Bryan Magalhães 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: debian-user-portuguese@lists.debian.org
Cc: debian-user-portuguese@lists.debian.org
Data: Segunda-feira, 22 de Outubro de 2012, 16:09

Pingando um nome a partir do seu servidor ele responde?
Como está configurado o seu resolv.conf?
Voce tem um servidor DHCP na rede? Se sim, configurou para atribuição de DNS?

Abraço.



Em 22 de outubro de 2012 15:53, Marcos Carraro  
escreveu:

porta 53 é dns assim tu verifica se ta ou não conseguindo conectar em algum 
servidor DNS externo.



Se conectar tem que resolver nome, se não conectar não consegue resolver nome.




--Att


Marcos Carraromarcoscarraro.blogspot.com






Em 22 de outubro de 2012 13:41, Instruisto Jose  
escreveu:




Bom Dia Marcos,

Obrigado pela dica, mas confesso que não entendi.

Me desculpe ma sou novato em redes e principalmente iptables.




O que você está sugerindo?

O comando telnet 8.8.8.8 53 serviria para tentar uma conexão telnet com o DNS 
da Google pela porta 53?

E o que você está querendo dizer com:  dns 





Obrigado,
Markos
www.c2o.pro.br
--- Em dom, 21/10/12, Marcos Carraro  escreveu:




De: Marcos Carraro
 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: "Instruisto Jose" 



Cc: debian-user-portuguese@lists.debian.org
Data: Domingo, 21 de Outubro de 2012, 15:00

telnet 8.8.8.8 53



dns 









--AttMarcos Carraro




marcoscarraro.blogspot.com



Em 21 de outubro de 2012 14:56, Instruisto Jose  
escreveu:








Bom Dia Amigos,
Estou tentando habilitar o compartilhamento à Internet com iptables em uma rede 
pequena (6 máquinas) mas estou tendo problemas.


O servidor conecta na Internet pelo modem USB (ppp0) e estou rodando o seguinte 
script de firewall:
#!/bin/bash

iniciar(){




echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
LOG \
--log-prefix "FIREWALL: tent. conexao ext."

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
DROP




iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

}

parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"



}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac


O cliente pinga o ip do servidor e até ip
 externo (8.8.8.8 etc)mas não resolve nomes.
ping www.google.com

retornaping: unknow host www.google.com
Alguém poderia me dar algumas dicas?Será que é alguma regra do firewall que 
estã atrapalhando?




Obrigado,Markoswww.c2o.pro.br






-- 
Bryan Magalhães Silva

Re: Iptables: pinga ip externo mas não resolve nomes

[Instruisto Jose]

Bom Dia Bryan,

Pingando um nome a partir do seu servidor ele responde?

Sim. No servidor ele reponde, apenas no cliente não resolve.

Como está configurado o seu resolv.conf?

O resolv.conf é criado dinâmicamente toda vez que é criada uma conexão ppp0 
pelo modem USB, com os DNS fornecidos pela VIVO.

Voce tem um servidor DHCP na rede? Se sim, configurou para atribuição de DNS?

Não. Não tenho servidor DHCP. Usei IP fixo para todas as máquinas.

Só vou ter chance de voltar a mexer na rede no próximo final de semana.

Você sugere algum um script simples para o iptables?

Estou tentando documentar a montagem desta rede na página:

http://www.c2o.pro.br/inf/pimentel/index.html

Obrigado pela atenção,
Markos
www.c2o.pro.br
--- Em seg, 22/10/12, Bryan Magalhães  escreveu:

De: Bryan Magalhães 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: debian-user-portuguese@lists.debian.org
Cc: debian-user-portuguese@lists.debian.org
Data: Segunda-feira, 22 de Outubro de 2012, 16:09

Pingando um nome a partir do seu servidor ele responde?
Como está configurado o seu resolv.conf?
Voce tem um servidor DHCP na rede? Se sim, configurou para atribuição de DNS?

Abraço.



Em 22 de outubro de 2012 15:53, Marcos Carraro  
escreveu:

porta 53 é dns assim tu verifica se ta ou não conseguindo conectar em algum 
servidor DNS externo.



Se conectar tem que resolver nome, se não conectar não consegue resolver nome.




--Att


Marcos Carraromarcoscarraro.blogspot.com






Em 22 de outubro de 2012 13:41, Instruisto Jose  
escreveu:




Bom Dia Marcos,

Obrigado pela dica, mas confesso que não entendi.

Me desculpe ma sou novato em redes e principalmente iptables.




O que você está sugerindo?

O comando telnet 8.8.8.8 53 serviria para tentar uma conexão telnet com o DNS 
da Google pela porta 53?

E o que você está querendo dizer com:  dns 





Obrigado,
Markos
www.c2o.pro.br
--- Em dom, 21/10/12, Marcos Carraro  escreveu:




De: Marcos Carraro
 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: "Instruisto Jose" 



Cc: debian-user-portuguese@lists.debian.org
Data: Domingo, 21 de Outubro de 2012, 15:00

telnet 8.8.8.8 53



dns 









--AttMarcos Carraro




marcoscarraro.blogspot.com



Em 21 de outubro de 2012 14:56, Instruisto Jose  
escreveu:








Bom Dia Amigos,
Estou tentando habilitar o compartilhamento à Internet com iptables em uma rede 
pequena (6 máquinas) mas estou tendo problemas.


O servidor conecta na Internet pelo modem USB (ppp0) e estou rodando o seguinte 
script de firewall:
#!/bin/bash

iniciar(){




echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
LOG \
--log-prefix "FIREWALL: tent. conexao ext."

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
DROP




iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

}

parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"



}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac


O cliente pinga o ip do servidor e até ip
 externo (8.8.8.8 etc)mas não resolve nomes.
ping www.google.com

retornaping: unknow host www.google.com
Alguém poderia me dar algumas dicas?Será que é alguma regra do firewall que 
estã atrapalhando?




Obrigado,Markoswww.c2o.pro.br






-- 
Bryan Magalhães Silva

Re: Iptables: pinga ip externo mas não resolve nomes

[Instruisto Jose]

Valeu Marcos.

Obrigado pela dica.

Markos
www.c2o.pro.br

--- Em seg, 22/10/12, Marcos Carraro  escreveu:

De: Marcos Carraro 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: debian-user-portuguese@lists.debian.org
Cc: debian-user-portuguese@lists.debian.org
Data: Segunda-feira, 22 de Outubro de 2012, 15:53

porta 53 é dns assim tu verifica se ta ou não conseguindo conectar em algum 
servidor DNS externo.


Se conectar tem que resolver nome, se não conectar não consegue resolver nome.



--Att

Marcos Carraromarcoscarraro.blogspot.com





Em 22 de outubro de 2012 13:41, Instruisto Jose  
escreveu:



Bom Dia Marcos,

Obrigado pela dica, mas confesso que não entendi.

Me desculpe ma sou novato em redes e principalmente iptables.



O que você está sugerindo?

O comando telnet 8.8.8.8 53 serviria para tentar uma conexão telnet com o DNS 
da Google pela porta 53?

E o que você está querendo dizer com:  dns 




Obrigado,
Markos
www.c2o.pro.br
--- Em dom, 21/10/12, Marcos Carraro  escreveu:



De: Marcos Carraro
 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: "Instruisto Jose" 


Cc: debian-user-portuguese@lists.debian.org
Data: Domingo, 21 de Outubro de 2012, 15:00

telnet 8.8.8.8 53


dns 








--AttMarcos Carraro



marcoscarraro.blogspot.com



Em 21 de outubro de 2012 14:56, Instruisto Jose  
escreveu:






Bom Dia Amigos,
Estou tentando habilitar o compartilhamento à Internet com iptables em uma rede 
pequena (6 máquinas) mas estou tendo problemas.


O servidor conecta na Internet pelo modem USB (ppp0) e estou rodando o seguinte 
script de firewall:
#!/bin/bash

iniciar(){



echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
LOG \
--log-prefix "FIREWALL: tent. conexao ext."

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
DROP



iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

}

parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"


}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac

O cliente pinga o ip do servidor e até ip
 externo (8.8.8.8 etc)mas não resolve nomes.
ping www.google.com

retornaping: unknow host www.google.com
Alguém poderia me dar algumas dicas?Será que é alguma regra do firewall que 
estã atrapalhando?



Obrigado,Markoswww.c2o.pro.br

Re: Iptables: pinga ip externo mas não resolve nomes

[Bryan Magalhães]

Pingando um nome a partir do seu servidor ele responde?
Como está configurado o seu resolv.conf?
Voce tem um servidor DHCP na rede? Se sim, configurou para atribuição de
DNS?

Abraço.


Em 22 de outubro de 2012 15:53, Marcos Carraro
escreveu:

> porta 53 é dns assim tu verifica se ta ou não conseguindo conectar em
> algum servidor DNS externo.
>
> Se conectar tem que resolver nome, se não conectar não consegue resolver
> nome.
>
>
> *--*
> Att
> Marcos Carraro
> marcoscarraro.blogspot.com
>
>
>
> Em 22 de outubro de 2012 13:41, Instruisto Jose 
> escreveu:
>
>
>> Bom Dia Marcos,
>>
>> Obrigado pela dica, mas confesso que não entendi.
>>
>> Me desculpe ma sou novato em redes e principalmente iptables.
>>
>> O que você está sugerindo?
>>
>> O comando telnet 8.8.8.8 53 serviria para tentar uma conexão telnet com o
>> DNS da Google pela porta 53?
>>
>> E o que você está querendo dizer com:  dns 
>>
>>
>> Obrigado,
>> Markos
>> www.c2o.pro.br
>> --- Em *dom, 21/10/12, Marcos Carraro *escreveu:
>>
>>
>> De: Marcos Carraro 
>> Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
>> Para: "Instruisto Jose" 
>> Cc: debian-user-portuguese@lists.debian.org
>> Data: Domingo, 21 de Outubro de 2012, 15:00
>>
>> telnet 8.8.8.8 53
>>
>> dns 
>>
>>
>>
>> *--*
>> Att
>> Marcos Carraro
>> marcoscarraro.blogspot.com
>>
>>
>>
>> Em 21 de outubro de 2012 14:56, Instruisto Jose 
>> http://mc/compose?to=instr...@yahoo.com.br>
>> > escreveu:
>>
>>  Bom Dia Amigos,
>>
>> Estou tentando habilitar o compartilhamento à Internet com iptables em
>> uma rede pequena (6 máquinas) mas estou tendo problemas.
>>
>> O servidor conecta na Internet pelo modem USB (ppp0) e estou rodando o
>> seguinte script de firewall:
>>
>> #!/bin/bash
>>
>> iniciar(){
>>
>>
>> echo 1 > /proc/sys/net/ipv4/ip_forward
>>
>> iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED 
>> -j LOG \
>> --log-prefix "FIREWALL: tent. conexao ext."
>>
>> iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED 
>> -j DROP
>>
>>
>> iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT
>>
>> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>>
>> }
>>
>> parar(){
>> iptables -F
>> iptables -t nat -F
>> echo "Regras de firewall e compartilhamento desativados"
>>
>>
>> }
>>
>> case "$1" in
>> "start") iniciar ;;
>> "stop") parar ;;
>> "restart") parar; iniciar ;;
>> *) echo "Use os parâmetros start ou stop"
>> esac
>>
>>
>> O cliente pinga o ip do servidor e até ip
>>  externo (8.8.8.8 etc)
>>
>> mas não resolve nomes.
>>
>>
>> ping www.google.com
>>
>> retorna
>>
>> ping: unknow host www.google.com
>>
>>
>> Alguém poderia me dar algumas dicas?
>>
>> Será que é alguma regra do firewall que estã atrapalhando?
>>
>> Obrigado,
>>
>> Markos
>>
>> www.c2o.pro.br
>>
>>
>>
>


-- 
Bryan Magalhães Silva

Re: Iptables: pinga ip externo mas não resolve nomes

[Instruisto Jose]

Bom Dia Marcos,

Obrigado pela dica, mas confesso que não entendi.

Me desculpe ma sou novato em redes e principalmente iptables.

O que você está sugerindo?

O comando telnet 8.8.8.8 53 serviria para tentar uma conexão telnet com o DNS 
da Google pela porta 53?

E o que você está querendo dizer com:  dns 


Obrigado,
Markos
www.c2o.pro.br
--- Em dom, 21/10/12, Marcos Carraro  escreveu:

De: Marcos Carraro 
Assunto: Re: Iptables: pinga ip externo mas não resolve nomes
Para: "Instruisto Jose" 
Cc: debian-user-portuguese@lists.debian.org
Data: Domingo, 21 de Outubro de 2012, 15:00

telnet 8.8.8.8 53
dns 






--AttMarcos Carraro

marcoscarraro.blogspot.com



Em 21 de outubro de 2012 14:56, Instruisto Jose  
escreveu:


Bom Dia Amigos,
Estou tentando habilitar o compartilhamento à Internet com iptables em uma rede 
pequena (6 máquinas) mas estou tendo problemas.


O servidor conecta na Internet pelo modem USB (ppp0) e estou rodando o seguinte 
script de firewall:
#!/bin/bash

iniciar(){

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
LOG \
--log-prefix "FIREWALL: tent. conexao ext."

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
DROP

iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

}

parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac
O cliente pinga o ip do servidor e até ip externo (8.8.8.8 etc)mas não resolve 
nomes.
ping www.google.com

retornaping: unknow host www.google.com
Alguém poderia me dar algumas dicas?Será que é alguma regra do firewall que 
estã atrapalhando?

Obrigado,Markoswww.c2o.pro.br

Re: Iptables: pinga ip externo mas não resolve nomes

[Mauricio Neto]

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
DROP

porque você esta usando not (!), ja tive alguns problemas com isso no iptables

por que não

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ESTABLISHED,RELATED -j 
ACCEPT



Em 21-10-2012 14:56, Instruisto Jose escreveu:

Bom Dia Amigos,

Estou tentando habilitar o compartilhamento à Internet com iptables em 
uma rede pequena (6 máquinas) mas estou tendo problemas.


O servidor conecta na Internet pelo modem USB (ppp0) e estou rodando o 
seguinte script de firewall:


#!/bin/bash

iniciar(){

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
LOG \
--log-prefix "FIREWALL: tent. conexao ext."

iptables -A FORWARD -i ppp0 -o eth0 -m state --state ! ESTABLISHED,RELATED -j 
DROP

iptables -A FORWARD -i eth0 -o ppp0 -j ACCEPT

iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

}

parar(){
iptables -F
iptables -t nat -F
echo "Regras de firewall e compartilhamento desativados"
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parâmetros start ou stop"
esac
O cliente pinga o ip do servidor e até ip externo (8.8.8.8 etc)
mas não resolve nomes.
ping www.google.com
retorna
ping: unknow host www.google.com
Alguém poderia me dar algumas dicas?
Será que é alguma regra do firewall que estã atrapalhando?
Obrigado,
Markos
www.c2o.pro.br




--
Mauricio Neto
(21)8236-2505


FREE 3D EARTH SCREENSAVER - Watch the Earth right on your desktop!
Check it out at http://www.inbox.com/earth

Re: Iptables (mangle) com HTB

[Flávio Oliveira]

Entendi,

No meu caso, preciso restringir o download (aqui é uma escola) devido ao perfil 
dos usuários. Criarei para UP e DOWNLOAD e testarei como indicou.

Obrigado por sua ajuda.

Flávio

From: Linux - Junior Polegato 
Sent: Thursday, September 27, 2012 12:10 PM
To: debian-user-portuguese@lists.debian.org 
Subject: Re: Iptables (mangle) com HTB

Em 27-09-2012 11:56, Flávio Oliveira escreveu: 
  Estou lendo o material. Tenho realmente a duvida tratado no exemplo. Para que 
o QoS funcione, tenho que trabalhar tanto no uploado quanto download? 
  Em alguns documento, vi algumas informações que somente tratando a sainda da 
minha rede (por exemplo, a eth0 q conecta com a internet) e trabalhando com o 
POSTROUNTING seria suficiente.
  Mas, isso não estava funcionando. 

  Coloquei no roteador um Wireshark para verificar se os pacotes estavam com a 
marcação no campo TOS (DSCP) do cabeçalho IPv4. Mas, nenhum apresentou as 
marcações das classes.
  Farei o teste de acordo com seu script.

Olá!

Geralmente somente o upload resolve para manter qualidade no serviço 
dos pacotes que saem via eth0 (para internet) e distribuir na rede interna o 
mais rápido possível os pacotes que chegam via eth1 (rede local).

 Mas às vezes você quer limitar a taxa de download de alguns IPs, ou 
priorizar outros (meu caso), então você limita na eth1 a velocidade de entrega 
de pacotes para esses IPs desprevilegiados, assim ele "demora" a enviar o ACK 
para o servidor que mandou o pacote, de forma que o servidor que mandou o 
pacote somente envia o próximo pacote se receber o ACK, mas isso vale apenas 
para o TCP, para o UDP já não funciona assim tão bem, pois dependerá dos 
softwares cliente/servidor, contudo abrange praticamente todos os casos.

Assim, veja que não é simples controlar o download, mas dá para por 
limites de velocidade que as máquinas da rede receberão dados da internet, 
fazendo com que eles se reeduquem para não abusar, geralmente pode-se dar uma 
taxa mínima razoável para navegar nas portas 80 e 443 e também portas 
smtp/pop/imap, e colocar lá em baixo a velocidade em outras portas.

Abraços,

Junior Polegato

Re: Iptables (mangle) com HTB

[Linux - Junior Polegato]

Em 27-09-2012 11:56, Flávio Oliveira escreveu:
Estou lendo o material. Tenho realmente a duvida tratado no exemplo. 
Para que o QoS funcione, tenho que trabalhar tanto no uploado quanto 
download?
Em alguns documento, vi algumas informações que somente tratando a 
sainda da minha rede (por exemplo, a eth0 q conecta com a internet) e 
trabalhando com o POSTROUNTING seria suficiente.

Mas, isso não estava funcionando.
Coloquei no roteador um Wireshark para verificar se os pacotes estavam 
com a marcação no campo TOS (DSCP) do cabeçalho IPv4. Mas, nenhum 
apresentou as marcações das classes.

Farei o teste de acordo com seu script.


Olá!

Geralmente somente o upload resolve para manter qualidade no 
serviço dos pacotes que saem via eth0 (para internet) e distribuir na 
rede interna o mais rápido possível os pacotes que chegam via eth1 (rede 
local).


 Mas às vezes você quer limitar a taxa de download de alguns 
IPs, ou priorizar outros (meu caso), então você limita na eth1 a 
velocidade de entrega de pacotes para esses IPs desprevilegiados, assim 
ele "demora" a enviar o ACK para o servidor que mandou o pacote, de 
forma que o servidor que mandou o pacote somente envia o próximo pacote 
se receber o ACK, mas isso vale apenas para o TCP, para o UDP já não 
funciona assim tão bem, pois dependerá dos softwares cliente/servidor, 
contudo abrange praticamente todos os casos.


Assim, veja que não é simples controlar o download, mas dá para 
por limites de velocidade que as máquinas da rede receberão dados da 
internet, fazendo com que eles se reeduquem para não abusar, geralmente 
pode-se dar uma taxa mínima razoável para navegar nas portas 80 e 443 e 
também portas smtp/pop/imap, e colocar lá em baixo a velocidade em 
outras portas.


Abraços,

Junior Polegato

Re: Iptables (mangle) com HTB

[Flávio Oliveira]

Bom dia,

Obrigado por sua atenção.
Estou lendo o material. Tenho realmente a duvida tratado no exemplo. Para que o 
QoS funcione, tenho que trabalhar tanto no uploado quanto download?
Em alguns documento, vi algumas informações que somente tratando a sainda da 
minha rede (por exemplo, a eth0 q conecta com a internet) e trabalhando com o 
POSTROUNTING seria suficiente.
Mas, isso não estava funcionando.

Coloquei no roteador um Wireshark para verificar se os pacotes estavam com a 
marcação no campo TOS (DSCP) do cabeçalho IPv4. Mas, nenhum apresentou as 
marcações das classes.

Farei o teste de acordo com seu script.

Agradeço realmente sua ajuda,

Flávio


From: Linux - Junior Polegato 
Sent: Thursday, September 27, 2012 8:54 AM
To: debian-user-portuguese@lists.debian.org 
Subject: Re: Iptables (mangle) com HTB

Em 26-09-2012 19:12, Flávio Oliveira escreveu: 
  Gostaria de saber se algum dos Srs. (rezo a Deus para que sim...hehe) usa a 
solução iptables(tabela mangle) com tc usando o HTB para QoS. 
  Estou com duvidas em como proceder com as marcações com o iptables para ser 
usado depois com os filtros criados com o TC tendo usado o HTB.
  Estou usando o Debian 6.
  É uma rede simples, 200 pontos, fazendo um nat simples no Debian. Estou 
separando em 3 classes e a partir disso, com filtros e filas criadas, estou 
tentando usar as marcações que tento fazer com o iptables.
  Estou usando o alvo MARK da mangle. 

  Caso alguem tenha essa experiência e se rolar possibilidade posso apresentar 
um esquema resumido do script pra esse controle.
  Desde já, agradeço a atenção de todos.

Olá!

Acompanhe esta thread e veja se te ajuda:

http://lists.debian.org/debian-user-portuguese/2010/10/msg00024.html


-- 

[]'s

Junior Polegato 

Re: Iptables (mangle) com HTB

[Linux - Junior Polegato]

Em 26-09-2012 19:12, Flávio Oliveira escreveu:
Gostaria de saber se algum dos Srs. (rezo a Deus para que sim...hehe) 
usa a solução iptables(tabela mangle) com tc usando o HTB para QoS.
Estou com duvidas em como proceder com as marcações com o iptables 
para ser usado depois com os filtros criados com o TC tendo usado o HTB.

Estou usando o Debian 6.
É uma rede simples, 200 pontos, fazendo um nat simples no Debian. 
Estou separando em 3 classes e a partir disso, com filtros e filas 
criadas, estou tentando usar as marcações que tento fazer com o iptables.

Estou usando o alvo MARK da mangle.
Caso alguem tenha essa experiência e se rolar possibilidade posso 
apresentar um esquema resumido do script pra esse controle.

Desde já, agradeço a atenção de todos.


Olá!

Acompanhe esta thread e veja se te ajuda:


http://lists.debian.org/debian-user-portuguese/2010/10/msg00024.html


--

[]'s

Junior Polegato

Re: iptables versus amule

[Mauricio Neto]

Adiel,
Desculpe o erro mas no firewall esta PREROUTING, ate porque POSTROUTING 
-i da erro de sintax. Eu errei na hora de transcrever o email.


Ou seja as regras no firewall estão:

iptables -t nat -A PREROUTING -i ppp0 -p tcp  --dport 4662 -j DNAT --to
192.168.10.11
iptables -t nat -A PREROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to
192.168.10.11



Em 10-09-2012 19:42, Adiel de Lima Ribeiro escreveu:

A regra Postrouting tem que ser Prerouting no seu cenário.
Faz o teste !!


On Mon, 2012-09-10 at 19:23 -0300, Mauricio Neto wrote:

Leandro
obrigado por participar da minha "luta" com o emule, vou descrever com
mais detalhes o cenário:

# regras forward
iptables -A FORWARD -m state ESTABLISHED,RELATED -j ACCEPT


# Libera emule
iptables -A FORWARD -p tcp  --dport 4662 -j ACCEPT
iptables -A FORWARD -p udp --dport 4672 -j ACCEPT

# Regras NAT


# Redirecionamento emule para host dsk-mneto
iptables -t nat -A POSTROUTING -i ppp0 -p tcp  --dport 4662 -j DNAT --to
192.168.10.11
iptables -t nat -A POSTROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to
192.168.10.11

Agora perceba abaixo que o log do firewall indica o bloqueio da
tentativa de conexão exatamente indicando a porta do servidor emule que
tentei conectar.

Sep 10 19:08:22 defiant kernel: [1482365.852091] FWR-DROPED:IN=eth1
OUT=ppp0 SRC=192.168.10.11 DST=91.200.42.46 LEN=52 TOS=0x00 PREC=0x00
TTL=127 ID=930 DF PROTO=TCP SPT=49405 DPT=1176 WINDOW=8192 RES=0x00 SYN
URGP=0

Agradecendo o interesse,

Mauricio Neto

Em 10-09-2012 16:58, Leandro Moreira escreveu:
>
> Mauricio, boa tarde!
>
> Faz tempo que nao faço regra de fw, mas depois q te respondi vi q
> escrevi bobagem , alem de liberar no input/output, tdm q fazer um nat
> para q o emule funcione.
> Att
>
> Em 10/09/2012 15:01, "Mauricio Neto" mailto:mn...@inbox.com>  
> > escreveu:

>
> Leandro,
> No emule as portas estão definidas como padrão (4662 e 4762) e
> efetuei as permissões (regra forward) no iptables conforme
> expliquei no meu email.
>
> Obrigado
>
> Mauricio Neto
>
> Em 08-09-2012 19:16, Leandro Moreira escreveu:
>>
>> vai no emule e seta a porta q vc abriu no sei fw que resolve.
>>
>> Em 08/09/2012 18:49, "Mauricio Neto" mailto:mn...@inbox.com>
>> > escreveu:
>>
>> Amigos da lista boa noite
>>
>> Configurei meu firewall (iptables) de forma restritiva
>> (default de todas as regras drop) liberando apenas conforme a
>> necessidade. Tudo tem funcionando sem problemas inclusive msn
>> e outros, mas ando "apanhando" para liberar o emule.
>>
>> Apliquei as regras de forward para as portas tcp 4662 e udp
>> 4762 e meu modem ADSL esta em modo bridge.
>>
>> Uma coisa que percebo no log do iptables é que ele faz menção
>> as portas do servidor que ele esta tentando conectar, exemplo
>> o eDonkeyServer utiliza a porta 4242 e exatamente é essa a
>> informação que obtenho no log do iptables informando que
>> bloqueou a conexão da porta 4242 e não vejo qualquer menção
>> as portas 4662 ou 4762, mesmo retirando as regras de
>> liberação para essas portas.
>>
>> Agradeço a atenção
>>
>> Mauricio Neto
>>
>> 
>> GET FREE SMILEYS FOR YOUR IM & EMAIL - Learn more at
>>http://www.inbox.com/smileys
>> Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®,
>> Google TalkT and most webmails
>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to
>>debian-user-portuguese-requ...@lists.debian.org  

>> 
>> with a subject of "unsubscribe". Trouble? Contact
>>listmas...@lists.debian.org    

>> Archive:http://lists.debian.org/504bbd63.10...@inbox.com
>>
>
> 
> Smileys Preview 
> *Get Free Smileys for Your IM & Email* - Learn more at
>www.crawler.com/smileys    

> Works with AIM^® , MSN^® Messenger, Yahoo!^® Messenger, ICQ^® ,
> Google Talk^T and most webmails
>


FREE ONLINE PHOTOSHARING - Share your photos online with your friends and 
family!
Visithttp://www.inbox.com/photosharing  to find out more!


--
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info




FREE 3D MARINE AQUARIUM SCREENSAVER - Watch dolphins, sharks & orcas on your 
desktop!
Check it out at http://www.inbox.com/marineaquarium

Re: iptables versus amule

[Adiel de Lima Ribeiro]

A regra Postrouting tem que ser Prerouting no seu cenário. 
Faz o teste !!


On Mon, 2012-09-10 at 19:23 -0300, Mauricio Neto wrote:

> Leandro
> obrigado por participar da minha "luta" com o emule, vou descrever com 
> mais detalhes o cenário:
> 
> # regras forward
> iptables -A FORWARD -m state ESTABLISHED,RELATED -j ACCEPT
> 
> 
> # Libera emule
> iptables -A FORWARD -p tcp  --dport 4662 -j ACCEPT
> iptables -A FORWARD -p udp --dport 4672 -j ACCEPT
> 
> # Regras NAT
> 
> 
> # Redirecionamento emule para host dsk-mneto
> iptables -t nat -A POSTROUTING -i ppp0 -p tcp  --dport 4662 -j DNAT --to 
> 192.168.10.11
> iptables -t nat -A POSTROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to 
> 192.168.10.11
> 
> Agora perceba abaixo que o log do firewall indica o bloqueio da 
> tentativa de conexão exatamente indicando a porta do servidor emule que 
> tentei conectar.
> 
> Sep 10 19:08:22 defiant kernel: [1482365.852091] FWR-DROPED:IN=eth1 
> OUT=ppp0 SRC=192.168.10.11 DST=91.200.42.46 LEN=52 TOS=0x00 PREC=0x00 
> TTL=127 ID=930 DF PROTO=TCP SPT=49405 DPT=1176 WINDOW=8192 RES=0x00 SYN 
> URGP=0
> 
> Agradecendo o interesse,
> 
> Mauricio Neto
> 
> Em 10-09-2012 16:58, Leandro Moreira escreveu:
> >
> > Mauricio, boa tarde!
> >
> > Faz tempo que nao faço regra de fw, mas depois q te respondi vi q 
> > escrevi bobagem , alem de liberar no input/output, tdm q fazer um nat 
> > para q o emule funcione.
> > Att
> >
> > Em 10/09/2012 15:01, "Mauricio Neto"  > > escreveu:
> >
> > Leandro,
> > No emule as portas estão definidas como padrão (4662 e 4762) e
> > efetuei as permissões (regra forward) no iptables conforme
> > expliquei no meu email.
> >
> > Obrigado
> >
> > Mauricio Neto
> >
> > Em 08-09-2012 19:16, Leandro Moreira escreveu:
> >>
> >> vai no emule e seta a porta q vc abriu no sei fw que resolve.
> >>
> >> Em 08/09/2012 18:49, "Mauricio Neto"  >> > escreveu:
> >>
> >> Amigos da lista boa noite
> >>
> >> Configurei meu firewall (iptables) de forma restritiva
> >> (default de todas as regras drop) liberando apenas conforme a
> >> necessidade. Tudo tem funcionando sem problemas inclusive msn
> >> e outros, mas ando "apanhando" para liberar o emule.
> >>
> >> Apliquei as regras de forward para as portas tcp 4662 e udp
> >> 4762 e meu modem ADSL esta em modo bridge.
> >>
> >> Uma coisa que percebo no log do iptables é que ele faz menção
> >> as portas do servidor que ele esta tentando conectar, exemplo
> >> o eDonkeyServer utiliza a porta 4242 e exatamente é essa a
> >> informação que obtenho no log do iptables informando que
> >> bloqueou a conexão da porta 4242 e não vejo qualquer menção
> >> as portas 4662 ou 4762, mesmo retirando as regras de
> >> liberação para essas portas.
> >>
> >> Agradeço a atenção
> >>
> >> Mauricio Neto
> >>
> >> 
> >> GET FREE SMILEYS FOR YOUR IM & EMAIL - Learn more at
> >> http://www.inbox.com/smileys
> >> Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®,
> >> Google TalkT and most webmails
> >>
> >>
> >>
> >> -- 
> >> To UNSUBSCRIBE, email to
> >> debian-user-portuguese-requ...@lists.debian.org
> >> 
> >> with a subject of "unsubscribe". Trouble? Contact
> >> listmas...@lists.debian.org 
> >> Archive: http://lists.debian.org/504bbd63.10...@inbox.com
> >>
> >
> > 
> > Smileys Preview 
> > *Get Free Smileys for Your IM & Email* - Learn more at
> > www.crawler.com/smileys 
> > Works with AIM^® , MSN^® Messenger, Yahoo!^® Messenger, ICQ^® ,
> > Google Talk^T and most webmails
> >
> 
> 
> FREE ONLINE PHOTOSHARING - Share your photos online with your friends and 
> family!
> Visit http://www.inbox.com/photosharing to find out more!


-- 
Adiel de Lima Ribeiro
facebook.com/sembr.dyndns.info

Re: iptables versus amule

[Mauricio Neto]

Leandro
obrigado por participar da minha "luta" com o emule, vou descrever com 
mais detalhes o cenário:


# regras forward
iptables -A FORWARD -m state ESTABLISHED,RELATED -j ACCEPT


# Libera emule
iptables -A FORWARD -p tcp  --dport 4662 -j ACCEPT
iptables -A FORWARD -p udp --dport 4672 -j ACCEPT

# Regras NAT


# Redirecionamento emule para host dsk-mneto
iptables -t nat -A POSTROUTING -i ppp0 -p tcp  --dport 4662 -j DNAT --to 
192.168.10.11
iptables -t nat -A POSTROUTING -i ppp0 -p udp --dport 4672 -j DNAT --to 
192.168.10.11


Agora perceba abaixo que o log do firewall indica o bloqueio da 
tentativa de conexão exatamente indicando a porta do servidor emule que 
tentei conectar.


Sep 10 19:08:22 defiant kernel: [1482365.852091] FWR-DROPED:IN=eth1 
OUT=ppp0 SRC=192.168.10.11 DST=91.200.42.46 LEN=52 TOS=0x00 PREC=0x00 
TTL=127 ID=930 DF PROTO=TCP SPT=49405 DPT=1176 WINDOW=8192 RES=0x00 SYN 
URGP=0


Agradecendo o interesse,

Mauricio Neto

Em 10-09-2012 16:58, Leandro Moreira escreveu:


Mauricio, boa tarde!

Faz tempo que nao faço regra de fw, mas depois q te respondi vi q 
escrevi bobagem , alem de liberar no input/output, tdm q fazer um nat 
para q o emule funcione.

Att

Em 10/09/2012 15:01, "Mauricio Neto" > escreveu:


Leandro,
No emule as portas estão definidas como padrão (4662 e 4762) e
efetuei as permissões (regra forward) no iptables conforme
expliquei no meu email.

Obrigado

Mauricio Neto

Em 08-09-2012 19:16, Leandro Moreira escreveu:


vai no emule e seta a porta q vc abriu no sei fw que resolve.

Em 08/09/2012 18:49, "Mauricio Neto" mailto:mn...@inbox.com>> escreveu:

Amigos da lista boa noite

Configurei meu firewall (iptables) de forma restritiva
(default de todas as regras drop) liberando apenas conforme a
necessidade. Tudo tem funcionando sem problemas inclusive msn
e outros, mas ando "apanhando" para liberar o emule.

Apliquei as regras de forward para as portas tcp 4662 e udp
4762 e meu modem ADSL esta em modo bridge.

Uma coisa que percebo no log do iptables é que ele faz menção
as portas do servidor que ele esta tentando conectar, exemplo
o eDonkeyServer utiliza a porta 4242 e exatamente é essa a
informação que obtenho no log do iptables informando que
bloqueou a conexão da porta 4242 e não vejo qualquer menção
as portas 4662 ou 4762, mesmo retirando as regras de
liberação para essas portas.

Agradeço a atenção

Mauricio Neto


GET FREE SMILEYS FOR YOUR IM & EMAIL - Learn more at
http://www.inbox.com/smileys
Works with AIM®, MSN® Messenger, Yahoo!® Messenger, ICQ®,
Google TalkT and most webmails



-- 
To UNSUBSCRIBE, email to

debian-user-portuguese-requ...@lists.debian.org

with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org 
Archive: http://lists.debian.org/504bbd63.10...@inbox.com




Smileys Preview 
*Get Free Smileys for Your IM & Email* - Learn more at
www.crawler.com/smileys 
Works with AIM^® , MSN^® Messenger, Yahoo!^® Messenger, ICQ^® ,
Google Talk^T and most webmails




FREE ONLINE PHOTOSHARING - Share your photos online with your friends and 
family!
Visit http://www.inbox.com/photosharing to find out more!

Re: iptables - A novela

[Gabriel Ricardo]

essa navegação, é via squid ou é forward/nat puro??

Atenciosamente,
*Gabriel Ricardo.*
www.tinotapa.com.br



Em 20 de agosto de 2012 14:08, Marcos Carraro
escreveu:

> Esqueci, utiliza do comando tracert para saber por qual GW a rede esta
> saindo;
>
>  *--*
> Att
> Marcos Carraro
> marcoscarraro.blogspot.com
>
>
>
> Em 20 de agosto de 2012 14:08, Marcos Carraro 
> escreveu:
>
> Qual é o gateway default do teu server?
>>
>> Já fiz este tipo de roteamento.
>>
>> Utilizei o proprio comando ip.
>>
>> É simlpes, tu não precisa criar rotas para as duas redes, apenas a rede
>> que vai sair pelo GW2, pois o servidor estara saindo pelo gw1, então
>> obviamente uma das redes utilizara a tabela de roteamento padrão do linux e
>> saira pelo GW1 já a otura rede vai sair pela roda do GW2.
>>
>> http://linux-ip.net/html/tools-ip-route.html
>>
>> http://under-linux.org/f96/definindo-dois-gateways-usando-iproute-70735/
>>
>> Abraços
>>
>> *--*
>> Att
>>  Marcos Carraro
>> marcoscarraro.blogspot.com
>>
>>
>>
>> 2012/8/20 Márcio Erli 
>>
>>> Não consigo navegar da minha rede 192.160.7.0/24 de forma alguma.
>>> O que pode estar errado?
>>>
>>>
>>> IF_LAN='eth3'
>>> IF_LINK1='eth1'
>>> IF_LINK2='eth2'
>>>
>>> GW_LINK1='200.235.xxx.xx'
>>> GW_LINK2='200.195.xxx.xx'
>>>
>>> iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE
>>>  iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE
>>>
>>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK
>>> --set-mark 2
>>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK
>>> --set-mark 2
>>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK
>>> --set-mark 3
>>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK
>>> --set-mark 3
>>>
>>> iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2
>>> iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
>>> iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 3
>>> iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 3
>>>
>>> ip rule add fwmark 2 table 20 prio 20
>>> ip rule add fwmark 3 table 21 prio 20
>>>
>>> ip rule add from 192.160.7.0/24 table 20
>>>
>>> # ip rule add from 192.170.0.0/24 table 21
>>>
>>> ip route add default via $GW_LINK1 dev $IF_LINK1 table 20
>>> ip route add default via $GW_LINK2 dev $IF_LINK2 table 21
>>>
>>> ip route flush cache
>>>
>>>
>>
>

Re: iptables - A novela

[Marcos Carraro]

Esqueci, utiliza do comando tracert para saber por qual GW a rede esta
saindo;

*--*
Att
Marcos Carraro
marcoscarraro.blogspot.com



Em 20 de agosto de 2012 14:08, Marcos Carraro
escreveu:

> Qual é o gateway default do teu server?
>
> Já fiz este tipo de roteamento.
>
> Utilizei o proprio comando ip.
>
> É simlpes, tu não precisa criar rotas para as duas redes, apenas a rede
> que vai sair pelo GW2, pois o servidor estara saindo pelo gw1, então
> obviamente uma das redes utilizara a tabela de roteamento padrão do linux e
> saira pelo GW1 já a otura rede vai sair pela roda do GW2.
>
> http://linux-ip.net/html/tools-ip-route.html
>
> http://under-linux.org/f96/definindo-dois-gateways-usando-iproute-70735/
>
> Abraços
>
> *--*
> Att
>  Marcos Carraro
> marcoscarraro.blogspot.com
>
>
>
> 2012/8/20 Márcio Erli 
>
>> Não consigo navegar da minha rede 192.160.7.0/24 de forma alguma.
>> O que pode estar errado?
>>
>>
>> IF_LAN='eth3'
>> IF_LINK1='eth1'
>> IF_LINK2='eth2'
>>
>> GW_LINK1='200.235.xxx.xx'
>> GW_LINK2='200.195.xxx.xx'
>>
>> iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE
>>  iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE
>>
>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK
>> --set-mark 2
>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK
>> --set-mark 2
>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK
>> --set-mark 3
>> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK
>> --set-mark 3
>>
>> iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2
>> iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
>> iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 3
>> iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 3
>>
>> ip rule add fwmark 2 table 20 prio 20
>> ip rule add fwmark 3 table 21 prio 20
>>
>> ip rule add from 192.160.7.0/24 table 20
>>
>> # ip rule add from 192.170.0.0/24 table 21
>>
>> ip route add default via $GW_LINK1 dev $IF_LINK1 table 20
>> ip route add default via $GW_LINK2 dev $IF_LINK2 table 21
>>
>> ip route flush cache
>>
>>
>

Re: iptables - A novela

[Marcos Carraro]

Qual é o gateway default do teu server?

Já fiz este tipo de roteamento.

Utilizei o proprio comando ip.

É simlpes, tu não precisa criar rotas para as duas redes, apenas a rede que
vai sair pelo GW2, pois o servidor estara saindo pelo gw1, então obviamente
uma das redes utilizara a tabela de roteamento padrão do linux e saira pelo
GW1 já a otura rede vai sair pela roda do GW2.

http://linux-ip.net/html/tools-ip-route.html

http://under-linux.org/f96/definindo-dois-gateways-usando-iproute-70735/

Abraços

*--*
Att
Marcos Carraro
marcoscarraro.blogspot.com



2012/8/20 Márcio Erli 

> Não consigo navegar da minha rede 192.160.7.0/24 de forma alguma.
> O que pode estar errado?
>
>
> IF_LAN='eth3'
> IF_LINK1='eth1'
> IF_LINK2='eth2'
>
> GW_LINK1='200.235.xxx.xx'
> GW_LINK2='200.195.xxx.xx'
>
> iptables -t nat -A POSTROUTING -o $IF_LINK1 -j MASQUERADE
>  iptables -t nat -A POSTROUTING -o $IF_LINK2 -j MASQUERADE
>
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j MARK
> --set-mark 2
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 443 -j MARK
> --set-mark 2
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 25 -j MARK
> --set-mark 3
> iptables -t mangle -A PREROUTING -i $IF_LAN -p tcp --dport 110 -j MARK
> --set-mark 3
>
> iptables -t mangle -A OUTPUT -p tcp --dport 80 -j MARK --set-mark 2
> iptables -t mangle -A OUTPUT -p tcp --dport 443 -j MARK --set-mark 2
> iptables -t mangle -A OUTPUT -p tcp --dport 25 -j MARK --set-mark 3
> iptables -t mangle -A OUTPUT -p tcp --dport 110 -j MARK --set-mark 3
>
> ip rule add fwmark 2 table 20 prio 20
> ip rule add fwmark 3 table 21 prio 20
>
> ip rule add from 192.160.7.0/24 table 20
>
> # ip rule add from 192.170.0.0/24 table 21
>
> ip route add default via $GW_LINK1 dev $IF_LINK1 table 20
> ip route add default via $GW_LINK2 dev $IF_LINK2 table 21
>
> ip route flush cache
>
>

Re: iptables - A novela

[Linux - Junior Polegato]

Em 20-08-2012 11:43, Márcio Erli escreveu:
Não consigo navegar da minha rede 192.160.7.0/24 
 de forma alguma.

O que pode estar errado?


Olá!

Aparentemente todo seu tráfego para porta 80 (http) ou 443 
(https) sai pela tabela 20, está navegando para fora, correto?


Agora a regra "ip rule add from 192.160.7.0/24 
 table 20" joga todo o tráfego da rede 
192.160.7.0/24  para a tabela 20, isto é, para 
fora via GW_LINK1, mas não é isso que você quer, não é mesmo? Falta a 
regra para o tráfego para 192.160.7.0/24  sair 
pela eth3...


Faça o seguinte, execute "ip route" e verá uma linha desse tipo:

192.160.7.0/24 dev eth3  proto kernel  scope link  src 192.160.7.x

Compile essa informaçãoo e crie a regra mais ou menos assim:

ip route add to 192.160.7.0/24 dev $IF_LAN [outros parâmetros se 
necessário] table 20


Pronto!

--
[]'s

Junior Polegato

Re: iptables

[Rafael Henrique da Silva Correia]

Dica em "off":

Tenta dropar a conexão de todas as chains da tabela filter (pelo 
menos)... daí depois você libera conforme sua necessidade.. desta forma:


# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP


Abraço!

Em 25-04-2011 10:32, Rafael Henrique da Silva Correia escreveu:
Cara o ping vai funcionar pois seu script (abaixo) quando você da um 
stop nele ele não "fecha" o forwarding ... tenta fazer assim:


parar(){
echo 0>  /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
}

Veja se depois de executar o stop (parar) ele continua conseguindo 
"pingar" o terra.


Até+

Em 25-04-2011 09:54, Diác. Moretti escreveu:

#!/bin/bash
>
>  # ... Interface da internet
>  ifinternet="eth0"
>
>  # ... Interface da rede local
>  iflocal="eth1"
>
>  iniciar(){
>  modprobe iptable_nat
>  echo 1>   /proc/sys/net/ipv4/ip_forward
>  iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
>  #   iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
>  echo 1>   /proc/sys/net/ipv4/conf/default/rp_filter
>  iptables -A INPUT -m state --state INVALID -j DROP
>  iptables -A INPUT -i lo -j ACCEPT
>  iptables -A INPUT -i $iflocal -j ACCEPT
>  iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>  iptables -A INPUT -p tcp --syn -j DROP
>  }
>
>  parar(){
>  iptables -F
>  iptables -F -t nat
>  }
>
>  case "$1" in
>  "start") iniciar;;
>  "stop") parar;;
>  "restart") parar; iniciar;;
>  *) echo "Use os parametros start ou stop"
>  esac
>
>






--
Rafael Henrique da Silva Correia
http://abraseucodigo.blogspot.com

Administrador de Sistemas Linux
Certificado pela LPIC - 101
ID: LPI000160699


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4db57865.5020...@gmail.com

Re: iptables

[Rafael Henrique da Silva Correia]

Cara o ping vai funcionar pois seu script (abaixo) quando você da um 
stop nele ele não "fecha" o forwarding ... tenta fazer assim:


parar(){
echo 0>  /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -F -t nat
}

Veja se depois de executar o stop (parar) ele continua conseguindo 
"pingar" o terra.


Até+

Em 25-04-2011 09:54, Diác. Moretti escreveu:

#!/bin/bash
>
>  # ... Interface da internet
>  ifinternet="eth0"
>
>  # ... Interface da rede local
>  iflocal="eth1"
>
>  iniciar(){
>  modprobe iptable_nat
>  echo 1>   /proc/sys/net/ipv4/ip_forward
>  iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
>  #   iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
>  echo 1>   /proc/sys/net/ipv4/conf/default/rp_filter
>  iptables -A INPUT -m state --state INVALID -j DROP
>  iptables -A INPUT -i lo -j ACCEPT
>  iptables -A INPUT -i $iflocal -j ACCEPT
>  iptables -A INPUT -p tcp --dport 22 -j ACCEPT
>  iptables -A INPUT -p tcp --syn -j DROP
>  }
>
>  parar(){
>  iptables -F
>  iptables -F -t nat
>  }
>
>  case "$1" in
>  "start") iniciar;;
>  "stop") parar;;
>  "restart") parar; iniciar;;
>  *) echo "Use os parametros start ou stop"
>  esac
>
>
   



--
Rafael Henrique da Silva Correia
http://abraseucodigo.blogspot.com

Administrador de Sistemas Linux
Certificado pela LPIC - 101
ID: LPI000160699


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4db577df.7010...@gmail.com

Re: iptables

[Rafael Henrique da Silva Correia]

Ops esqueci de perguntar uma coisa que me deixou curioso Diác. Moretti 
que ambiente virtual você ta usando? E como estão configuradas as 
interfaces das máquinas virtuais (host-only, NAT, Rede Interna ou Bridge 
- me baseando nas confs do VirtualBox e VMWare Server) ??


Abraço

Em 21-04-2011 23:05, Rafael Henrique da Silva Correia escreveu:
Pessoal não sei se estou errado mas normalmente quando você tira a 
regra de MASQUERADE da jogada o "firewall"/"roteador" não libera a 
internet nem a pau. Experiência própria pois uma vez fiz um script pra 
por em produção e por erro de digitação ao invés de digitar MASQUERADE 
coloquei ACCEPT! (idiota eu não?)


Será que você não ta rodando outra coisa além desse script que deixa o 
MASQUERADE da chain POSTROUTING da tabela NAT ativo?


Tenta arrancar a regra que da um "jump" para o alvo MASQUERADE e tenta 
entrar na internet através da máquina "client".


Abraço!

Em 20-04-2011 17:37, Eden Caldas escreveu:

Seguinte...

No seu script tem algumas regras de INPUT, e uma de NAT, porém quando
você lista as regras nao aparece nada.

Sugiro que você mude o script para uma forma mais simples, sem case.
Sugiro também que troque:

   echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter

por

   echo 1>  /proc/sys/net/ipv4/ip_forward

Execute o script e depois novamente os comandos que te passei.

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI



Em 20 de abril de 2011 10:29, Messias Manoel da Silva Junior
  escreveu:

Cara, desabilita teu roteamento.

echo 1>  /proc/sys/net/ipv4/ip_forward

Em 20 de abril de 2011 07:45, Diác. Moretti  
escreveu:

Ola,

A resposta para o comando iptables -L -n -v   é:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination

Chain FORWARD (policy ACCEPT 254 packets, 15240 bytes)
  pkts bytes target prot opt in out source
destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination



A resposta para o comando iptables -t nat -L -n -v  é:

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination



A resposta para o comando sysctl -a | grep ip_forward é:

net.ipv4.ip_forward = 1




echo 0>  /proc/sys/net/ipv4/ip_forward



O meu script para o compartilhamento é:

#!/bin/bash

# ... Interface da internet
ifinternet="eth0"

# ... Interface da rede local
iflocal="eth1"

iniciar(){
   modprobe iptable_nat
   echo 1>  /proc/sys/net/ipv4/ip_forward
   iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
#   iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
   echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter
   iptables -A INPUT -m state --state INVALID -j DROP
   iptables -A INPUT -i lo -j ACCEPT
   iptables -A INPUT -i $iflocal -j ACCEPT
   iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn -j DROP
}

parar(){
   iptables -F
   iptables -F -t nat
}

case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*) echo "Use os parametros start ou stop"
esac


Fico no agardo de sugestões.
abraço

Moretti

Em 20/04/2011 às 00:00, Eden Caldas  escreveu:

Depois de executar esses dois comandos. Manda pra gente a saida dos
seguintes comandos.

iptables -L -n -v
iptables -t nat -L -n -v
sysctl -a | grep ip_forward

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 19 de abril de 2011 14:31, Diác. Moretti  
escreveu:

Estou aprendendo sobre o iptables.

Tenho a seguinte ambiente:
duas maquinas virtuais.
Maquina A) com Debian Squeeze servidora de internet
Maquina B) com Windows XP

Gostaria que todo acesso a internet da maquina B passa-se pela 
maquina A)
Estou usando o iptables e o compartilhamento da internet está 
funcionando.


Minha duvida é quando eu não quero mais compartilhar
ou seja quero bloquear a internet, no iptables estou usando
iptables -F
iptables -F -t nat

Porém após esses comandos a maquina B ainda continuar a ter acesso a

internet

como faço para "corta" esse acesso??



Diác. Moretti
twitter:@cjmoretti

\///
(o  o)
__oo0 - () - 0oo___
Na  certeza  de  nossa  imortalidade, seguimos
nosso caminho fazendo o bem, desejando bem
e sendo a paixão única de nosso Deus.
___

WebRep
Overall rating

WebRep
Overall rating


--
To UNSUBSCRIBE, email to 
debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact 
listmas...@lists.debian.org

Archive:
http:

Re: iptables

[Rafael Henrique da Silva Correia]

Pessoal não sei se estou errado mas normalmente quando você tira a regra 
de MASQUERADE da jogada o "firewall"/"roteador" não libera a internet 
nem a pau. Experiência própria pois uma vez fiz um script pra por em 
produção e por erro de digitação ao invés de digitar MASQUERADE coloquei 
ACCEPT! (idiota eu não?)


Será que você não ta rodando outra coisa além desse script que deixa o 
MASQUERADE da chain POSTROUTING da tabela NAT ativo?


Tenta arrancar a regra que da um "jump" para o alvo MASQUERADE e tenta 
entrar na internet através da máquina "client".


Abraço!

Em 20-04-2011 17:37, Eden Caldas escreveu:

Seguinte...

No seu script tem algumas regras de INPUT, e uma de NAT, porém quando
você lista as regras nao aparece nada.

Sugiro que você mude o script para uma forma mais simples, sem case.
Sugiro também que troque:

   echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter

por

   echo 1>  /proc/sys/net/ipv4/ip_forward

Execute o script e depois novamente os comandos que te passei.

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI



Em 20 de abril de 2011 10:29, Messias Manoel da Silva Junior
  escreveu:
   

Cara, desabilita teu roteamento.

echo 1>  /proc/sys/net/ipv4/ip_forward

Em 20 de abril de 2011 07:45, Diác. Moretti  escreveu:
 

Ola,

A resposta para o comando iptables -L -n -v   é:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination

Chain FORWARD (policy ACCEPT 254 packets, 15240 bytes)
  pkts bytes target prot opt in out source
destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination



A resposta para o comando iptables -t nat -L -n -v  é:

Chain PREROUTING (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination

Chain POSTROUTING (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target prot opt in out source
destination



A resposta para o comando sysctl -a | grep ip_forward é:

net.ipv4.ip_forward = 1


   


echo 0>  /proc/sys/net/ipv4/ip_forward


 

O meu script para o compartilhamento é:

#!/bin/bash

# ... Interface da internet
ifinternet="eth0"

# ... Interface da rede local
iflocal="eth1"

iniciar(){
   modprobe iptable_nat
   echo 1>  /proc/sys/net/ipv4/ip_forward
   iptables -t nat -A POSTROUTING -o $ifinternet -j MASQUERADE
#   iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
   echo 1>  /proc/sys/net/ipv4/conf/default/rp_filter
   iptables -A INPUT -m state --state INVALID -j DROP
   iptables -A INPUT -i lo -j ACCEPT
   iptables -A INPUT -i $iflocal -j ACCEPT
   iptables -A INPUT -p tcp --dport 22 -j ACCEPT
   iptables -A INPUT -p tcp --syn -j DROP
}

parar(){
   iptables -F
   iptables -F -t nat
}

case "$1" in
"start") iniciar;;
"stop") parar;;
"restart") parar; iniciar;;
*) echo "Use os parametros start ou stop"
esac


Fico no agardo de sugestões.
abraço

Moretti

Em 20/04/2011 às 00:00, Eden Caldas  escreveu:
   

Depois de executar esses dois comandos. Manda pra gente a saida dos
seguintes comandos.

iptables -L -n -v
iptables -t nat -L -n -v
sysctl -a | grep ip_forward

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 19 de abril de 2011 14:31, Diác. Moretti  escreveu:
 

Estou aprendendo sobre o iptables.

Tenho a seguinte ambiente:
duas maquinas virtuais.
Maquina A) com Debian Squeeze servidora de internet
Maquina B) com Windows XP

Gostaria que todo acesso a internet da maquina B passa-se pela maquina A)
Estou usando o iptables e o compartilhamento da internet está funcionando.

Minha duvida é quando eu não quero mais compartilhar
ou seja quero bloquear a internet, no iptables estou usando
iptables -F
iptables -F -t nat

Porém após esses comandos a maquina B ainda continuar a ter acesso a
   

internet
   

como faço para "corta" esse acesso??



Diác. Moretti
twitter:@cjmoretti

\///
(o  o)
__oo0 - () - 0oo___
Na  certeza  de  nossa  imortalidade, seguimos
nosso caminho fazendo o bem, desejando bem
e sendo a paixão única de nosso Deus.
___
   

WebRep
Overall rating

WebRep
Overall rating


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive:
 

http://lists.debian.org/banlktikq6aobkrjm5quvszsmlxl9rbb...@mail.gmail.com
   
 



--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.d

Re: iptables

[Andre Luiz FM]

Usar firewall em máquina virtual não funciona muito bem. Já tive problemas
semelhantes, e para bloquear ou liberar acessos para outra máquina virtual,
eu tinha que adicionar a regra na chain INPUT, que não faz muito sentido,
pois seria como aplicar a regra para a própria máquina. Mesmo colocando a
máquina virtual onde o iptables estava ativo como gateway padrão no cliente,
não funcionava.

Meu conselho é que se vc quiser aprender a mexer com iptables, utilize uma
máquina real, porque todas as chains irão funcionar corretamente e vc
conseguirá fazer redirecionamentos, DNAT, NAT e várias outras coisas sem
erros e sem gambiarras.

2011/4/19 Rodolfo 

> Quando eu mexia com iptables, eu fazia as regras usando iptables -F FORWARD
>
>
> FORWARD = toda conexão que passa pelo gateway (muito usado para configurar
> os clients)
>
> INPUT = toda conexao que tem como destino o gateway
>
> OUTPUT = toda conexao que sai DO gateway
>
>
> não sei se mudou alguma coisa.
>
> Em 19 de abril de 2011 14:17, Eden Caldas  escreveu:
>
> Depois de executar esses dois comandos. Manda pra gente a saida dos
>> seguintes comandos.
>>
>> iptables -L -n -v
>> iptables -t nat -L -n -v
>> sysctl -a | grep ip_forward
>>
>> Eden Caldas
>> Consultor de TI
>> e...@linuxfacil.srv.br
>> (81) 9653 7220
>> LINUX FÁCIL – Consultoria e Serviços em TI
>>
>>
>> Em 19 de abril de 2011 14:31, Diác. Moretti 
>> escreveu:
>>  >
>> > Estou aprendendo sobre o iptables.
>> >
>> > Tenho a seguinte ambiente:
>> > duas maquinas virtuais.
>> > Maquina A) com Debian Squeeze servidora de internet
>> > Maquina B) com Windows XP
>> >
>> > Gostaria que todo acesso a internet da maquina B passa-se pela maquina
>> A)
>> > Estou usando o iptables e o compartilhamento da internet está
>> funcionando.
>> >
>> > Minha duvida é quando eu não quero mais compartilhar
>> > ou seja quero bloquear a internet, no iptables estou usando
>> > iptables -F
>> > iptables -F -t nat
>> >
>> > Porém após esses comandos a maquina B ainda continuar a ter acesso a
>> internet
>> > como faço para "corta" esse acesso??
>> >
>> >
>> >
>> > Diác. Moretti
>> > twitter:@cjmoretti
>> >
>> >\///
>> >(o  o)
>> > __oo0 - () - 0oo___
>> > Na  certeza  de  nossa  imortalidade, seguimos
>> > nosso caminho fazendo o bem, desejando bem
>> > e sendo a paixão única de nosso Deus.
>> > ___
>>
>> WebRep
>> Overall rating
>>
>> WebRep
>> Overall rating
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive:
>> http://lists.debian.org/banlktikq6aobkrjm5quvszsmlxl9rbb...@mail.gmail.com
>>
>>
>


-- 
Att,
André Luiz Fraga Moreira
Linux Professional Institute Certified - LPIC-1
Twitter e Identi.ca: @andreluizfm

Re: iptables

[Rodolfo]

Quando eu mexia com iptables, eu fazia as regras usando iptables -F FORWARD


FORWARD = toda conexão que passa pelo gateway (muito usado para configurar
os clients)

INPUT = toda conexao que tem como destino o gateway

OUTPUT = toda conexao que sai DO gateway


não sei se mudou alguma coisa.

Em 19 de abril de 2011 14:17, Eden Caldas  escreveu:

> Depois de executar esses dois comandos. Manda pra gente a saida dos
> seguintes comandos.
>
> iptables -L -n -v
> iptables -t nat -L -n -v
> sysctl -a | grep ip_forward
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 19 de abril de 2011 14:31, Diác. Moretti  escreveu:
>  >
> > Estou aprendendo sobre o iptables.
> >
> > Tenho a seguinte ambiente:
> > duas maquinas virtuais.
> > Maquina A) com Debian Squeeze servidora de internet
> > Maquina B) com Windows XP
> >
> > Gostaria que todo acesso a internet da maquina B passa-se pela maquina A)
> > Estou usando o iptables e o compartilhamento da internet está
> funcionando.
> >
> > Minha duvida é quando eu não quero mais compartilhar
> > ou seja quero bloquear a internet, no iptables estou usando
> > iptables -F
> > iptables -F -t nat
> >
> > Porém após esses comandos a maquina B ainda continuar a ter acesso a
> internet
> > como faço para "corta" esse acesso??
> >
> >
> >
> > Diác. Moretti
> > twitter:@cjmoretti
> >
> >\///
> >(o  o)
> > __oo0 - () - 0oo___
> > Na  certeza  de  nossa  imortalidade, seguimos
> > nosso caminho fazendo o bem, desejando bem
> > e sendo a paixão única de nosso Deus.
> > ___
>
> WebRep
> Overall rating
>
> WebRep
> Overall rating
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/banlktikq6aobkrjm5quvszsmlxl9rbb...@mail.gmail.com
>
>

Re: iptables

[Eden Caldas]

Depois de executar esses dois comandos. Manda pra gente a saida dos
seguintes comandos.

iptables -L -n -v
iptables -t nat -L -n -v
sysctl -a | grep ip_forward

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 19 de abril de 2011 14:31, Diác. Moretti  escreveu:
>
> Estou aprendendo sobre o iptables.
>
> Tenho a seguinte ambiente:
> duas maquinas virtuais.
> Maquina A) com Debian Squeeze servidora de internet
> Maquina B) com Windows XP
>
> Gostaria que todo acesso a internet da maquina B passa-se pela maquina A)
> Estou usando o iptables e o compartilhamento da internet está funcionando.
>
> Minha duvida é quando eu não quero mais compartilhar
> ou seja quero bloquear a internet, no iptables estou usando
> iptables -F
> iptables -F -t nat
>
> Porém após esses comandos a maquina B ainda continuar a ter acesso a internet
> como faço para "corta" esse acesso??
>
>
>
> Diác. Moretti
> twitter:@cjmoretti
>
>        \///
>    (o  o)
> __oo0 - () - 0oo___
> Na  certeza  de  nossa  imortalidade, seguimos
> nosso caminho fazendo o bem, desejando bem
> e sendo a paixão única de nosso Deus.
> ___

WebRep
Overall rating

WebRep
Overall rating


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/banlktikq6aobkrjm5quvszsmlxl9rbb...@mail.gmail.com

Re: iptables + apache em abaixo do Firewall

[Pedro Eugênio Rocha]

Eu achei que o que ele queria fazer era justamente isso, balanceamento de
carga. Se não, desconsidere minhas mensagens anteriores.

Abraços

2011/4/10 Eden Cardim :
>> "Pedro" == Pedro Eugênio Rocha  writes:
>    Pedro> Você pode criar duas entradas no dns, por exemplo:
>
>    Pedro> teste  IN  A   10.1.1.1
>    Pedro> teste  IN  A   10.1.1.2
>
>    Pedro> E no firewall você direciona as conexões para "teste". A cada 
> consulta o
>    Pedro> dns vai retornar um ip diferente.
>
> Mas round-robin vai distribuir a carga e exigir que ambos os servers
> apache sejam idênticos (senão o usuário final vai ver dois sites
> arbitrariamente diferentes no mesmo hostname), se for servir dois
> sistemas diferentes, não pode usar round-robin.
>
> Com o apache, tendo as entradas corretas de DNS (site1.com.br e
> site2.com.br apontando pro mesmo IP onde fica o firewall), você pode
> usar uma combinação de Proxy e Virtual Hosts para servir sistemas
> diferentes no mesmo IP, vide
> http://httpd.apache.org/docs/2.0/vhosts/examples.html#proxy
>
> Então seriam 3 apaches, dois escutando em portas ou ips diferentes, e um
> pra fazer o proxy reverso da requisição.
>
> Algo asssim [1]:
>
> ,[ apache proxy em 192.168.111.1 ]
> | 
> |   ProxyPreserveHost On
> |   ProxyPass / http://192.168.111.101/
> |   ProxyPassReverse / http://192.168.111.101/
> |   ServerName site1.com.br
> | 
> |
> | 
> |   ProxyPreserveHost On
> |   ProxyPass / http://192.168.111.102/
> |   ProxyPassReverse / http://192.168.111.102/
> |   ServerName site2.com.br
> | 
> `
>
> ,[ apache servindo site1.com.br no ip 192.168.111.101 ]
> | 
> |   ServerName site1.com.br
> |   DocumentRoot /var/lib/www/site1
> | 
> `
>
> ,[ apache servindo site2.com.br no ip 192.168.111.102 ]
> | 
> |   ServerName site2.com.br
> |   DocumentRoot /var/lib/www/site2
> | 
> `
>
> Esse tipo de coisa é bem melhor centralizar na mesma camada, fica mais
> fácil de manter. Por exemplo, pra servir um site3.com.br no mesmo apache
> que o site2.com.br é só acrescentar:
>
> ,[ apache servindo site3.com.br no ip 192.168.111.102 ]
> | 
> |   ServerName site3.com.br
> |   DocumentRoot /var/lib/www/site3
> | 
> `
>
> [1] - Não testei as configurações acima, talvez precisem de algum ajuste
> pra funcionar, como de praxe, YMMV.
>
> --
> Eden Cardim
> Software Engineer
> edencardim.com
> +55 73 9986-3963
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
> Archive: http://lists.debian.org/87fwppzvwb@gmail.com
>
>



-- 
Pedro Eugênio Rocha
Linux user #473848
Mestrado em Informática - UFPR
Técnico Judiciário - TRE-PR


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/BANLkTi=sb3ha-dp3aef4vfcghoeabej...@mail.gmail.com

Re: iptables + apache em abaixo do Firewall

[Eden Cardim]

> "Pedro" == Pedro Eugênio Rocha  writes:
Pedro> Você pode criar duas entradas no dns, por exemplo:

Pedro> teste  IN  A   10.1.1.1
Pedro> teste  IN  A   10.1.1.2

Pedro> E no firewall você direciona as conexões para "teste". A cada 
consulta o
Pedro> dns vai retornar um ip diferente.

Mas round-robin vai distribuir a carga e exigir que ambos os servers
apache sejam idênticos (senão o usuário final vai ver dois sites
arbitrariamente diferentes no mesmo hostname), se for servir dois
sistemas diferentes, não pode usar round-robin.

Com o apache, tendo as entradas corretas de DNS (site1.com.br e
site2.com.br apontando pro mesmo IP onde fica o firewall), você pode
usar uma combinação de Proxy e Virtual Hosts para servir sistemas
diferentes no mesmo IP, vide
http://httpd.apache.org/docs/2.0/vhosts/examples.html#proxy

Então seriam 3 apaches, dois escutando em portas ou ips diferentes, e um
pra fazer o proxy reverso da requisição.

Algo asssim [1]:

,[ apache proxy em 192.168.111.1 ]
| 
|   ProxyPreserveHost On
|   ProxyPass / http://192.168.111.101/
|   ProxyPassReverse / http://192.168.111.101/
|   ServerName site1.com.br
| 
|
| 
|   ProxyPreserveHost On
|   ProxyPass / http://192.168.111.102/
|   ProxyPassReverse / http://192.168.111.102/
|   ServerName site2.com.br
| 
`

,[ apache servindo site1.com.br no ip 192.168.111.101 ]
| 
|   ServerName site1.com.br
|   DocumentRoot /var/lib/www/site1
| 
`

,[ apache servindo site2.com.br no ip 192.168.111.102 ]
| 
|   ServerName site2.com.br
|   DocumentRoot /var/lib/www/site2
| 
`

Esse tipo de coisa é bem melhor centralizar na mesma camada, fica mais
fácil de manter. Por exemplo, pra servir um site3.com.br no mesmo apache
que o site2.com.br é só acrescentar:

,[ apache servindo site3.com.br no ip 192.168.111.102 ]
| 
|   ServerName site3.com.br
|   DocumentRoot /var/lib/www/site3
| 
`

[1] - Não testei as configurações acima, talvez precisem de algum ajuste
pra funcionar, como de praxe, YMMV.

-- 
Eden Cardim
Software Engineer
edencardim.com
+55 73 9986-3963


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/87fwppzvwb@gmail.com

Re: iptables + apache em abaixo do Firewall

[Pedro Eugênio Rocha]

Elton,

Você pode criar duas entradas no dns, por exemplo:

teste  IN  A   10.1.1.1
teste  IN  A   10.1.1.2

E no firewall você direciona as conexões para "teste". A cada consulta o
dns vai retornar um ip diferente.

Abraços

2011/4/8 Elton Lima 

>  Eu nunca testei "round-robin" como utilizar isso?
>
> Marcos é bem simples, estou terminando de fazer alguns ajustes, assim que
> terminar vou colocar no meu blog.
>
> Abraços.
>
> Att,
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com // eltl...@yahoo.com.br
> Site: http://www.eltonlima.com
>
> --- Em *qui, 7/4/11, Pedro Eugênio Rocha 
> *escreveu:
>
>
> De: Pedro Eugênio Rocha 
>
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Marcos Carraro" 
> Cc: "Elton Lima" , "Eden Caldas" <
> edencal...@gmail.com>, debian-user-portuguese@lists.debian.org
> Data: Quinta-feira, 7 de Abril de 2011, 17:17
>
>
> Elton,
>
> Outra possível solução seria criar um mesmo nome para as duas
> máquinas e usar o round-robin do dns.
>
> Abraços
>
> 2011/4/7 Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >
>
> vou ficar de olho para ver como solucionou o problema.
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 7 de abril de 2011 10:34, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Olá amigos,
>
> Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os
> webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no
> meu blog (www.eltonlima.com.br)
>
> Abraços,
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Eden Caldas 
> http://mc/compose?to=edencal...@gmail.com>
> >* escreveu:
>
>
> De: Eden Caldas 
> http://mc/compose?to=edencal...@gmail.com>
> >
>
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Marcos Carraro" 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >
> Cc: "Elton Lima" 
> http://mc/compose?to=eltl...@yahoo.com.br>>,
> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portuguese@lists.debian.org>
> Data: Quarta-feira, 6 de Abril de 2011, 19:13
>
>
> Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público
> (de internet)  não vai dar pra funcionar ambos os webservers na porta 80.
> Terá que ser em portas diferentes.
>
> Agora se cada site estiver em um IP público diferente basta fazer um DNAT
> pra cada site.
>
> Exemplo:
>
> Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
> Site2 IP público 200.200.200.202 IP Privado 192.168.0.2
>
> Regra DNAT Site1
> iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT
> --to 192.168.0.1
>
> Regra DNAT Site2
> iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT
> --to 192.168.0.2
>
> É possível ainda que precise liberar o acesso na tabela filter dependendo
> das regras ai, então:
> iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br <http://mc/compose?to=e...@linuxfacil.srv.br>
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 6 de abril de 2011 18:55, Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> > escreveu:
>
>  Buenas... tenta desta maneira.
>
> iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to
> 
>
> Pois cada site deve ter um IP correto?
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 16:08, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Marcos e amigos,,
>
> Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria
> possível realizar esse ação.
>
> =)
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
> Site: http://www.elto

Re: iptables + apache em abaixo do Firewall

[Elton Lima]

 Eu nunca testei "round-robin" como utilizar isso?

Marcos é bem simples, estou terminando de fazer alguns ajustes, assim que 
terminar vou colocar no meu blog. 

Abraços.

Att,

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qui, 7/4/11, Pedro Eugênio Rocha  
escreveu:

De: Pedro Eugênio Rocha 
Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Marcos Carraro" 
Cc: "Elton Lima" , "Eden Caldas" , 
debian-user-portuguese@lists.debian.org
Data: Quinta-feira, 7 de Abril de 2011, 17:17

Elton,

Outra possível solução seria criar um mesmo nome para as duas
máquinas e usar o round-robin do dns.

Abraços

2011/4/7 Marcos Carraro 

vou ficar de olho para ver como solucionou o problema.

--


att
Marcos Carraro



Linux user #511627




Em 7 de abril de 2011 10:34, Elton Lima  escreveu:



Olá amigos,

Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os 
webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no meu 
blog (www.eltonlima.com.br)




Abraços,

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Eden Caldas  escreveu:




De: Eden Caldas 


Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Marcos Carraro" 
Cc: "Elton Lima" , debian-user-portuguese@lists.debian.org



Data: Quarta-feira, 6 de Abril de 2011, 19:13

Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de 
internet)  não vai dar pra funcionar ambos os webservers na porta 80. Terá que 
ser em portas diferentes.




Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra 
cada site.



Exemplo:

Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
Site2 IP público 200.200.200.202 IP Privado 192.168.0.2

Regra DNAT Site1
iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 
192.168.0.1






Regra DNAT Site2
iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 
192.168.0.2

É possível ainda que precise liberar o acesso na tabela filter dependendo das 
regras ai, então:





iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
 
Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br





(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI



Em 6 de abril de 2011 18:55, Marcos Carraro  
escreveu:







Buenas... tenta desta maneira.


iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to 








Pois cada site deve ter um IP correto?



--




att
Marcos Carraro




Linux user #511627




Em 6 de abril de 2011 16:08, Elton Lima  escreveu:







Marcos e amigos,,

Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria 
possível realizar esse ação.








=)

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br




Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:








De: Marcos Carraro 







Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org







Data: Quarta-feira, 6 de Abril de 2011, 15:41

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 
192.168.16.1:80 -d 200.180.219.1










iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129

Algo assim, mas no caso da porta, usa o IP...


--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:36, Elton Lima  escreveu:









Marcos,

Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria 
esse redirect no iptables.










Manda mais detalhes, obrigado.

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br








Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:










De: Marcos Carraro 







Assunto: Re: iptables + apache em abaixo do Firewall


Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org









Data: Quarta-feira, 6 de Abril de 2011, 13:28

Cara faz um nat para os IPS











quando chegar requisição para o site 1 redirect to 192.168.16.1











quando chegar requisição para o site 2 redirect to 192.168.16.2
























--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:07, Elton Lima  escreveu:











Olá amigos,



Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte como 

Re: iptables + apache em abaixo do Firewall

[Pedro Eugênio Rocha]

Elton,

Outra possível solução seria criar um mesmo nome para as duas
máquinas e usar o round-robin do dns.

Abraços

2011/4/7 Marcos Carraro 

> vou ficar de olho para ver como solucionou o problema.
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 7 de abril de 2011 10:34, Elton Lima  escreveu:
>
> Olá amigos,
>>
>> Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os
>> webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no
>> meu blog (www.eltonlima.com.br)
>>
>> Abraços,
>>
>>
>> Elton Lima
>> 
>> Analista de Suporte
>> Tel: +55 21 8714-3381
>> E-mail: elton...@gmail.com // eltl...@yahoo.com.br
>> Site: http://www.eltonlima.com
>>
>> --- Em *qua, 6/4/11, Eden Caldas * escreveu:
>>
>>
>> De: Eden Caldas 
>>
>> Assunto: Re: iptables + apache em abaixo do Firewall
>> Para: "Marcos Carraro" 
>> Cc: "Elton Lima" ,
>> debian-user-portuguese@lists.debian.org
>> Data: Quarta-feira, 6 de Abril de 2011, 19:13
>>
>>
>> Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público
>> (de internet)  não vai dar pra funcionar ambos os webservers na porta 80.
>> Terá que ser em portas diferentes.
>>
>> Agora se cada site estiver em um IP público diferente basta fazer um DNAT
>> pra cada site.
>>
>> Exemplo:
>>
>> Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
>> Site2 IP público 200.200.200.202 IP Privado 192.168.0.2
>>
>> Regra DNAT Site1
>> iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT
>> --to 192.168.0.1
>>
>> Regra DNAT Site2
>> iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT
>> --to 192.168.0.2
>>
>> É possível ainda que precise liberar o acesso na tabela filter dependendo
>> das regras ai, então:
>> iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
>> iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
>>
>> Eden Caldas
>> Consultor de TI
>> e...@linuxfacil.srv.br <http://mc/compose?to=e...@linuxfacil.srv.br>
>> (81) 9653 7220
>> LINUX FÁCIL – Consultoria e Serviços em TI
>>
>>
>> Em 6 de abril de 2011 18:55, Marcos Carraro 
>> http://mc/compose?to=marcos.g.carr...@gmail.com>
>> > escreveu:
>>
>>  Buenas... tenta desta maneira.
>>
>> iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to
>> 
>>
>> Pois cada site deve ter um IP correto?
>>
>>
>> --
>> att
>> Marcos Carraro
>> Linux user #511627
>>
>>
>>
>> Em 6 de abril de 2011 16:08, Elton Lima 
>> http://mc/compose?to=eltl...@yahoo.com.br>
>> > escreveu:
>>
>> Marcos e amigos,,
>>
>> Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria
>> possível realizar esse ação.
>>
>> =)
>>
>>
>> Elton Lima
>> 
>> Analista de Suporte
>> Tel: +55 21 8714-3381
>> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
>> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
>> Site: http://www.eltonlima.com
>>
>> --- Em *qua, 6/4/11, Marcos Carraro 
>> http://mc/compose?to=marcos.g.carr...@gmail.com>
>> >* escreveu:
>>
>>
>> De: Marcos Carraro 
>> http://mc/compose?to=marcos.g.carr...@gmail.com>
>> >
>> Assunto: Re: iptables + apache em abaixo do Firewall
>> Para: "Elton Lima" 
>> http://mc/compose?to=eltl...@yahoo.com.br>
>> >
>> Cc: 
>> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portuguese@lists.debian.org>
>> Data: Quarta-feira, 6 de Abril de 2011, 15:41
>>
>>
>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
>> 192.168.16.1:80 -d 200.180.219.1
>>
>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s
>> 200.130.125.129
>>
>> Algo assim, mas no caso da porta, usa o IP...
>>
>> --
>> att
>> Marcos Carraro
>> Linux user #511627
>>
>>
>>
>> Em 6 de abril de 2011 13:36, Elton Lima 
>> http://mc/compose?to=eltl...@yahoo.com.br>
>> > escreveu:
>>
>> Marcos,
>>
>> Eu já tenho um nat para um dos webserver, mas não entendi muito bem como
>> seria es

Re: iptables + apache em abaixo do Firewall

[Marcos Carraro]

vou ficar de olho para ver como solucionou o problema.
--
att
Marcos Carraro
Linux user #511627



Em 7 de abril de 2011 10:34, Elton Lima  escreveu:

> Olá amigos,
>
> Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os
> webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no
> meu blog (www.eltonlima.com.br)
>
> Abraços,
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com // eltl...@yahoo.com.br
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Eden Caldas * escreveu:
>
>
> De: Eden Caldas 
>
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Marcos Carraro" 
> Cc: "Elton Lima" ,
> debian-user-portuguese@lists.debian.org
> Data: Quarta-feira, 6 de Abril de 2011, 19:13
>
>
> Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público
> (de internet)  não vai dar pra funcionar ambos os webservers na porta 80.
> Terá que ser em portas diferentes.
>
> Agora se cada site estiver em um IP público diferente basta fazer um DNAT
> pra cada site.
>
> Exemplo:
>
> Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
> Site2 IP público 200.200.200.202 IP Privado 192.168.0.2
>
> Regra DNAT Site1
> iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT
> --to 192.168.0.1
>
> Regra DNAT Site2
> iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT
> --to 192.168.0.2
>
> É possível ainda que precise liberar o acesso na tabela filter dependendo
> das regras ai, então:
> iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br <http://mc/compose?to=e...@linuxfacil.srv.br>
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 6 de abril de 2011 18:55, Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> > escreveu:
>
>  Buenas... tenta desta maneira.
>
> iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to
> 
>
> Pois cada site deve ter um IP correto?
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 16:08, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Marcos e amigos,,
>
> Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria
> possível realizar esse ação.
>
> =)
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >* escreveu:
>
>
> De: Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Elton Lima" 
> http://mc/compose?to=eltl...@yahoo.com.br>
> >
> Cc: 
> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portuguese@lists.debian.org>
> Data: Quarta-feira, 6 de Abril de 2011, 15:41
>
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.16.1:80 -d 200.180.219.1
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s
> 200.130.125.129
>
> Algo assim, mas no caso da porta, usa o IP...
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 13:36, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Marcos,
>
> Eu já tenho um nat para um dos webserver, mas não entendi muito bem como
> seria esse redirect no iptables.
>
> Manda mais detalhes, obrigado.
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >* escreveu:
>
>
> De: Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Elton Lima" 
> http://mc/compose?to=elt

Re: iptables + apache em abaixo do Firewall

[Elton Lima]

Olá amigos,

Acheo uma solução, instalei o apache no FW e fiz um apache reverso para os 
webserver de debaixo do FW, assim que puder vou colocar como eu fiz lá no meu 
blog (www.eltonlima.com.br)

Abraços,

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Eden Caldas  escreveu:

De: Eden Caldas 
Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Marcos Carraro" 
Cc: "Elton Lima" , debian-user-portuguese@lists.debian.org
Data: Quarta-feira, 6 de Abril de 2011, 19:13

Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de 
internet)  não vai dar pra funcionar ambos os webservers na porta 80. Terá que 
ser em portas diferentes.

Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra 
cada site.



Exemplo:

Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
Site2 IP público 200.200.200.202 IP Privado 192.168.0.2

Regra DNAT Site1
iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 
192.168.0.1



Regra DNAT Site2
iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 
192.168.0.2

É possível ainda que precise liberar o acesso na tabela filter dependendo das 
regras ai, então:


iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
 
Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br


(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI



Em 6 de abril de 2011 18:55, Marcos Carraro  
escreveu:




Buenas... tenta desta maneira.


iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to 





Pois cada site deve ter um IP correto?



--




att
Marcos Carraro




Linux user #511627




Em 6 de abril de 2011 16:08, Elton Lima  escreveu:




Marcos e amigos,,

Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria 
possível realizar esse ação.





=)

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:





De: Marcos Carraro 




Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org




Data: Quarta-feira, 6 de Abril de 2011, 15:41

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 
192.168.16.1:80 -d 200.180.219.1







iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129

Algo assim, mas no caso da porta, usa o IP...


--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:36, Elton Lima  escreveu:






Marcos,

Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria 
esse redirect no iptables.







Manda mais detalhes, obrigado.

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br





Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:







De: Marcos Carraro 




Assunto: Re: iptables + apache em abaixo do Firewall


Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org






Data: Quarta-feira, 6 de Abril de 2011, 13:28

Cara faz um nat para os IPS








quando chegar requisição para o site 1 redirect to 192.168.16.1








quando chegar requisição para o site 2 redirect to 192.168.16.2


















--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:07, Elton Lima  escreveu:








Olá amigos,



Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte como 
faço para ter 2 servidores (apache) abaixo de
 um firewall iptables? Como posso diferenciar as requisições que 
chegam no firewall.

INT --- FW --- APACHE01:80 (site1.com.br)
 |
 -- APACHE02:80 (site2.com.br)









Como fazer o navegador entender que uma requisição vai para o site que está no 
apache01 e outro site no apache02 
ambos utilizam a mesmo porta(80).



Abraços a todos.

Re: iptables + apache em abaixo do Firewall

[Marcos Carraro]

Buenas...

Tche, me corrijam se estou errado não daria para utilizar um no-ip na
jogada???

Estou pensando, não sei se rola...

ip 1 > site 1
no ip > site 2

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
192.168.16.1:80 <http://192.168.16.1/> -d 200.180.219.1

iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129


iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
192.168.16.2:80 <http://192.168.16.1/> -d NO-IP

iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s NO-IP



--
att
Marcos Carraro
Linux user #511627



Em 7 de abril de 2011 09:15, Elton Lima  escreveu:

> Olá Marcos e Eden e amigos.
>
> Então não tenho 2 ips públicos apenas 1 que já está configurado no FW, o
> que tenho é 2 webserver embaixo do FW usando a mesma porta 80. Marcos a
> regra funciona mas apenas com 1 ip público eu gostaria de usar dois
> servidores web através de 1 ip publico, não sei se existe outra solução é
> acho que é uma grande dúvida de muitos na comunidade.
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com // eltl...@yahoo.com.br
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Eden Caldas * escreveu:
>
>
> De: Eden Caldas 
>
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Marcos Carraro" 
> Cc: "Elton Lima" ,
> debian-user-portuguese@lists.debian.org
> Data: Quarta-feira, 6 de Abril de 2011, 19:13
>
>
> Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público
> (de internet)  não vai dar pra funcionar ambos os webservers na porta 80.
> Terá que ser em portas diferentes.
>
> Agora se cada site estiver em um IP público diferente basta fazer um DNAT
> pra cada site.
>
> Exemplo:
>
> Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
> Site2 IP público 200.200.200.202 IP Privado 192.168.0.2
>
> Regra DNAT Site1
> iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT
> --to 192.168.0.1
>
> Regra DNAT Site2
> iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT
> --to 192.168.0.2
>
> É possível ainda que precise liberar o acesso na tabela filter dependendo
> das regras ai, então:
> iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
> iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br <http://mc/compose?to=e...@linuxfacil.srv.br>
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 6 de abril de 2011 18:55, Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> > escreveu:
>
>  Buenas... tenta desta maneira.
>
> iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to
> 
>
> Pois cada site deve ter um IP correto?
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 16:08, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Marcos e amigos,,
>
> Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria
> possível realizar esse ação.
>
> =)
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >* escreveu:
>
>
> De: Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Elton Lima" 
> http://mc/compose?to=eltl...@yahoo.com.br>
> >
> Cc: 
> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portuguese@lists.debian.org>
> Data: Quarta-feira, 6 de Abril de 2011, 15:41
>
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.16.1:80 -d 200.180.219.1
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s
> 200.130.125.129
>
> Algo assim, mas no caso da porta, usa o IP...
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 13:36, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Marcos,
>
> Eu já tenho um nat para um dos webserver, mas não entendi muito bem como
> seria esse

Re: iptables + apache em abaixo do Firewall

[Elton Lima]

Olá Marcos e Eden e amigos.

Então não tenho 2 ips públicos apenas 1 que já está configurado no FW, o que 
tenho é 2 webserver embaixo do FW usando a mesma porta 80. Marcos a regra 
funciona mas apenas com 1 ip público eu gostaria de usar dois servidores web 
através de 1 ip publico, não sei se existe outra solução é acho que é uma 
grande dúvida de muitos na comunidade.

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Eden Caldas  escreveu:

De: Eden Caldas 
Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Marcos Carraro" 
Cc: "Elton Lima" , debian-user-portuguese@lists.debian.org
Data: Quarta-feira, 6 de Abril de 2011, 19:13

Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público (de 
internet)  não vai dar pra funcionar ambos os webservers na porta 80. Terá que 
ser em portas diferentes.

Agora se cada site estiver em um IP público diferente basta fazer um DNAT pra 
cada site.



Exemplo:

Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
Site2 IP público 200.200.200.202 IP Privado 192.168.0.2

Regra DNAT Site1
iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT --to 
192.168.0.1



Regra DNAT Site2
iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT --to 
192.168.0.2

É possível ainda que precise liberar o acesso na tabela filter dependendo das 
regras ai, então:


iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
 
Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br


(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI



Em 6 de abril de 2011 18:55, Marcos Carraro  
escreveu:




Buenas... tenta desta maneira.


iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to 





Pois cada site deve ter um IP correto?



--




att
Marcos Carraro




Linux user #511627




Em 6 de abril de 2011 16:08, Elton Lima  escreveu:




Marcos e amigos,,

Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria 
possível realizar esse ação.





=)

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:





De: Marcos Carraro 




Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org




Data: Quarta-feira, 6 de Abril de 2011, 15:41

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 
192.168.16.1:80 -d 200.180.219.1







iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129

Algo assim, mas no caso da porta, usa o IP...


--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:36, Elton Lima  escreveu:






Marcos,

Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria 
esse redirect no iptables.







Manda mais detalhes, obrigado.

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br





Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:







De: Marcos Carraro 




Assunto: Re: iptables + apache em abaixo do Firewall


Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org






Data: Quarta-feira, 6 de Abril de 2011, 13:28

Cara faz um nat para os IPS








quando chegar requisição para o site 1 redirect to 192.168.16.1








quando chegar requisição para o site 2 redirect to 192.168.16.2


















--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:07, Elton Lima  escreveu:








Olá amigos,



Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte como 
faço para ter 2 servidores (apache) abaixo de
 um firewall iptables? Como posso diferenciar as requisições que 
chegam no firewall.

INT --- FW --- APACHE01:80 (site1.com.br)
 |
 -- APACHE02:80 (site2.com.br)









Como fazer o navegador entender que uma requisição vai para o site que está no 
apache01 e outro site no apache02 
ambos utilizam a mesmo porta(80).



Abraços a todos.

Re: iptables + apache em abaixo do Firewall

[Eden Caldas]

Quantos IPs disponíveis vocês tem aí? Se o firewall só tiver um IP público
(de internet)  não vai dar pra funcionar ambos os webservers na porta 80.
Terá que ser em portas diferentes.

Agora se cada site estiver em um IP público diferente basta fazer um DNAT
pra cada site.

Exemplo:

Site1 IP Público 200.200.200.201 IP Privado 192.168.0.1
Site2 IP público 200.200.200.202 IP Privado 192.168.0.2

Regra DNAT Site1
iptables -t nat -A PREROUTING -d 200.200.200.201 -p tcp --dport 80 -j DNAT
--to 192.168.0.1

Regra DNAT Site2
iptables -t nat -A PREROUTING -d 200.200.200.202 -p tcp --dport 80 -j DNAT
--to 192.168.0.2

É possível ainda que precise liberar o acesso na tabela filter dependendo
das regras ai, então:
iptables -A FORWARD -d 192.168.0.1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 6 de abril de 2011 18:55, Marcos Carraro
escreveu:

>  Buenas... tenta desta maneira.
>
> iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to
> 
>
> Pois cada site deve ter um IP correto?
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 16:08, Elton Lima  escreveu:
>
> Marcos e amigos,,
>>
>> Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria
>> possível realizar esse ação.
>>
>> =)
>>
>>
>> Elton Lima
>> 
>> Analista de Suporte
>> Tel: +55 21 8714-3381
>> E-mail: elton...@gmail.com // eltl...@yahoo.com.br
>> Site: http://www.eltonlima.com
>>
>> --- Em *qua, 6/4/11, Marcos Carraro *escreveu:
>>
>>
>> De: Marcos Carraro 
>> Assunto: Re: iptables + apache em abaixo do Firewall
>> Para: "Elton Lima" 
>> Cc: debian-user-portuguese@lists.debian.org
>> Data: Quarta-feira, 6 de Abril de 2011, 15:41
>>
>>
>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
>> 192.168.16.1:80 -d 200.180.219.1
>>
>> iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s
>> 200.130.125.129
>>
>> Algo assim, mas no caso da porta, usa o IP...
>>
>> --
>> att
>> Marcos Carraro
>> Linux user #511627
>>
>>
>>
>> Em 6 de abril de 2011 13:36, Elton Lima 
>> http://mc/compose?to=eltl...@yahoo.com.br>
>> > escreveu:
>>
>> Marcos,
>>
>> Eu já tenho um nat para um dos webserver, mas não entendi muito bem como
>> seria esse redirect no iptables.
>>
>> Manda mais detalhes, obrigado.
>>
>> Elton Lima
>> 
>> Analista de Suporte
>> Tel: +55 21 8714-3381
>> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
>> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
>> Site: http://www.eltonlima.com
>>
>> --- Em *qua, 6/4/11, Marcos Carraro 
>> http://mc/compose?to=marcos.g.carr...@gmail.com>
>> >* escreveu:
>>
>>
>> De: Marcos Carraro 
>> http://mc/compose?to=marcos.g.carr...@gmail.com>
>> >
>> Assunto: Re: iptables + apache em abaixo do Firewall
>> Para: "Elton Lima" 
>> http://mc/compose?to=eltl...@yahoo.com.br>
>> >
>> Cc: 
>> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portuguese@lists.debian.org>
>> Data: Quarta-feira, 6 de Abril de 2011, 13:28
>>
>>
>> Cara faz um nat para os IPS
>>
>>  quando chegar requisição para o site 1 redirect to 192.168.16.1
>>
>> quando chegar requisição para o site 2 redirect to 192.168.16.2
>>
>>
>>
>> --
>> att
>> Marcos Carraro
>> Linux user #511627
>>
>>
>>
>> Em 6 de abril de 2011 13:07, Elton Lima 
>> http://mc/compose?to=eltl...@yahoo.com.br>
>> > escreveu:
>>
>> Olá amigos,
>>
>> Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte
>> como faço para ter 2 servidores (apache) abaixo de um firewall iptables?
>> Como posso diferenciar as requisições que chegam no firewall.
>>
>> INT --- FW --- APACHE01:80 (site1.com.br)
>>  |
>>  -- APACHE02:80 (site2.com.br)
>>
>> Como fazer o navegador entender que uma requisição vai para o site que
>> está no apache01 e outro site no apache02  ambos utilizam a mesmo porta(80).
>>
>> Abraços a todos.
>>
>>
>>
>>
>

Re: iptables + apache em abaixo do Firewall

[Marcos Carraro]

 Buenas... tenta desta maneira.

iptables -t nat -A PREROUTING -p tcp -d  --dport 80 -j DNAT --to


Pois cada site deve ter um IP correto?


--
att
Marcos Carraro
Linux user #511627



Em 6 de abril de 2011 16:08, Elton Lima  escreveu:

> Marcos e amigos,,
>
> Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria
> possível realizar esse ação.
>
> =)
>
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com // eltl...@yahoo.com.br
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Marcos Carraro *escreveu:
>
>
> De: Marcos Carraro 
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Elton Lima" 
> Cc: debian-user-portuguese@lists.debian.org
> Data: Quarta-feira, 6 de Abril de 2011, 15:41
>
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
> 192.168.16.1:80 -d 200.180.219.1
>
> iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s
> 200.130.125.129
>
> Algo assim, mas no caso da porta, usa o IP...
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 13:36, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Marcos,
>
> Eu já tenho um nat para um dos webserver, mas não entendi muito bem como
> seria esse redirect no iptables.
>
> Manda mais detalhes, obrigado.
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com <http://mc/compose?to=elton...@gmail.com> //
> eltl...@yahoo.com.br <http://mc/compose?to=eltl...@yahoo.com.br>
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >* escreveu:
>
>
> De: Marcos Carraro 
> http://mc/compose?to=marcos.g.carr...@gmail.com>
> >
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Elton Lima" 
> http://mc/compose?to=eltl...@yahoo.com.br>
> >
> Cc: 
> debian-user-portuguese@lists.debian.org<http://mc/compose?to=debian-user-portuguese@lists.debian.org>
> Data: Quarta-feira, 6 de Abril de 2011, 13:28
>
>
> Cara faz um nat para os IPS
>
>  quando chegar requisição para o site 1 redirect to 192.168.16.1
>
> quando chegar requisição para o site 2 redirect to 192.168.16.2
>
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 13:07, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Olá amigos,
>
> Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte
> como faço para ter 2 servidores (apache) abaixo de um firewall iptables?
> Como posso diferenciar as requisições que chegam no firewall.
>
> INT --- FW --- APACHE01:80 (site1.com.br)
>  |
>  -- APACHE02:80 (site2.com.br)
>
> Como fazer o navegador entender que uma requisição vai para o site que está
> no apache01 e outro site no apache02  ambos utilizam a mesmo porta(80).
>
> Abraços a todos.
>
>
>
>

Re: iptables + apache em abaixo do Firewall

[Elton Lima]

Marcos e amigos,,

Eu já fiz utilizando essa regra mas não houve efeito, quais solução seria 
possível realizar esse ação.

=)

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:

De: Marcos Carraro 
Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org
Data: Quarta-feira, 6 de Abril de 2011, 15:41

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination 
192.168.16.1:80 -d 200.180.219.1



iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129

Algo assim, mas no caso da porta, usa o IP...


--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:36, Elton Lima  escreveu:


Marcos,

Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria 
esse redirect no iptables.



Manda mais detalhes, obrigado.

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:



De: Marcos Carraro 
Assunto: Re: iptables + apache em abaixo do Firewall


Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org


Data: Quarta-feira, 6 de Abril de 2011, 13:28

Cara faz um nat para os IPS




quando chegar requisição para o site 1 redirect to 192.168.16.1




quando chegar requisição para o site 2 redirect to 192.168.16.2










--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:07, Elton Lima  escreveu:




Olá amigos,



Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte como 
faço para ter 2 servidores (apache) abaixo de
 um firewall iptables? Como posso diferenciar as requisições que 
chegam no firewall.

INT --- FW --- APACHE01:80 (site1.com.br)
 |
 -- APACHE02:80 (site2.com.br)





Como fazer o navegador entender que uma requisição vai para o site que está no 
apache01 e outro site no apache02 
ambos utilizam a mesmo porta(80).



Abraços a todos.

Re: iptables + apache em abaixo do Firewall

[Marcos Carraro]

iptables -t nat -A PREROUTING -p tcp --dport 80 -j DNAT --to-destination
192.168.16.1:80 -d 200.180.219.1

iptables -t nat -A PREROUTING -p tcp --dport 80 -j ACCEPT -s 200.130.125.129

Algo assim, mas no caso da porta, usa o IP...

--
att
Marcos Carraro
Linux user #511627



Em 6 de abril de 2011 13:36, Elton Lima  escreveu:

> Marcos,
>
> Eu já tenho um nat para um dos webserver, mas não entendi muito bem como
> seria esse redirect no iptables.
>
> Manda mais detalhes, obrigado.
>
> Elton Lima
> 
> Analista de Suporte
> Tel: +55 21 8714-3381
> E-mail: elton...@gmail.com // eltl...@yahoo.com.br
> Site: http://www.eltonlima.com
>
> --- Em *qua, 6/4/11, Marcos Carraro *escreveu:
>
>
> De: Marcos Carraro 
> Assunto: Re: iptables + apache em abaixo do Firewall
> Para: "Elton Lima" 
> Cc: debian-user-portuguese@lists.debian.org
> Data: Quarta-feira, 6 de Abril de 2011, 13:28
>
>
> Cara faz um nat para os IPS
>
>  quando chegar requisição para o site 1 redirect to 192.168.16.1
>
> quando chegar requisição para o site 2 redirect to 192.168.16.2
>
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 6 de abril de 2011 13:07, Elton Lima 
> http://mc/compose?to=eltl...@yahoo.com.br>
> > escreveu:
>
> Olá amigos,
>
> Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte
> como faço para ter 2 servidores (apache) abaixo de um firewall iptables?
> Como posso diferenciar as requisições que chegam no firewall.
>
> INT --- FW --- APACHE01:80 (site1.com.br)
>  |
>  -- APACHE02:80 (site2.com.br)
>
> Como fazer o navegador entender que uma requisição vai para o site que está
> no apache01 e outro site no apache02  ambos utilizam a mesmo porta(80).
>
> Abraços a todos.
>
>
>

Re: iptables + apache em abaixo do Firewall

[Elton Lima]

Marcos,

Eu já tenho um nat para um dos webserver, mas não entendi muito bem como seria 
esse redirect no iptables.

Manda mais detalhes, obrigado.

Elton Lima



Analista de Suporte 

Tel: +55 21 8714-3381

E-mail: elton...@gmail.com // eltl...@yahoo.com.br

Site: http://www.eltonlima.com

--- Em qua, 6/4/11, Marcos Carraro  escreveu:

De: Marcos Carraro 
Assunto: Re: iptables + apache em abaixo do Firewall
Para: "Elton Lima" 
Cc: debian-user-portuguese@lists.debian.org
Data: Quarta-feira, 6 de Abril de 2011, 13:28

Cara faz um nat para os IPS


quando chegar requisição para o site 1 redirect to 192.168.16.1


quando chegar requisição para o site 2 redirect to 192.168.16.2






--
att


Marcos Carraro
Linux user #511627






Em 6 de abril de 2011 13:07, Elton Lima  escreveu:


Olá amigos,



Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte como 
faço para ter 2 servidores (apache) abaixo de
 um firewall iptables? Como posso diferenciar as requisições que 
chegam no firewall.

INT --- FW --- APACHE01:80 (site1.com.br)
 |
 -- APACHE02:80 (site2.com.br)



Como fazer o navegador entender que uma requisição vai para o site que está no 
apache01 e outro site no apache02 
ambos utilizam a mesmo porta(80).



Abraços a todos.

Re: iptables + apache em abaixo do Firewall

[Marcos Carraro]

Cara faz um nat para os IPS

quando chegar requisição para o site 1 redirect to 192.168.16.1

quando chegar requisição para o site 2 redirect to 192.168.16.2



--
att
Marcos Carraro
Linux user #511627



Em 6 de abril de 2011 13:07, Elton Lima  escreveu:

> Olá amigos,
>
> Eu tenho uma dúvida muito grante e gostaria de uma ajuda.  É o seguinte
> como faço para ter 2 servidores (apache) abaixo de um firewall iptables?
> Como posso diferenciar as requisições que chegam no firewall.
>
> INT --- FW --- APACHE01:80 (site1.com.br)
>  |
>  -- APACHE02:80 (site2.com.br)
>
> Como fazer o navegador entender que uma requisição vai para o site que está
> no apache01 e outro site no apache02  ambos utilizam a mesmo porta(80).
>
> Abraços a todos.
>

Re: Iptables - port-scan

[Eden Caldas]

Você não está fazendo DNAT pra algum computador que tenha smtp rodando não?

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 30 de março de 2011 08:32, Marcos Carraro
escreveu:

> Opa.
>
> Obrigado pela dica. Mas minha instalação é um debian netinstall, por padrão
> vem "pelado"
>
> Segundo a saida do netstat -tpln
>
> Conexões Internet Ativas (sem os servidores)
> Proto Recv-Q Send-Q Endereço Local  Endereço Remoto Estado
>  PID/Program name
> tcp0  0 0.0.0.0:80  0.0.0.0:*   OUÇA
> 917/apache2
> tcp0  0 172.16.1.231:7890.0.0.0:*   OUÇA
> 1230/sshd
> tcp0  0 172.16.1.231:90 0.0.0.0:*   OUÇA
> 917/apache2
> tcp0  0 0.0.0.0:445 0.0.0.0:*   OUÇA
> 901/smbd
> tcp0  0 172.16.1.231:1000.0.0.0:*   OUÇA
> 917/apache2
> tcp0  0 127.0.0.1:3306  0.0.0.0:*   OUÇA
> 1160/mysqld
> tcp0  0 0.0.0.0:139 0.0.0.0:*   OUÇA
> 901/smbd
>
> fuser -v 25/tcp
> não volta nada
>
> já
> fuser -v 80/tcp
>USERPID ACCESS COMMAND
> 80/tcp:  root917 F apache2
>  www-data   1009 F apache2
>  www-data   1010 F apache2
>  www-data   1011 F apache2
>  www-data   1012 F apache2
>  www-data   1013 F apache2
>  www-data   1588 F apache2
>  www-data   1589 F apache2
>
> Vou modificar meu script novamente. revisar tudo.
>
> Desde já agradeço.
>
> Abraços
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>
> Em 30 de março de 2011 01:58, Eden Caldas  escreveu:
>
> Você disse que não tem as portas 25 e 110 escutando mas o nmap achou? Muito
>> estranho isso.
>>
>> Executa o seguinte localmente no computador com o iptables.
>>
>> netstat -tpln
>>
>> Pra ver se aparece algo rodando que abra essas portas.
>>
>> Eden Caldas
>> Consultor de TI
>> e...@linuxfacil.srv.br
>> (81) 9653 7220
>> LINUX FÁCIL – Consultoria e Serviços em TI
>>
>>
>> Em 29 de março de 2011 17:32, Marcos Carraro 
>> escreveu:
>>
>> Boa Tarde Pessoal.
>>>
>>> Estou desenvolvendo um firewall, minhas politicas padrões de input,
>>> output, forward, são drop..
>>> Achei na internet algumas linhas que impeçam que port-scan detectem
>>> alguma porta aberta, ou possam escanear o server.
>>>
>>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s
>>> -j ACCEPT
>>> iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
>>> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
>>> 1/s -j ACCEPT
>>> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
>>> iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
>>>
>>> Mas o nmap consegue escanear, demora muito tempo, algo de 5 a 10 min, mas
>>> ele me retorna bem mais portas aberta, por ex:. 25,110, portas que eu não
>>> tenho nada na escuta, e no meu iptables so tenho liberado ssh e porta 80.
>>>
>>> Alguem teria dicas para bloquear port-scan?
>>>
>>> Muito Obrigado.
>>>
>>> abraços
>>>
>>>
>>>
>>> --
>>> att
>>> Marcos Carraro
>>> Linux user #511627
>>>
>>>
>>>
>>
>
WebRep
Overall rating

Re: Iptables - port-scan

[Marcos Carraro]

Opa.

Obrigado pela dica. Mas minha instalação é um debian netinstall, por padrão
vem "pelado"

Segundo a saida do netstat -tpln

Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local  Endereço Remoto Estado
   PID/Program name
tcp0  0 0.0.0.0:80  0.0.0.0:*   OUÇA
  917/apache2
tcp0  0 172.16.1.231:7890.0.0.0:*   OUÇA
  1230/sshd
tcp0  0 172.16.1.231:90 0.0.0.0:*   OUÇA
  917/apache2
tcp0  0 0.0.0.0:445 0.0.0.0:*   OUÇA
  901/smbd
tcp0  0 172.16.1.231:1000.0.0.0:*   OUÇA
  917/apache2
tcp0  0 127.0.0.1:3306  0.0.0.0:*   OUÇA
  1160/mysqld
tcp0  0 0.0.0.0:139 0.0.0.0:*   OUÇA
  901/smbd

fuser -v 25/tcp
não volta nada

já
fuser -v 80/tcp
   USERPID ACCESS COMMAND
80/tcp:  root917 F apache2
 www-data   1009 F apache2
 www-data   1010 F apache2
 www-data   1011 F apache2
 www-data   1012 F apache2
 www-data   1013 F apache2
 www-data   1588 F apache2
 www-data   1589 F apache2

Vou modificar meu script novamente. revisar tudo.

Desde já agradeço.

Abraços


--
att
Marcos Carraro
Linux user #511627



Em 30 de março de 2011 01:58, Eden Caldas  escreveu:

> Você disse que não tem as portas 25 e 110 escutando mas o nmap achou? Muito
> estranho isso.
>
> Executa o seguinte localmente no computador com o iptables.
>
> netstat -tpln
>
> Pra ver se aparece algo rodando que abra essas portas.
>
> Eden Caldas
> Consultor de TI
> e...@linuxfacil.srv.br
> (81) 9653 7220
> LINUX FÁCIL – Consultoria e Serviços em TI
>
>
> Em 29 de março de 2011 17:32, Marcos Carraro 
> escreveu:
>
> Boa Tarde Pessoal.
>>
>> Estou desenvolvendo um firewall, minhas politicas padrões de input,
>> output, forward, são drop..
>> Achei na internet algumas linhas que impeçam que port-scan detectem alguma
>> porta aberta, ou possam escanear o server.
>>
>> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j
>> ACCEPT
>> iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
>> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
>> 1/s -j ACCEPT
>> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
>> iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
>>
>> Mas o nmap consegue escanear, demora muito tempo, algo de 5 a 10 min, mas
>> ele me retorna bem mais portas aberta, por ex:. 25,110, portas que eu não
>> tenho nada na escuta, e no meu iptables so tenho liberado ssh e porta 80.
>>
>> Alguem teria dicas para bloquear port-scan?
>>
>> Muito Obrigado.
>>
>> abraços
>>
>>
>>
>> --
>> att
>> Marcos Carraro
>> Linux user #511627
>>
>>
>>
>

Re: Iptables - port-scan

[Eden Caldas]

Você disse que não tem as portas 25 e 110 escutando mas o nmap achou? Muito
estranho isso.

Executa o seguinte localmente no computador com o iptables.

netstat -tpln

Pra ver se aparece algo rodando que abra essas portas.

Eden Caldas
Consultor de TI
e...@linuxfacil.srv.br
(81) 9653 7220
LINUX FÁCIL – Consultoria e Serviços em TI


Em 29 de março de 2011 17:32, Marcos Carraro
escreveu:

> Boa Tarde Pessoal.
>
> Estou desenvolvendo um firewall, minhas politicas padrões de input, output,
> forward, são drop..
> Achei na internet algumas linhas que impeçam que port-scan detectem alguma
> porta aberta, ou possam escanear o server.
>
> iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j
> ACCEPT
> iptables -A INPUT -p tcp -m limit --limit 1/s -j ACCEPT
> iptables -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit
> 1/s -j ACCEPT
> iptables -A INPUT -p tcp --tcp-flags ALL SYN,ACK -j DROP
> iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
>
> Mas o nmap consegue escanear, demora muito tempo, algo de 5 a 10 min, mas
> ele me retorna bem mais portas aberta, por ex:. 25,110, portas que eu não
> tenho nada na escuta, e no meu iptables so tenho liberado ssh e porta 80.
>
> Alguem teria dicas para bloquear port-scan?
>
> Muito Obrigado.
>
> abraços
>
>
>
> --
> att
> Marcos Carraro
> Linux user #511627
>
>
>

Re: Iptables no kFreeBSD

[Thiago Paulino]

Ops
Na verdade uso esse :

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-pf.html



Em 28 de fevereiro de 2011 23:18, Thiago Paulino escreveu:

> É um Firewall Excepcional
>
> muito bom, sugiro o uso!
>
>
> Em 28 de fevereiro de 2011 22:18, Rodolfo  escreveu:
>
> Sergio, nesse kernel não existe iptables (pelo menos nao e usado por
>> padrao) o padrao dos kerneis freeBSD é o ipfw, dizem que ele sofreu so 2
>> ataques com sucesso em 14 anose é o melhor firewall que existe...
>>
>> segue um link para informacoes:
>> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
>>
>>
>>
>> Em 28 de fevereiro de 2011 19:30, Sérgio Abrantes Junior <
>> sergioabran...@gmail.com> escreveu:
>>
>> Boa noite,
>>>
>>> Alguém conseguiu rodar o iptables nele? Isso se há essa possibilidade.
>>> O problema é que não há muita informação sobre esse novo Debian.
>>>
>>> Sérgio Abrantes
>>>
>>
>>
>

Re: Iptables no kFreeBSD

[Thiago Paulino]

É um Firewall Excepcional

muito bom, sugiro o uso!


Em 28 de fevereiro de 2011 22:18, Rodolfo  escreveu:

> Sergio, nesse kernel não existe iptables (pelo menos nao e usado por
> padrao) o padrao dos kerneis freeBSD é o ipfw, dizem que ele sofreu so 2
> ataques com sucesso em 14 anose é o melhor firewall que existe...
>
> segue um link para informacoes:
> http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html
>
>
>
> Em 28 de fevereiro de 2011 19:30, Sérgio Abrantes Junior <
> sergioabran...@gmail.com> escreveu:
>
> Boa noite,
>>
>> Alguém conseguiu rodar o iptables nele? Isso se há essa possibilidade.
>> O problema é que não há muita informação sobre esse novo Debian.
>>
>> Sérgio Abrantes
>>
>
>

Re: Iptables no kFreeBSD

[Rodolfo]

Sergio, nesse kernel não existe iptables (pelo menos nao e usado por padrao)
o padrao dos kerneis freeBSD é o ipfw, dizem que ele sofreu so 2 ataques com
sucesso em 14 anose é o melhor firewall que existe...

segue um link para informacoes:
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipfw.html



Em 28 de fevereiro de 2011 19:30, Sérgio Abrantes Junior <
sergioabran...@gmail.com> escreveu:

> Boa noite,
>
> Alguém conseguiu rodar o iptables nele? Isso se há essa possibilidade.
> O problema é que não há muita informação sobre esse novo Debian.
>
> Sérgio Abrantes
>

Re: IPTABLES vs PF

[Moksha Tux]

Pessoal! Muito obrigado pelas sugestões e atenção, pelo que eu pode ouvir de
vcs então não seria aconselhável trocar o PF pelo IPTABLES não é mesmo?
Muito obrigado!

Moksha

Em 21 de dezembro de 2010 08:39, Leonardo Carneiro
escreveu:

> Já tive alguma experiência com o Mikrotik. Realmente muito bacana.
> Várias interfaces de configuração (ssh, telnet, web, cliente
> executável em windows) e gerência simples.
>
> 2010/12/20 Leandro Moreira :
> > Aproveitando a deixa vou dar minha contribuição, se vais realmente fazer
> a
> > troca acho que deveria avaliar o mikrotik e muito robusto e sua operação
> é
> > muito simples
> > www.mikrotik.com
> >
> > La voce baixar uma demo e poda ate criar umn ambiente de homologação para
> > testar.
> >
> > Att.
> >
> > Leandro Moreira
> >
> > PS.: o mikrotik e um linux enxuto e customizado pra provedores da pra
> > encontrar HW para ele com as mais diversas configurações e mais amistoso
> de
> > usar que o linux nativo.
> >
> > Em 20 de dezembro de 2010 17:01, Leonardo Carneiro <
> chesterma...@gmail.com>
> > escreveu:
> >>
> >> Forçando a barra ou não você deve conseguir fazer o IPTABLES aguentar
> >> a bronca de algum jeito, mas também não vejo motivo para trocar o PF.
> >> Acho a manutenção dele muito mais fácil que o IPTABLES.
> >>
> >> 2010/12/20 Rafael Moraes :
> >> > PF é sensacional.
> >> >
> >> >
> >> > Em 20 de dezembro de 2010 16:56, Alex Paulo Laner
> >> > 
> >> > escreveu:
> >> >>
> >> >> Moksha,
> >> >>
> >> >> Até agora não entendi porque você vai trocar o PF por Iptables.
> >> >> Trabalho faz muito tempo com PF e nunca tive problema nenhum,
> firewall
> >> >> limpo, robusto, com magros ajuda muito e leve.
> >> >>
> >> >> Alex
> >> >>
> >> >> 2010/12/20 Moksha Tux 
> >> >>>
> >> >>> Bom dia lista!
> >> >>>
> >> >>> Estou com uma dúvida angustiante, pretendo mudar o roteador /
> firewall
> >> >>> da
> >> >>> empresa que trabalho de PF (Open BSD) para IPTABLES (Liux/Debian) e
> >> >>> estou
> >> >>> deparando com diversas comparações. Tenho um link de 100 Mb dedicado
> e
> >> >>> brevemente passaremos a 1Gb não demorará muito e um park de quase
> >> >>> 3.000
> >> >>> hosts e cerca de 2.800 usuários usando a internet, ouço diversas
> >> >>> coisas a
> >> >>> respeito a essa minha iniciativa, uns dizem que o IPTABLES não
> >> >>> suportará o
> >> >>> fluxo de dados de toda a empresa, outros dizem que pode suportar com
> o
> >> >>> pé
> >> >>> nas costas e outros dizem que é uma tolice minha trocar o tão
> renomado
> >> >>> e
> >> >>> estável PF por IPTABLES e ouros dizem que eu terei que compilar o
> >> >>> Kernel
> >> >>> para aumentar o Contrack para que o IPTABLES suporte tal fluxo de
> >> >>> dados.
> >> >>> Venho aqui solicitar a ajuda de profissionais experientes como vocês
> e
> >> >>> ouvir
> >> >>> conselhos e sugestões sobre esta migração será que o IPTABLES
> >> >>> suportaria o
> >> >>> fluxo da minha rede e eu seria bem sucedido com essa substituição?
> >> >>> Abraços,
> >> >>>
> >> >>> Moksha
> >> >>
> >> >
> >> >
> >> >
> >> > --
> >> > Att,
> >> > Rafael Moraes
> >> > Linux Professional Institute Certified - LPI 2
> >> > Cisco Certified Design Associate - CCDA
> >> > Novell Certified Linux Administrator - CLA
> >> > Data Center Technical Specialist - DCTS
> >> > ITIL Foundations Certified
> >> >
> >> >
> >>
> >>
> >> --
> >> To UNSUBSCRIBE, email to
> debian-user-portuguese-requ...@lists.debian.org
> >> with a subject of "unsubscribe". Trouble? Contact
> >> listmas...@lists.debian.org
> >> Archive:
> >>
> http://lists.debian.org/aanlktikrb6zxfhsl-xbdufe2ltocpglzqjgqqfu...@mail.gmail.com
> >>
> >
> >
> >
> > --
> > Leandro Moreira
> > Network Administrator
> > LPIC1 - Linux Professional Institute Certified
> > e-mail/msn: lean...@leandromoreira.eti.br
> > Tel.: + 55(32) 9906-5713
> >
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/aanlktitfyntqtlbefyrkq2ua7m5fopmj1e_srv7f...@mail.gmail.com
>
>