Re: iptables e syslog
Procure por iptables TEE https://superuser.com/questions/853077/iptables-duplicate-traffic-to-another-ip Em qui., 2 de jan. de 2020 às 09:44, Helio Loureiro escreveu: > O que vc quer fazer parece ser um loadbalancer. iptables não faz. Vc > precisa de algo como nginx ou apache webserver pra fazer isso com reverse > proxy. > > ./helio > > On Wed, Dec 18, 2019, 01:28 Caio Ferreira wrote: > >> Lista >> >> Através do iptables, no computador gateway da rede eu consegui >> redirecionar o tráfego para um determinado IP e porta de um host da rede. >> Eu queria saber se seria possível através do iptables fazer uma cópia dos >> dados para um segundo IP e porta. >> >> Esse segundo host é um servidor de log. Alguém por acaso conhece algum >> software que possa armazenar esses dados provenientes do gateway? >> >> DEsde já agradeço pela atenção. >> >> .''`. Caio Abreu Ferreira >> : :' : abreuf...@gmail.com >> `. `'` Debian User >> `- >> > -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net
Re: iptables e syslog
O que vc quer fazer parece ser um loadbalancer. iptables não faz. Vc precisa de algo como nginx ou apache webserver pra fazer isso com reverse proxy. ./helio On Wed, Dec 18, 2019, 01:28 Caio Ferreira wrote: > Lista > > Através do iptables, no computador gateway da rede eu consegui > redirecionar o tráfego para um determinado IP e porta de um host da rede. > Eu queria saber se seria possível através do iptables fazer uma cópia dos > dados para um segundo IP e porta. > > Esse segundo host é um servidor de log. Alguém por acaso conhece algum > software que possa armazenar esses dados provenientes do gateway? > > DEsde já agradeço pela atenção. > > .''`. Caio Abreu Ferreira > : :' : abreuf...@gmail.com > `. `'` Debian User > `- >
iptables e syslog
Lista Através do iptables, no computador gateway da rede eu consegui redirecionar o tráfego para um determinado IP e porta de um host da rede. Eu queria saber se seria possível através do iptables fazer uma cópia dos dados para um segundo IP e porta. Esse segundo host é um servidor de log. Alguém por acaso conhece algum software que possa armazenar esses dados provenientes do gateway? DEsde já agradeço pela atenção. .''`. Caio Abreu Ferreira : :' : abreuf...@gmail.com `. `'` Debian User `-
Re: iptables cups
Depende se for o básico porta 631 tcp/udp se for IPP possivelmente porta 901/tcp ( pelo que me lembro). ats Nadas que um ss -nlpt no servidor onde vc estiver usando o CUPS não resolva...80) ou um netstat -nlpt ats Em seg, 29 de jul de 2019 às 16:28, Vitor Hugo escreveu: > Bom dia; > > Qual portas precisa abrir para imprimir de uma maquina windows e um > servidor debian linux cups? > > -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net
iptables cups
Bom dia; Qual portas precisa abrir para imprimir de uma maquina windows e um servidor debian linux cups?
Re: regras iptables no boot
apt install iptables-persistent Em 14/05/2019, Vitor Hugo escreveu: > A fim de segurar que somente a maquina de desenvolvimento ira acessar o > servidor Postgres eu criei um script sh com as seguintes regras > iptables, como eu faço para que estas regras sejam ativadas a cada > inicialização do sistema Debian? > > IP servidor PostgreSQL: 192.168.0.27 > > IP Cliente PGAdmin: 192.168.0.66 > > applein@debian:~$ cat iptables_postgreql.sh > #!/bin/sh > iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.27 > --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 0/0 --dport > 1024:65535 -m state --state ESTABLISHED -j ACCEPT > iptables -A INPUT -p tcp -s 192.168.0.66 --sport 1024:65535 -d > 192.168.0.27 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 192.168.0.66 > --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 1024:65535 -d 0/0 > --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT -p tcp -s 0/0 --sport 5432 -d 192.168.0.27 --dport > 1024:65535 -m state --state ESTABLISHED -j ACCEPT > applein@debian:~$ > > -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout
Substituir Iptables pelo Nftables
Olá, Alguém já substituiu o iptables pelo nftables? Algum ganho? dificuldades? módulos que não funcionam? Obrigado, Marcelo
Re: regras iptables no boot
Boa tarde! Eu geralmente coloco elas no /etc/rc.local At.te Em 14/05/2019 12:36, Vitor Hugo escreveu: > A fim de segurar que somente a maquina de desenvolvimento ira acessar o > servidor Postgres eu criei um script sh com as seguintes regras > iptables, como eu faço para que estas regras sejam ativadas a cada > inicialização do sistema Debian? > > IP servidor PostgreSQL: 192.168.0.27 > > IP Cliente PGAdmin: 192.168.0.66 > > applein@debian:~$ cat iptables_postgreql.sh > #!/bin/sh > iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.27 > --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 0/0 --dport > 1024:65535 -m state --state ESTABLISHED -j ACCEPT > iptables -A INPUT -p tcp -s 192.168.0.66 --sport 1024:65535 -d > 192.168.0.27 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 192.168.0.66 > --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT > iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 1024:65535 -d 0/0 > --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT > iptables -A INPUT -p tcp -s 0/0 --sport 5432 -d 192.168.0.27 --dport > 1024:65535 -m state --state ESTABLISHED -j ACCEPT > applein@debian:~$ > -- Paz e Bem! Alcione Ferreira Sombra® 101080 [http://www.alcionesytes.net/] --- Liberdade e conhecimento ao alcance de todos. Office Escritório - http://www.openoffice.org.br/ Navegador Firefox - http://www.mozilla.org.br/ Email Thunderbird - http://www.mozilla.org.br/ --- Linux user number 432030 of http://counter.li.org/ --- ICQ: 377035698 Jabber: ksomb...@jabber.org MSN: sombra_mes...@hotmail.com --- Curriculum: http://lattes.cnpq.br/0545256741852110 "Em paz me deito e logo adormeço, por que só tu, DEUS, me fazes viver tranquilo" Salmo 4,9 signature.asc Description: OpenPGP digital signature
regras iptables no boot
A fim de segurar que somente a maquina de desenvolvimento ira acessar o servidor Postgres eu criei um script sh com as seguintes regras iptables, como eu faço para que estas regras sejam ativadas a cada inicialização do sistema Debian? IP servidor PostgreSQL: 192.168.0.27 IP Cliente PGAdmin: 192.168.0.66 applein@debian:~$ cat iptables_postgreql.sh #!/bin/sh iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.27 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 0/0 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s 192.168.0.66 --sport 1024:65535 -d 192.168.0.27 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 192.168.0.66 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 1024:65535 -d 0/0 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp -s 0/0 --sport 5432 -d 192.168.0.27 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT applein@debian:~$
Re: Dúvida para limpar algumas regras de iptables
Também concordo, há maneiras bem legais de fazer isso com gnu. :/ recentemente empacotei o LSM, uma aplicação simples pra manter status dos links e quando cair chamar um script pra fazer os procedimentos necessários. On 03-11-2016 22:07, Henrique Fagundes wrote: > Opa, > > Claro meu amigo! > > Só que nesse caso, decidimos por colocar um equipamento da cisco na > frente dos links, unicamente para fazer o balanceamento e o failover. > > Isso não foi resolvido da maneira que eu gostaria, mas isso foi > debatido em reunião com a nossa TI, e infelizmente a opinião da > maioria foi essa. > > Atenciosamente, > > Henrique Fagundes > henri...@linuxadmin.com.br > Skype: magnata-br-rj > Linux User: 475399 > > http://www.aprendendolinux.com/ > http://www.facebook.com/PortalAprendendoLinux > http://youtube.com/aprendendolinux/ > http://twitter.com/aprendendolinux/ > __ > Participe do Grupo Aprendendo Linux > https://groups.google.com/forum/#!forum/portal-aprendendo-linux > > Ou envie um e-mail para: > portal-aprendendo-linux+subscr...@googlegroups.com > > > > Em 03/11/2016 22:29, Lucas Castro escreveu: >> Sempre bom sitar a soluções, >> >> talvez possa ajudar outras pessoas futuramente. >> >> >> -- >> >> Lucas Castro >> >> On 03-11-2016 21:22, Henrique Fagundes wrote: >>> Prezados, >>> >>> Boa noite! >>> >>> Obrigado pela dica, mas eu resolvi a minha questão de uma outra >>> maneira. >>> >>> Atenciosamente, >>> >>> Henrique Fagundes >>> henri...@linuxadmin.com.br >>> Skype: magnata-br-rj >>> Linux User: 475399 >>> >>> http://www.aprendendolinux.com/ >>> http://www.facebook.com/PortalAprendendoLinux >>> http://youtube.com/aprendendolinux/ >>> http://twitter.com/aprendendolinux/ >>> __ >>> Participe do Grupo Aprendendo Linux >>> https://groups.google.com/forum/#!forum/portal-aprendendo-linux >>> >>> Ou envie um e-mail para: >>> portal-aprendendo-linux+subscr...@googlegroups.com >>> >>> >>> >>> Em 03/11/2016 08:58, Gabriel Ricardo escreveu: >>>> Bom dia! >>>> >>>> Você pode listar as regras por numero de linha, segue um guia: >>>> >>>> https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number >>>> >>>> >>>> >>>> >>>> Atenciosamente, >>>> *Gabriel Ricardo* >>>> Fone: +55 41 88817828 >>>> Skype: gabriel.nerdworkti >>>> >>>> >>>> Em 1 de novembro de 2016 14:43, Linux - Junior Polegato >>>> <li...@juniorpolegato.com.br <mailto:li...@juniorpolegato.com.br>> >>>> escreveu: >>>> >>>> Em 31-10-2016 14:54, Henrique Fagundes escreveu: >>>> >>>> Prezados Colegas, >>>> >>>> Primeiramente saudações pinguianas para todos. >>>> >>>> Estou com uma dificuldade em relação a remoção de algumas >>>> regras >>>> via script. >>>> >>>> No meu cenário, eu tenho três links e algumas (na verdade >>>> muitas) regras de marcação de pacotes, TIPO, assim: >>>> >>>> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK >>>> --set-mark 1 >>>> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK >>>> --set-mark 1 >>>> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK >>>> --set-mark 1 >>>> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK >>>> --set-mark 1 >>>> >>>> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK >>>> --set-mark 2 >>>> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK >>>> --set-mark 2 >>>> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK >>>> --set-mark 2 >>>> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK >>>> --set-mark 2 >>>> >>>> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK >>>> --set-mark 3 >>>> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK >>>>
Re: Dúvida para limpar algumas regras de iptables
Qual foi a maneira? Em 3 de novembro de 2016 22:29, Lucas Castro <lucascastrobor...@gmail.com> escreveu: > Sempre bom sitar a soluções, > > talvez possa ajudar outras pessoas futuramente. > > > -- > > Lucas Castro > > On 03-11-2016 21:22, Henrique Fagundes wrote: > > Prezados, > > > > Boa noite! > > > > Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira. > > > > Atenciosamente, > > > > Henrique Fagundes > > henri...@linuxadmin.com.br > > Skype: magnata-br-rj > > Linux User: 475399 > > > > http://www.aprendendolinux.com/ > > http://www.facebook.com/PortalAprendendoLinux > > http://youtube.com/aprendendolinux/ > > http://twitter.com/aprendendolinux/ > > __ > > Participe do Grupo Aprendendo Linux > > https://groups.google.com/forum/#!forum/portal-aprendendo-linux > > > > Ou envie um e-mail para: > > portal-aprendendo-linux+subscr...@googlegroups.com > > > > > > > > Em 03/11/2016 08:58, Gabriel Ricardo escreveu: > >> Bom dia! > >> > >> Você pode listar as regras por numero de linha, segue um guia: > >> > >> https://www.digitalocean.com/community/tutorials/how-to- > list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number > >> > >> > >> > >> Atenciosamente, > >> *Gabriel Ricardo* > >> Fone: +55 41 88817828 > >> Skype: gabriel.nerdworkti > >> > >> > >> Em 1 de novembro de 2016 14:43, Linux - Junior Polegato > >> <li...@juniorpolegato.com.br <mailto:li...@juniorpolegato.com.br>> > >> escreveu: > >> > >> Em 31-10-2016 14:54, Henrique Fagundes escreveu: > >> > >> Prezados Colegas, > >> > >> Primeiramente saudações pinguianas para todos. > >> > >> Estou com uma dificuldade em relação a remoção de algumas regras > >> via script. > >> > >> No meu cenário, eu tenho três links e algumas (na verdade > >> muitas) regras de marcação de pacotes, TIPO, assim: > >> > >> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK > >> --set-mark 1 > >> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK > >> --set-mark 1 > >> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK > >> --set-mark 1 > >> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK > >> --set-mark 1 > >> > >> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK > >> --set-mark 2 > >> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK > >> --set-mark 2 > >> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK > >> --set-mark 2 > >> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK > >> --set-mark 2 > >> > >> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK > >> --set-mark 3 > >> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK > >> --set-mark 3 > >> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK > >> --set-mark 3 > >> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK > >> --set-mark 3 > >> > >> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo > >> toda a tabela mangle. > >> > >> Mas e seu quiser limpar apenas as regras de marcação para saída > >> pelo link 2? Como ficaria o comando de iptables? > >> > >> Preciso descobrir como fazer isso, pois sempre que um link cai e > >> meu failover troca o gateway padrão, ele precisará excluir as > >> marcações de pacotes para o link que caiu. > >> > >> Se alguém puder ajudar, ficarei muito grato. > >> > >> > >> Olá! > >> > >> Existem várias forma de fazer isso, mas com um sistema já > >> com as regra prontas, usaria para selecionar determinadas regras > >> "iptables-save -t " com "grep <expressão para selecionar>", > >> aí substituiria o "-A" por "-D" e executaria cada linha resultante, > >> no seu caso ficaria: > >> > >> iptables-save -t mangle |\ > >> grep 'set-xmark 0x2/' |\ > >> sed 's/^-A/iptables -t mangle -D/' |\ > >> while read linha; do > >> $linha > >> done > >> > >> > >> -- > >> > >> []'s > >> > >> Junior Polegato > >> > >> > > > > > -- Atenciosamente, Rodrigo da Silva Cunha
Re: Dúvida para limpar algumas regras de iptables
Opa, Claro meu amigo! Só que nesse caso, decidimos por colocar um equipamento da cisco na frente dos links, unicamente para fazer o balanceamento e o failover. Isso não foi resolvido da maneira que eu gostaria, mas isso foi debatido em reunião com a nossa TI, e infelizmente a opinião da maioria foi essa. Atenciosamente, Henrique Fagundes henri...@linuxadmin.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux https://groups.google.com/forum/#!forum/portal-aprendendo-linux Ou envie um e-mail para: portal-aprendendo-linux+subscr...@googlegroups.com Em 03/11/2016 22:29, Lucas Castro escreveu: Sempre bom sitar a soluções, talvez possa ajudar outras pessoas futuramente. -- Lucas Castro On 03-11-2016 21:22, Henrique Fagundes wrote: Prezados, Boa noite! Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira. Atenciosamente, Henrique Fagundes henri...@linuxadmin.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux https://groups.google.com/forum/#!forum/portal-aprendendo-linux Ou envie um e-mail para: portal-aprendendo-linux+subscr...@googlegroups.com Em 03/11/2016 08:58, Gabriel Ricardo escreveu: Bom dia! Você pode listar as regras por numero de linha, segue um guia: https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number Atenciosamente, *Gabriel Ricardo* Fone: +55 41 88817828 Skype: gabriel.nerdworkti Em 1 de novembro de 2016 14:43, Linux - Junior Polegato <li...@juniorpolegato.com.br <mailto:li...@juniorpolegato.com.br>> escreveu: Em 31-10-2016 14:54, Henrique Fagundes escreveu: Prezados Colegas, Primeiramente saudações pinguianas para todos. Estou com uma dificuldade em relação a remoção de algumas regras via script. No meu cenário, eu tenho três links e algumas (na verdade muitas) regras de marcação de pacotes, TIPO, assim: iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a tabela mangle. Mas e seu quiser limpar apenas as regras de marcação para saída pelo link 2? Como ficaria o comando de iptables? Preciso descobrir como fazer isso, pois sempre que um link cai e meu failover troca o gateway padrão, ele precisará excluir as marcações de pacotes para o link que caiu. Se alguém puder ajudar, ficarei muito grato. Olá! Existem várias forma de fazer isso, mas com um sistema já com as regra prontas, usaria para selecionar determinadas regras "iptables-save -t " com "grep <expressão para selecionar>", aí substituiria o "-A" por "-D" e executaria cada linha resultante, no seu caso ficaria: iptables-save -t mangle |\ grep 'set-xmark 0x2/' |\ sed 's/^-A/iptables -t mangle -D/' |\ while read linha; do $linha done -- []'s Junior Polegato
Re: Dúvida para limpar algumas regras de iptables
Sempre bom sitar a soluções, talvez possa ajudar outras pessoas futuramente. -- Lucas Castro On 03-11-2016 21:22, Henrique Fagundes wrote: > Prezados, > > Boa noite! > > Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira. > > Atenciosamente, > > Henrique Fagundes > henri...@linuxadmin.com.br > Skype: magnata-br-rj > Linux User: 475399 > > http://www.aprendendolinux.com/ > http://www.facebook.com/PortalAprendendoLinux > http://youtube.com/aprendendolinux/ > http://twitter.com/aprendendolinux/ > __ > Participe do Grupo Aprendendo Linux > https://groups.google.com/forum/#!forum/portal-aprendendo-linux > > Ou envie um e-mail para: > portal-aprendendo-linux+subscr...@googlegroups.com > > > > Em 03/11/2016 08:58, Gabriel Ricardo escreveu: >> Bom dia! >> >> Você pode listar as regras por numero de linha, segue um guia: >> >> https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number >> >> >> >> Atenciosamente, >> *Gabriel Ricardo* >> Fone: +55 41 88817828 >> Skype: gabriel.nerdworkti >> >> >> Em 1 de novembro de 2016 14:43, Linux - Junior Polegato >> <li...@juniorpolegato.com.br <mailto:li...@juniorpolegato.com.br>> >> escreveu: >> >> Em 31-10-2016 14:54, Henrique Fagundes escreveu: >> >> Prezados Colegas, >> >> Primeiramente saudações pinguianas para todos. >> >> Estou com uma dificuldade em relação a remoção de algumas regras >> via script. >> >> No meu cenário, eu tenho três links e algumas (na verdade >> muitas) regras de marcação de pacotes, TIPO, assim: >> >> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK >> --set-mark 1 >> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK >> --set-mark 1 >> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK >> --set-mark 1 >> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK >> --set-mark 1 >> >> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK >> --set-mark 2 >> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK >> --set-mark 2 >> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK >> --set-mark 2 >> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK >> --set-mark 2 >> >> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK >> --set-mark 3 >> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK >> --set-mark 3 >> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK >> --set-mark 3 >> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK >> --set-mark 3 >> >> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo >> toda a tabela mangle. >> >> Mas e seu quiser limpar apenas as regras de marcação para saída >> pelo link 2? Como ficaria o comando de iptables? >> >> Preciso descobrir como fazer isso, pois sempre que um link cai e >> meu failover troca o gateway padrão, ele precisará excluir as >> marcações de pacotes para o link que caiu. >> >> Se alguém puder ajudar, ficarei muito grato. >> >> >> Olá! >> >> Existem várias forma de fazer isso, mas com um sistema já >> com as regra prontas, usaria para selecionar determinadas regras >> "iptables-save -t " com "grep <expressão para selecionar>", >> aí substituiria o "-A" por "-D" e executaria cada linha resultante, >> no seu caso ficaria: >> >> iptables-save -t mangle |\ >> grep 'set-xmark 0x2/' |\ >> sed 's/^-A/iptables -t mangle -D/' |\ >> while read linha; do >> $linha >> done >> >> >> -- >> >> []'s >> >> Junior Polegato >> >> > signature.asc Description: OpenPGP digital signature
Re: Dúvida para limpar algumas regras de iptables
Prezados, Boa noite! Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira. Atenciosamente, Henrique Fagundes henri...@linuxadmin.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux https://groups.google.com/forum/#!forum/portal-aprendendo-linux Ou envie um e-mail para: portal-aprendendo-linux+subscr...@googlegroups.com Em 03/11/2016 08:58, Gabriel Ricardo escreveu: Bom dia! Você pode listar as regras por numero de linha, segue um guia: https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number Atenciosamente, *Gabriel Ricardo* Fone: +55 41 88817828 Skype: gabriel.nerdworkti Em 1 de novembro de 2016 14:43, Linux - Junior Polegato <li...@juniorpolegato.com.br <mailto:li...@juniorpolegato.com.br>> escreveu: Em 31-10-2016 14:54, Henrique Fagundes escreveu: Prezados Colegas, Primeiramente saudações pinguianas para todos. Estou com uma dificuldade em relação a remoção de algumas regras via script. No meu cenário, eu tenho três links e algumas (na verdade muitas) regras de marcação de pacotes, TIPO, assim: iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a tabela mangle. Mas e seu quiser limpar apenas as regras de marcação para saída pelo link 2? Como ficaria o comando de iptables? Preciso descobrir como fazer isso, pois sempre que um link cai e meu failover troca o gateway padrão, ele precisará excluir as marcações de pacotes para o link que caiu. Se alguém puder ajudar, ficarei muito grato. Olá! Existem várias forma de fazer isso, mas com um sistema já com as regra prontas, usaria para selecionar determinadas regras "iptables-save -t " com "grep <expressão para selecionar>", aí substituiria o "-A" por "-D" e executaria cada linha resultante, no seu caso ficaria: iptables-save -t mangle |\ grep 'set-xmark 0x2/' |\ sed 's/^-A/iptables -t mangle -D/' |\ while read linha; do $linha done -- []'s Junior Polegato
Re: Dúvida para limpar algumas regras de iptables
Bom dia! Você pode listar as regras por numero de linha, segue um guia: https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number Atenciosamente, *Gabriel Ricardo* Fone: +55 41 88817828 Skype: gabriel.nerdworkti Em 1 de novembro de 2016 14:43, Linux - Junior Polegato < li...@juniorpolegato.com.br> escreveu: > Em 31-10-2016 14:54, Henrique Fagundes escreveu: > >> Prezados Colegas, >> >> Primeiramente saudações pinguianas para todos. >> >> Estou com uma dificuldade em relação a remoção de algumas regras via >> script. >> >> No meu cenário, eu tenho três links e algumas (na verdade muitas) regras >> de marcação de pacotes, TIPO, assim: >> >> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 >> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 >> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 >> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 >> >> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 >> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 >> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 >> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 >> >> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 >> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 >> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 >> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 >> >> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a >> tabela mangle. >> >> Mas e seu quiser limpar apenas as regras de marcação para saída pelo link >> 2? Como ficaria o comando de iptables? >> >> Preciso descobrir como fazer isso, pois sempre que um link cai e meu >> failover troca o gateway padrão, ele precisará excluir as marcações de >> pacotes para o link que caiu. >> >> Se alguém puder ajudar, ficarei muito grato. >> > > Olá! > > Existem várias forma de fazer isso, mas com um sistema já com as > regra prontas, usaria para selecionar determinadas regras "iptables-save -t > " com "grep <expressão para selecionar>", aí substituiria o "-A" por > "-D" e executaria cada linha resultante, no seu caso ficaria: > > iptables-save -t mangle |\ > grep 'set-xmark 0x2/' |\ > sed 's/^-A/iptables -t mangle -D/' |\ > while read linha; do > $linha > done > > > -- > > []'s > > Junior Polegato > >
Re: Dúvida para limpar algumas regras de iptables
Em 31-10-2016 14:54, Henrique Fagundes escreveu: Prezados Colegas, Primeiramente saudações pinguianas para todos. Estou com uma dificuldade em relação a remoção de algumas regras via script. No meu cenário, eu tenho três links e algumas (na verdade muitas) regras de marcação de pacotes, TIPO, assim: iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a tabela mangle. Mas e seu quiser limpar apenas as regras de marcação para saída pelo link 2? Como ficaria o comando de iptables? Preciso descobrir como fazer isso, pois sempre que um link cai e meu failover troca o gateway padrão, ele precisará excluir as marcações de pacotes para o link que caiu. Se alguém puder ajudar, ficarei muito grato. Olá! Existem várias forma de fazer isso, mas com um sistema já com as regra prontas, usaria para selecionar determinadas regras "iptables-save -t " com "grep <expressão para selecionar>", aí substituiria o "-A" por "-D" e executaria cada linha resultante, no seu caso ficaria: iptables-save -t mangle |\ grep 'set-xmark 0x2/' |\ sed 's/^-A/iptables -t mangle -D/' |\ while read linha; do $linha done -- []'s Junior Polegato
Re: Dúvida para limpar algumas regras de iptables
On 31-10-2016 13:54, Henrique Fagundes wrote: > Prezados Colegas, > > Primeiramente saudações pinguianas para todos. > > Estou com uma dificuldade em relação a remoção de algumas regras via > script. > > No meu cenário, eu tenho três links e algumas (na verdade muitas) > regras de marcação de pacotes, TIPO, assim: > > iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 > > iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 > > iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 > > Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a > tabela mangle. > > Mas e seu quiser limpar apenas as regras de marcação para saída pelo > link 2? Como ficaria o comando de iptables? > > Preciso descobrir como fazer isso, pois sempre que um link cai e meu > failover troca o gateway padrão, ele precisará excluir as marcações de > pacotes para o link que caiu. > > Se alguém puder ajudar, ficarei muito grato. > > Atenciosamente, > > Henrique Fagundes > henri...@linuxadmin.com.br > Skype: magnata-br-rj > Linux User: 475399 > > http://www.aprendendolinux.com/ > http://www.facebook.com/PortalAprendendoLinux > http://youtube.com/aprendendolinux/ > http://twitter.com/aprendendolinux/ > __ > Participe do Grupo Aprendendo Linux > https://groups.google.com/forum/#!forum/portal-aprendendo-linux > > Ou envie um e-mail para: > portal-aprendendo-linux+subscr...@googlegroups.com > Um método de trabalhar com iptables é tentar encapsular regras semelhantes dentro de umas mesma CHAIN. Então, seria bem mais simples você criar uma CHAIN pra cada link e quando necessário limpar aquela a CHAIN desejada. Fica mais simples, mais fácil de entender e administrar. -- Lucas Castro signature.asc Description: OpenPGP digital signature
Re: Dúvida para limpar algumas regras de iptables
On 31-10-2016 13:54, Henrique Fagundes wrote: > Prezados Colegas, > > Primeiramente saudações pinguianas para todos. > > Estou com uma dificuldade em relação a remoção de algumas regras via > script. > > No meu cenário, eu tenho três links e algumas (na verdade muitas) > regras de marcação de pacotes, TIPO, assim: > > iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 > > iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 > > iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 > > Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a > tabela mangle. > > Mas e seu quiser limpar apenas as regras de marcação para saída pelo > link 2? Como ficaria o comando de iptables? > > Preciso descobrir como fazer isso, pois sempre que um link cai e meu > failover troca o gateway padrão, ele precisará excluir as marcações de > pacotes para o link que caiu. > > Se alguém puder ajudar, ficarei muito grato. > > Atenciosamente, > > Henrique Fagundes > henri...@linuxadmin.com.br > Skype: magnata-br-rj > Linux User: 475399 > > http://www.aprendendolinux.com/ > http://www.facebook.com/PortalAprendendoLinux > http://youtube.com/aprendendolinux/ > http://twitter.com/aprendendolinux/ > __ > Participe do Grupo Aprendendo Linux > https://groups.google.com/forum/#!forum/portal-aprendendo-linux > > Ou envie um e-mail para: > portal-aprendendo-linux+subscr...@googlegroups.com > Um método de trabalhar com iptables é tentar encapsular regras semelhantes dentro de umas mesma CHAIN. Então, seria bem mais simples você criar uma CHAIN pra cada link e quando necessário limpar aquela a CHAIN desejada. Fica mais simples, mais fácil de entender e administrar. -- Lucas Castro signature.asc Description: OpenPGP digital signature
Re: Dúvida para limpar algumas regras de iptables
E porque não pensar de forma diferente Porque não trocar no script failover para as marcações 2 irem por outra tabela de roteamento? Creio que com -D resolva... iptables -t mangle -D PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 *--* Att Marcos Carraro <http://br.linkedin.com/in/mcarraro> Em 31 de outubro de 2016 14:54, Henrique Fagundes < henri...@linuxadmin.com.br> escreveu: > Prezados Colegas, > > Primeiramente saudações pinguianas para todos. > > Estou com uma dificuldade em relação a remoção de algumas regras via > script. > > No meu cenário, eu tenho três links e algumas (na verdade muitas) regras > de marcação de pacotes, TIPO, assim: > > iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 > iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 > > iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 > iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 > > iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 > iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 > > Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a > tabela mangle. > > Mas e seu quiser limpar apenas as regras de marcação para saída pelo link > 2? Como ficaria o comando de iptables? > > Preciso descobrir como fazer isso, pois sempre que um link cai e meu > failover troca o gateway padrão, ele precisará excluir as marcações de > pacotes para o link que caiu. > > Se alguém puder ajudar, ficarei muito grato. > > Atenciosamente, > > Henrique Fagundes > henri...@linuxadmin.com.br > Skype: magnata-br-rj > Linux User: 475399 > > http://www.aprendendolinux.com/ > http://www.facebook.com/PortalAprendendoLinux > http://youtube.com/aprendendolinux/ > http://twitter.com/aprendendolinux/ > __ > Participe do Grupo Aprendendo Linux > https://groups.google.com/forum/#!forum/portal-aprendendo-linux > > Ou envie um e-mail para: > portal-aprendendo-linux+subscr...@googlegroups.com > >
Dúvida para limpar algumas regras de iptables
Prezados Colegas, Primeiramente saudações pinguianas para todos. Estou com uma dificuldade em relação a remoção de algumas regras via script. No meu cenário, eu tenho três links e algumas (na verdade muitas) regras de marcação de pacotes, TIPO, assim: iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1 iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2 iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3 iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3 Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a tabela mangle. Mas e seu quiser limpar apenas as regras de marcação para saída pelo link 2? Como ficaria o comando de iptables? Preciso descobrir como fazer isso, pois sempre que um link cai e meu failover troca o gateway padrão, ele precisará excluir as marcações de pacotes para o link que caiu. Se alguém puder ajudar, ficarei muito grato. Atenciosamente, Henrique Fagundes henri...@linuxadmin.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux https://groups.google.com/forum/#!forum/portal-aprendendo-linux Ou envie um e-mail para: portal-aprendendo-linux+subscr...@googlegroups.com
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
Posta as rotas: route -n On 11-08-2014 14:10, Rudimar wrote: bom galera, tentei as dicas mas não foi, não sei o que pode ser, vou postar meu script fica mais fácil, #!/bin/bash modprobe iptable_nat modprobe iptable_filter modprobe ipt_LOG modprobe ipt_state modprobe ipt_limit echo 1 /proc/sys/net/ipv4/ip_forward echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts IPT=/sbin/iptables REDE=192.168.1.0/24 http://192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 IP4=x.189 # Seta IPs nas interfaces virtuais ifconfig eth0:0 x.186 netmask 255.255.255.0 ifconfig eth0:1 x.187 netmask 255.255.255.0 ifconfig eth0:2 x.188 netmask 255.255.255.0 ifconfig eth0:2 x.189 netmask 255.255.255.0 # Arquivos de portas liberadas PT_TCP=/etc/squid/PT_TCP PT_UDP=/etc/squid/PT_UDP # Limpando Regras existentes $IPT -F $IPT -Z $IPT -t nat -F $IPT -t mangle -F $IPT -t filter -F $IPT -t nat -Z $IPT -t mangle -Z $IPT -t filter -Z echo Regras Zeradas. # Definindo Politicas Padrão $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT # Habilitanto NAT $IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE # Liberando Input loopback $IPT -A INPUT -i lo -j ACCEPT # Ativa Proxy Transparente $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128 # Forca o uso do proxy #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to 192.168.0.253:80 http://192.168.0.253:80 # Liberando Conexoes Estabelecidas pela LAN $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT # Libera Resposta a ping WAN $IPT -A INPUT -p icmp -i $WAN -j ACCEPT # Libera Acessos LAN_to_WAN # $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT for i in `cat $PT_TCP`; do $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i -j ACCEPT done for i in `cat $PT_UDP`; do $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i -j ACCEPT done # Bloqueia IPs #IPT -A INPUT -s 81.35.253.20 -j DROP # Libera Porta para fora #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j ACCEPT # Libera PC Acesso geral LAN_to_WAN #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT # Acessos LAN_to_Server $IPT -A INPUT -p icmp -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport -i $LAN -s $REDE -j ACCEPT # Servicos WAN_to_Server $IPT -A INPUT -p tcp --dport -i $WAN -j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $WAN -j ACCEPT # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT --to 192.168.1.5 #Redirect para Servidor PostgreSQL SERVIDOR NOVO $IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT --to 192.168.1.4 #Redirect para Servidor FTP $IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 # Redireciona acessos internos ao $IP1 para o 192.168.1.2 $IPT -A INPUT -p tcp --dport 84 -i $LAN -j ACCEPT $IPT -A FORWARD -i $LAN -p tcp --dport 84 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 84 -i $LAN -d $IP1 -j DNAT --to 192.168.1.2 # Desabilitando Filtro martian source for eee in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 $eee done # Libera uso do FTP modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT echo Fim do Firewall. Em 8 de agosto de 2014 18:38, paulo bruck
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
Pessoal, alguém tem algum exemplo de script com multi ip de entrada? Em 11 de agosto de 2014 17:23, Rudimar corsar...@gmail.com escreveu: Olha pessoal, alguma coisa não faz as regras iptables funcionar, instalei o squid e esta funcionando pela porta 3128, mas mesmo dando iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s 192.168.1.0/24 -j REDIRECT --to 3128 não funciona :( Em 11 de agosto de 2014 14:38, Rudimar corsar...@gmail.com escreveu: na verdade é 255.255.255.248 , eu ja tinha testado e voltei para padrão, voltei para .248 e teste e nada... outra coisa na interface network xxx.xxx.xxx.184/29 é valido por assim essa configuração? é a minha rede. eu havia instalado o webmin e removi, pode ter ficado algum configuração? Em 11 de agosto de 2014 14:15, Anderson Eckhardt ander.sama...@gmail.com escreveu: Tem certeza que sua netmask é 255.255.255.0? Me parece muito para IP válido... Em 11/08/2014, às 14:10, Rudimar corsar...@gmail.com escreveu: bom galera, tentei as dicas mas não foi, não sei o que pode ser, vou postar meu script fica mais fácil, #!/bin/bash modprobe iptable_nat modprobe iptable_filter modprobe ipt_LOG modprobe ipt_state modprobe ipt_limit echo 1 /proc/sys/net/ipv4/ip_forward echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts IPT=/sbin/iptables REDE=192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 IP4=x.189 # Seta IPs nas interfaces virtuais ifconfig eth0:0 x.186 netmask 255.255.255.0 ifconfig eth0:1 x.187 netmask 255.255.255.0 ifconfig eth0:2 x.188 netmask 255.255.255.0 ifconfig eth0:2 x.189 netmask 255.255.255.0 # Arquivos de portas liberadas PT_TCP=/etc/squid/PT_TCP PT_UDP=/etc/squid/PT_UDP # Limpando Regras existentes $IPT -F $IPT -Z $IPT -t nat -F $IPT -t mangle -F $IPT -t filter -F $IPT -t nat -Z $IPT -t mangle -Z $IPT -t filter -Z echo Regras Zeradas. # Definindo Politicas Padrão $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT # Habilitanto NAT $IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE # Liberando Input loopback $IPT -A INPUT -i lo -j ACCEPT # Ativa Proxy Transparente $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128 # Forca o uso do proxy #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to 192.168.0.253:80 # Liberando Conexoes Estabelecidas pela LAN $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT # Libera Resposta a ping WAN $IPT -A INPUT -p icmp -i $WAN -j ACCEPT # Libera Acessos LAN_to_WAN # $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT for i in `cat $PT_TCP`; do $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i -j ACCEPT done for i in `cat $PT_UDP`; do $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i -j ACCEPT done # Bloqueia IPs #IPT -A INPUT -s 81.35.253.20 -j DROP # Libera Porta para fora #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j ACCEPT # Libera PC Acesso geral LAN_to_WAN #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT # Acessos LAN_to_Server $IPT -A INPUT -p icmp -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport -i $LAN -s $REDE -j ACCEPT # Servicos WAN_to_Server $IPT -A INPUT -p tcp --dport -i $WAN -j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $WAN -j ACCEPT # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT --to 192.168.1.5 #Redirect para Servidor PostgreSQL SERVIDOR NOVO $IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT --to 192.168.1.4 #Redirect para Servidor FTP $IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 # Redireciona acessos internos ao $IP1 para o 192.168.1.2 $IPT -A INPUT -p tcp --dport 84
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
bom galera, tentei as dicas mas não foi, não sei o que pode ser, vou postar meu script fica mais fácil, #!/bin/bash modprobe iptable_nat modprobe iptable_filter modprobe ipt_LOG modprobe ipt_state modprobe ipt_limit echo 1 /proc/sys/net/ipv4/ip_forward echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts IPT=/sbin/iptables REDE=192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 IP4=x.189 # Seta IPs nas interfaces virtuais ifconfig eth0:0 x.186 netmask 255.255.255.0 ifconfig eth0:1 x.187 netmask 255.255.255.0 ifconfig eth0:2 x.188 netmask 255.255.255.0 ifconfig eth0:2 x.189 netmask 255.255.255.0 # Arquivos de portas liberadas PT_TCP=/etc/squid/PT_TCP PT_UDP=/etc/squid/PT_UDP # Limpando Regras existentes $IPT -F $IPT -Z $IPT -t nat -F $IPT -t mangle -F $IPT -t filter -F $IPT -t nat -Z $IPT -t mangle -Z $IPT -t filter -Z echo Regras Zeradas. # Definindo Politicas Padrão $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT # Habilitanto NAT $IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE # Liberando Input loopback $IPT -A INPUT -i lo -j ACCEPT # Ativa Proxy Transparente $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128 # Forca o uso do proxy #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to 192.168.0.253:80 # Liberando Conexoes Estabelecidas pela LAN $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT # Libera Resposta a ping WAN $IPT -A INPUT -p icmp -i $WAN -j ACCEPT # Libera Acessos LAN_to_WAN # $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT for i in `cat $PT_TCP`; do $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i -j ACCEPT done for i in `cat $PT_UDP`; do $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i -j ACCEPT done # Bloqueia IPs #IPT -A INPUT -s 81.35.253.20 -j DROP # Libera Porta para fora #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j ACCEPT # Libera PC Acesso geral LAN_to_WAN #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT # Acessos LAN_to_Server $IPT -A INPUT -p icmp -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport -i $LAN -s $REDE -j ACCEPT # Servicos WAN_to_Server $IPT -A INPUT -p tcp --dport -i $WAN -j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $WAN -j ACCEPT # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT --to 192.168.1.5 #Redirect para Servidor PostgreSQL SERVIDOR NOVO $IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT --to 192.168.1.4 #Redirect para Servidor FTP $IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 # Redireciona acessos internos ao $IP1 para o 192.168.1.2 $IPT -A INPUT -p tcp --dport 84 -i $LAN -j ACCEPT $IPT -A FORWARD -i $LAN -p tcp --dport 84 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 84 -i $LAN -d $IP1 -j DNAT --to 192.168.1.2 # Desabilitando Filtro martian source for eee in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 $eee done # Libera uso do FTP modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED -j ACCEPT iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state ESTABLISHED,RELATED -j ACCEPT echo Fim do Firewall. Em 8 de agosto de 2014 18:38, paulo bruck paulobru...@gmail.com escreveu: mais alguns pontos para vc verificar. o firewall antes de tudo é um roteador. vc setou o
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
Tem certeza que sua netmask é 255.255.255.0? Me parece muito para IP válido... Em 11/08/2014, às 14:10, Rudimar corsar...@gmail.com escreveu: bom galera, tentei as dicas mas não foi, não sei o que pode ser, vou postar meu script fica mais fácil, #!/bin/bash modprobe iptable_nat modprobe iptable_filter modprobe ipt_LOG modprobe ipt_state modprobe ipt_limit echo 1 /proc/sys/net/ipv4/ip_forward echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts IPT=/sbin/iptables REDE=192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 IP4=x.189 # Seta IPs nas interfaces virtuais ifconfig eth0:0 x.186 netmask 255.255.255.0 ifconfig eth0:1 x.187 netmask 255.255.255.0 ifconfig eth0:2 x.188 netmask 255.255.255.0 ifconfig eth0:2 x.189 netmask 255.255.255.0 # Arquivos de portas liberadas PT_TCP=/etc/squid/PT_TCP PT_UDP=/etc/squid/PT_UDP # Limpando Regras existentes $IPT -F $IPT -Z $IPT -t nat -F $IPT -t mangle -F $IPT -t filter -F $IPT -t nat -Z $IPT -t mangle -Z $IPT -t filter -Z echo Regras Zeradas. # Definindo Politicas Padrão $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT # Habilitanto NAT $IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE # Liberando Input loopback $IPT -A INPUT -i lo -j ACCEPT # Ativa Proxy Transparente $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128 # Forca o uso do proxy #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to 192.168.0.253:80 # Liberando Conexoes Estabelecidas pela LAN $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT # Libera Resposta a ping WAN $IPT -A INPUT -p icmp -i $WAN -j ACCEPT # Libera Acessos LAN_to_WAN # $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT for i in `cat $PT_TCP`; do $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i -j ACCEPT done for i in `cat $PT_UDP`; do $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i -j ACCEPT done # Bloqueia IPs #IPT -A INPUT -s 81.35.253.20 -j DROP # Libera Porta para fora #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j ACCEPT # Libera PC Acesso geral LAN_to_WAN #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT # Acessos LAN_to_Server $IPT -A INPUT -p icmp -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport -i $LAN -s $REDE -j ACCEPT # Servicos WAN_to_Server $IPT -A INPUT -p tcp --dport -i $WAN -j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $WAN -j ACCEPT # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT --to 192.168.1.5 #Redirect para Servidor PostgreSQL SERVIDOR NOVO $IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT --to 192.168.1.4 #Redirect para Servidor FTP $IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 # Redireciona acessos internos ao $IP1 para o 192.168.1.2 $IPT -A INPUT -p tcp --dport 84 -i $LAN -j ACCEPT $IPT -A FORWARD -i $LAN -p tcp --dport 84 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 84 -i $LAN -d $IP1 -j DNAT --to 192.168.1.2 # Desabilitando Filtro martian source for eee in /proc/sys/net/ipv4/conf/*/rp_filter; do echo 0 $eee done # Libera uso do FTP modprobe ip_conntrack_ftp modprobe ip_nat_ftp iptables -A OUTPUT -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 21 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
Olha pessoal, alguma coisa não faz as regras iptables funcionar, instalei o squid e esta funcionando pela porta 3128, mas mesmo dando iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s 192.168.1.0/24 -j REDIRECT --to 3128 não funciona :( Em 11 de agosto de 2014 14:38, Rudimar corsar...@gmail.com escreveu: na verdade é 255.255.255.248 , eu ja tinha testado e voltei para padrão, voltei para .248 e teste e nada... outra coisa na interface network xxx.xxx.xxx.184/29 é valido por assim essa configuração? é a minha rede. eu havia instalado o webmin e removi, pode ter ficado algum configuração? Em 11 de agosto de 2014 14:15, Anderson Eckhardt ander.sama...@gmail.com escreveu: Tem certeza que sua netmask é 255.255.255.0? Me parece muito para IP válido... Em 11/08/2014, às 14:10, Rudimar corsar...@gmail.com escreveu: bom galera, tentei as dicas mas não foi, não sei o que pode ser, vou postar meu script fica mais fácil, #!/bin/bash modprobe iptable_nat modprobe iptable_filter modprobe ipt_LOG modprobe ipt_state modprobe ipt_limit echo 1 /proc/sys/net/ipv4/ip_forward echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts IPT=/sbin/iptables REDE=192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 IP4=x.189 # Seta IPs nas interfaces virtuais ifconfig eth0:0 x.186 netmask 255.255.255.0 ifconfig eth0:1 x.187 netmask 255.255.255.0 ifconfig eth0:2 x.188 netmask 255.255.255.0 ifconfig eth0:2 x.189 netmask 255.255.255.0 # Arquivos de portas liberadas PT_TCP=/etc/squid/PT_TCP PT_UDP=/etc/squid/PT_UDP # Limpando Regras existentes $IPT -F $IPT -Z $IPT -t nat -F $IPT -t mangle -F $IPT -t filter -F $IPT -t nat -Z $IPT -t mangle -Z $IPT -t filter -Z echo Regras Zeradas. # Definindo Politicas Padrão $IPT -P INPUT DROP $IPT -P FORWARD DROP $IPT -P OUTPUT ACCEPT # Habilitanto NAT $IPT -t nat -A POSTROUTING -o $WAN -j MASQUERADE # Liberando Input loopback $IPT -A INPUT -i lo -j ACCEPT # Ativa Proxy Transparente $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT --to-port 3128 # Forca o uso do proxy #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to 192.168.0.253:80 # Liberando Conexoes Estabelecidas pela LAN $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT # Libera Resposta a ping WAN $IPT -A INPUT -p icmp -i $WAN -j ACCEPT # Libera Acessos LAN_to_WAN # $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT for i in `cat $PT_TCP`; do $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i -j ACCEPT done for i in `cat $PT_UDP`; do $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i -j ACCEPT done # Bloqueia IPs #IPT -A INPUT -s 81.35.253.20 -j DROP # Libera Porta para fora #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j ACCEPT # Libera PC Acesso geral LAN_to_WAN #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT # Acessos LAN_to_Server $IPT -A INPUT -p icmp -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE -j ACCEPT $IPT -A INPUT -p tcp --dport -i $LAN -s $REDE -j ACCEPT # Servicos WAN_to_Server $IPT -A INPUT -p tcp --dport -i $WAN -j ACCEPT $IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT $IPT -A INPUT -p tcp --dport 3128 -i $WAN -j ACCEPT # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT --to 192.168.1.5 #Redirect para Servidor PostgreSQL SERVIDOR NOVO $IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT --to 192.168.1.4 #Redirect para Servidor FTP $IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 # Redireciona acessos internos ao $IP1 para o 192.168.1.2 $IPT -A INPUT -p tcp --dport 84 -i $LAN -j ACCEPT $IPT -A FORWARD -i $LAN -p tcp --dport 84 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 84 -i $LAN -d $IP1 -j DNAT --to 192.168.1.2
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
e aproveite para ler este doc que é o melhor que eu já ví até hoje sobre iptables: https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html Excelente essa dica Paulo... Já adicionei aos favoritos;) Abs! -- Tiago™ É bom tudo aquilo que faço que diminui o meu poder sobre outra pessoa; é ruim tudo aquilo que faço que aumenta o meu poder sobre ela.” Antônio Joaquim Severino -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/53e67758.9090...@openmailbox.org
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
mais alguns pontos para vc verificar. o firewall antes de tudo é um roteador. vc setou o ip_forward ? De uma olhada no arquivo /etc/sysctl.conf que normalmente no debian esta linha está comentada. reinicialize ioo seu firewall aos a modificação ou de o comando sysctl -w ou algo assim , estou longe de um terminal... Aproveite e coloque no começo do seu script: iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT e aproveite para ler este doc que é o melhor que eu já ví até hoje sobre iptables: https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html []s Em 8 de agosto de 2014 14:48, Rudimar corsar...@gmail.com escreveu: tentei, $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t filter -A FORWARD -p tcp --dport 3389 -i $WAN -d 192.168.1.2 -j ACCEPT isso certo? mesma coisa... Em 6 de agosto de 2014 19:35, paulo bruck paulobru...@gmail.com escreveu: Toda regra de NAT obrigatoriamente tem que ter uma regra de FORWARD ( se for entre redes) $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 $IPT -t filter -A FORWARD -p tcp --dport 3389 -i $WAN -d 192.168.1.4 -j ACCEPT outra coisa que vc está confundindo é INPUT com FORWARD abaixo: # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT INPUT é usado quando vc quer acessar algum serviço NO firewall. FORWARD é usado quando vc quer acessar serviço entre redes. ats Paulo Ricardo Bruck http://www.contatogs.com.br http://www.protejasuarede.com.br Em 6 de agosto de 2014 19:25, Rudimar corsar...@gmail.com escreveu: Galera preciso de ajuda, estou tentando fazer um firewall para a rede aqui e preciso de uma ajuda. Para entender, esse é configuração do meu link (x é ip valido, logicamente ocultei botando x): Rede: x.184/29 x.184 - endereço da Rede x.185 - Gateway x.186 - livre para uso x.187 - livre para uso x.188 - livre para uso x.191 - Broadcast Máscara: 255.255.255.248 -- no /etc/network/interfaces botei assim: # Link # The primary network interface allow-hotplug eth0 iface eth0 inet static address x.186 netmask 255.255.255.248 network x.0 broadcast x.191 gateway x.185 #Rede local allow-hotplug eth1 iface eth1 inet static address 192.168.1.100 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 -- quero direcionar ip/porta especifica para cada servidor, exemplo terminal service ... IPT=/sbin/iptables REDE=192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 ifconfig eth0:0 x.186 netmask 255.255.255.248 ifconfig eth0:1 x.187 netmask 255.255.255.248 ifconfig eth0:2 x.188 netmask 255.255.255.248 # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT # Direciona para cada Servidor $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 .. O que falta fazer? pois não funciona... se acessar os ips externamente todos caem no firewall... squid.conf é só saída certo? -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net
fazendo um firewall - dúvida interfaces e iptables para direcionar
Galera preciso de ajuda, estou tentando fazer um firewall para a rede aqui e preciso de uma ajuda. Para entender, esse é configuração do meu link (x é ip valido, logicamente ocultei botando x): Rede: x.184/29 x.184 - endereço da Rede x.185 - Gateway x.186 - livre para uso x.187 - livre para uso x.188 - livre para uso x.191 - Broadcast Máscara: 255.255.255.248 -- no /etc/network/interfaces botei assim: # Link # The primary network interface allow-hotplug eth0 iface eth0 inet static address x.186 netmask 255.255.255.248 network x.0 broadcast x.191 gateway x.185 #Rede local allow-hotplug eth1 iface eth1 inet static address 192.168.1.100 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 -- quero direcionar ip/porta especifica para cada servidor, exemplo terminal service ... IPT=/sbin/iptables REDE=192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 ifconfig eth0:0 x.186 netmask 255.255.255.248 ifconfig eth0:1 x.187 netmask 255.255.255.248 ifconfig eth0:2 x.188 netmask 255.255.255.248 # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT # Direciona para cada Servidor $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 .. O que falta fazer? pois não funciona... se acessar os ips externamente todos caem no firewall... squid.conf é só saída certo?
Re: fazendo um firewall - dúvida interfaces e iptables para direcionar
Toda regra de NAT obrigatoriamente tem que ter uma regra de FORWARD ( se for entre redes) $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 $IPT -t filter -A FORWARD -p tcp --dport 3389 -i $WAN -d 192.168.1.4 -j ACCEPT outra coisa que vc está confundindo é INPUT com FORWARD abaixo: # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT INPUT é usado quando vc quer acessar algum serviço NO firewall. FORWARD é usado quando vc quer acessar serviço entre redes. ats Paulo Ricardo Bruck http://www.contatogs.com.br http://www.protejasuarede.com.br Em 6 de agosto de 2014 19:25, Rudimar corsar...@gmail.com escreveu: Galera preciso de ajuda, estou tentando fazer um firewall para a rede aqui e preciso de uma ajuda. Para entender, esse é configuração do meu link (x é ip valido, logicamente ocultei botando x): Rede: x.184/29 x.184 - endereço da Rede x.185 - Gateway x.186 - livre para uso x.187 - livre para uso x.188 - livre para uso x.191 - Broadcast Máscara: 255.255.255.248 -- no /etc/network/interfaces botei assim: # Link # The primary network interface allow-hotplug eth0 iface eth0 inet static address x.186 netmask 255.255.255.248 network x.0 broadcast x.191 gateway x.185 #Rede local allow-hotplug eth1 iface eth1 inet static address 192.168.1.100 netmask 255.255.255.0 network 192.168.1.0 broadcast 192.168.1.255 -- quero direcionar ip/porta especifica para cada servidor, exemplo terminal service ... IPT=/sbin/iptables REDE=192.168.1.0/24 LAN=eth1 WAN=eth0 IP1=x.186 IP2=x.187 IP3=x.188 ifconfig eth0:0 x.186 netmask 255.255.255.248 ifconfig eth0:1 x.187 netmask 255.255.255.248 ifconfig eth0:2 x.188 netmask 255.255.255.248 # Servicos WAN_to_LAN $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT # Direciona para cada Servidor $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 192.168.1.2 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 192.168.1.3 $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 192.168.1.4 .. O que falta fazer? pois não funciona... se acessar os ips externamente todos caem no firewall... squid.conf é só saída certo? -- Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br gpg AAA59989 at wwwkeys.us.pgp.net
Re: Iptables
Meus amigos, Em primeiro lugar peço desculpas pelo retorno do e-mail. Estava externo e só voltei hoje. Acabamos tomando como solução a movimentação deste host para uma outra interface. O que resolveu. Agradeço a ajuda de todos vocês. Muito obrigado Atenciosamente, Ricardo Tweeg Em Quarta-feira, 23 de Julho de 2014 12:16, Linux - Junior Polegato li...@juniorpolegato.com.br escreveu: Olá! O IP de destino é o IP externo e não o interno no PREROUTING. iptables -A PREROUTING -i eth0 -s 192.168.10.0/24 -d ip_externo --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80 Outra alternativa é trabalhar com views no DNS, assim para quem acessar o DNS de fora vai dar o IP externo e para quem for de dentro vai dar o IP interno. -- []'s Junior Polegato Em 22-07-2014 16:07, Joao Arthur escreveu: Ricardo, veja se da certo: iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29 --dport 80 -j DNAT --to 192.168.10.29 iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT João Arthur Date: Tue, 22 Jul 2014 11:22:54 -0700 From: rtw...@yahoo.com.br Subject: Iptables To: debian-user-portuguese@lists.debian.org Meus amigos, boa tarde. Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de vocês. Na minha rede local, existe uma máquina que precisa ser acessada por outras máquinas da mesma rede local passando pelo firewall. O que fiz até agora foi: Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor. Assim, todas as máquinas da rede local que quiserem acessar este servidor, terão que resolver o nome e terão como resposta da resolução o IP externo. Assim, como se trata de um IP externo, terão que passar pelo firewall. No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que chegar da rede local, com destino ao IP externo e na porta 80 deverá ser redirecionado ao IP interno do servidor na porta 80. Vejam a regra como ficou: Rede Local: 192.168.0.0/24 IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80 iptables -A PREROUTING -i eth0 -s 192.168.10.0/24 -d 192.168.10.29 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80 Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall para acessar uma máquina que faz parte do mesmo range/segmento. Mas gostaria de fazer assim por conta de alguns motivos. Essa seria a melhor solução? Está faltando alguma regra de retorno? Esta faltando alguma regra na FOWARD? Obrigado pela ajuda Atenciosamente, Ricardo -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: https://lists.debian.org/1406229000.7694.yahoomail...@web140004.mail.bf1.yahoo.com
Re: Iptables
Olá! O IP de destino é o IP externo e não o interno no PREROUTING. iptables -A PREROUTING -i eth0 -s 192.168.10.0/24 -d ip_externo --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80 Outra alternativa é trabalhar com views no DNS, assim para quem acessar o DNS de fora vai dar o IP externo e para quem for de dentro vai dar o IP interno. -- []'s Junior Polegato Em 22-07-2014 16:07, Joao Arthur escreveu: Ricardo, veja se da certo: iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29 --dport 80 -j DNAT --to 192.168.10.29 iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT João Arthur Date: Tue, 22 Jul 2014 11:22:54 -0700 From: rtw...@yahoo.com.br Subject: Iptables To: debian-user-portuguese@lists.debian.org Meus amigos, boa tarde. Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de vocês. Na minha rede local, existe uma máquina que precisa ser acessada por outras máquinas da mesma rede local passando pelo firewall. O que fiz até agora foi: Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor. Assim, todas as máquinas da rede local que quiserem acessar este servidor, terão que resolver o nome e terão como resposta da resolução o IP externo. Assim, como se trata de um IP externo, terão que passar pelo firewall. No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que chegar da rede local, com destino ao IP externo e na porta 80 deverá ser redirecionado ao IP interno do servidor na porta 80. Vejam a regra como ficou: Rede Local: 192.168.0.0/24 IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80 iptables -A PREROUTING -i eth0 -s 192.168.10.0/24 -d 192.168.10.29 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80 Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall para acessar uma máquina que faz parte do mesmo range/segmento. Mas gostaria de fazer assim por conta de alguns motivos. Essa seria a melhor solução? Está faltando alguma regra de retorno? Esta faltando alguma regra na FOWARD? Obrigado pela ajuda Atenciosamente, Ricardo
Iptables
Meus amigos, boa tarde. Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de vocês. Na minha rede local, existe uma máquina que precisa ser acessada por outras máquinas da mesma rede local passando pelo firewall. O que fiz até agora foi: Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor. Assim, todas as máquinas da rede local que quiserem acessar este servidor, terão que resolver o nome e terão como resposta da resolução o IP externo. Assim, como se trata de um IP externo, terão que passar pelo firewall. No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que chegar da rede local, com destino ao IP externo e na porta 80 deverá ser redirecionado ao IP interno do servidor na porta 80. Vejam a regra como ficou: Rede Local: 192.168.0.0/24 IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80 iptables -A PREROUTING -i eth0 -s 192.168.10.0/24 -d 192.168.10.29 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80 Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall para acessar uma máquina que faz parte do mesmo range/segmento. Mas gostaria de fazer assim por conta de alguns motivos. Essa seria a melhor solução? Está faltando alguma regra de retorno? Esta faltando alguma regra na FOWARD? Obrigado pela ajuda Atenciosamente, Ricardo
RE: Iptables
Ricardo, veja se da certo: iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29 --dport 80 -j DNAT --to 192.168.10.29 iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT João Arthur Date: Tue, 22 Jul 2014 11:22:54 -0700 From: rtw...@yahoo.com.br Subject: Iptables To: debian-user-portuguese@lists.debian.org Meus amigos, boa tarde. Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de vocês. Na minha rede local, existe uma máquina que precisa ser acessada por outras máquinas da mesma rede local passando pelo firewall. O que fiz até agora foi:Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor.Assim, todas as máquinas da rede local que quiserem acessar este servidor, terão que resolver o nome e terão como resposta da resolução o IP externo.Assim, como se trata de um IP externo, terão que passar pelo firewall.No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que chegar da rede local, com destino ao IP externo e na porta 80 deverá ser redirecionado ao IP interno do servidor na porta 80. Vejam a regra como ficou: Rede Local: 192.168.0.0/24IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80 iptables -A PREROUTING -i eth0 -s 192.168.10.0/24 -d 192.168.10.29 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80 Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall para acessar uma máquina que faz parte do mesmo range/segmento.Mas gostaria de fazer assim por conta de alguns motivos. Essa seria a melhor solução?Está faltando alguma regra de retorno?Esta faltando alguma regra na FOWARD? Obrigado pela ajudaAtenciosamente, Ricardo
Re: Fwd: Re: Bloqueio com Iptables;
Em 04/12/13, Juliojulio.s...@gmail.com escreveu: Essa semana eu vi esse artigo http://www.vivaolinux.com.br/artigo/Fail2ban-Bloqueio-de-Peer-to-Peer-Ares-uTorrent-e-Proxies-UltraSurf-e-Tor/ pode ser util abraços =-0 Foi nesse link, pq já brinquei com o fail2ban há um tempo atrás mas isso aqui é demais... $ cat /home/lista | while read line; do iptables -A FORWARD -d $line -j LOG --log-prefix =TorProject= ; done eu não estou acreditando que o cara escreveu isso num artigo do VOL... rpz o conceito de escabilidade vai para as cucuias aí... isso sim deveria levar o troféu armengue!!! E se o tor tiver um zilhão de ips isso é oq dá o povo meter a mão nas coisas e antes de saber o conceitos de custo|algoritmos|progarmação... haja hardware... anyway... [ ] 's -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/CACnf0phB°EXJDqU5cG8C3ptH81Ygm8xkM-yJ1+CJ6=bwd...@mail.gmail.com
Re: Bloqueio com Iptables;
Já tentou bloqueio de sync. Não tem nada que passe se não tiver sync. Abraços, Paulo Correia Em 02-12-2013 21:47, Thobias Oliveira escreveu: Me desculpe nobre Chará rsrsrsrs! Mas acredito que fazendo por este meio descrito neste artigo do V|OL que o senhor indicou seria bem mais custoso do que criar uma única regra para bloqueio de duas únicas strings (tor e ultrasurf). só a formação do arquivo de log já exige disco e memória então o caso seria de escolher segundo a demanda da rede o que seria melhor. Abraços, Thobias Em 29 de novembro de 2013 19:58, Tobias Sette tobiase...@gmail.com mailto:tobiase...@gmail.com escreveu: Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar. Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda: # http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/ $iptables -A FORWARD -d 65.49.14.0/24 http://65.49.14.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf $iptables -A FORWARD -d 111.255.176.0/24 http://111.255.176.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@ W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de novembro de 2013 18:37, Moksha Tux gova...@gmail.com mailto:gova...@gmail.com escreveu: Já que é assim vc não terá outra escolha senão compilar o kernel e habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito que encontrei aqui na reda de onde trabalho. Abraços, Moksha Tux Em 29 de novembro de 2013 14:10, Deivison Moraes deivisonmor...@mutumnet.com.br mailto:deivisonmor...@mutumnet.com.br escreveu: É em rede corporativa, porem é inviável fazer isso, são muitas filiais e nem em todas os pcs clientes eu terei acesso. []'s Deivison Moraes Em 29-11-2013 18:02, Renan Arantes escreveu: Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org mailto:debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
Re: Bloqueio com Iptables;
Poderia ser mais claro. Obrigado! Em 04-12-2013 23:08, Paulo Correia escreveu: Já tentou bloqueio de sync. Não tem nada que passe se não tiver sync. Abraços, Paulo Correia Em 02-12-2013 21:47, Thobias Oliveira escreveu: Me desculpe nobre Chará rsrsrsrs! Mas acredito que fazendo por este meio descrito neste artigo do V|OL que o senhor indicou seria bem mais custoso do que criar uma única regra para bloqueio de duas únicas strings (tor e ultrasurf). só a formação do arquivo de log já exige disco e memória então o caso seria de escolher segundo a demanda da rede o que seria melhor. Abraços, Thobias Em 29 de novembro de 2013 19:58, Tobias Sette tobiase...@gmail.com mailto:tobiase...@gmail.com escreveu: Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar. Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda: # http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/ $iptables -A FORWARD -d 65.49.14.0/24 http://65.49.14.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf $iptables -A FORWARD -d 111.255.176.0/24 http://111.255.176.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@ W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de novembro de 2013 18:37, Moksha Tux gova...@gmail.com mailto:gova...@gmail.com escreveu: Já que é assim vc não terá outra escolha senão compilar o kernel e habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito que encontrei aqui na reda de onde trabalho. Abraços, Moksha Tux Em 29 de novembro de 2013 14:10, Deivison Moraes deivisonmor...@mutumnet.com.br mailto:deivisonmor...@mutumnet.com.br escreveu: É em rede corporativa, porem é inviável fazer isso, são muitas filiais e nem em todas os pcs clientes eu terei acesso. []'s Deivison Moraes Em 29-11-2013 18:02, Renan Arantes escreveu: Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org mailto:debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject
Re: Bloqueio com Iptables;
Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com
Re: Bloqueio com Iptables;
Onde tem curso ead de fw? Julio julio.s...@gmail.com escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com
Fwd: Re: Bloqueio com Iptables;
Obrigado Julio, pela dica. Já veio estudando o iptables e seus módulos há algum tempo, já sou SysAdmin Linux há 4 anos (não que este tempo seja muito). Este tópico é para ver o que o pessoal tem usado para bloquear afim de integrar com uma solução mais fácil de administrar. O ultrasurf é bem complexo de bloquear baseando se no destino. Até consegui segura lo nas portas 443 e no squid quando ele está com proxy setado; fiz várias investidas para descobrir como ele trabalhava. Percebi, assim como muitas documentações na internet, que bloquear o ultrasurf pelo destino é custoso e ineficaz, pois ele não trabalha fixo na porta 443 e nem somente com ssl. Grato []'s Deivison Moraes Em 05-12-2013 00:01, Julio escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529faecd.5030...@mutumnet.com.br
Re: Bloqueio com Iptables;
Bloqueio de sync é mais ou menos assim iptables -A FORWARD -o eth1 -p tcp --syn -j REJECT Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em média usado R$ 19,00 a 25,50 e novo de R$ 19,90 a 27,00. Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead eu não conheço, se existir quero o site. Abraços, Paulo Correia Em 04-12-2013 22:14, Leandro Paulo escreveu: Onde tem curso ead de fw? Julio julio.s...@gmail.com escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/blu0-smtp124fe6024c6c388045a4fefdd...@phx.gbl
Re: Bloqueio com Iptables;
Mas dessa forma eu bloquearia todo o tcp. De fato, este livro é excelente! []'s Deivison Moraes Em 05-12-2013 00:38, Paulo Correia escreveu: Bloqueio de sync é mais ou menos assim iptables -A FORWARD -o eth1 -p tcp --syn -j REJECT Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em média usado R$ 19,00 a 25,50 e novo de R$ 19,90 a 27,00. Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead eu não conheço, se existir quero o site. Abraços, Paulo Correia Em 04-12-2013 22:14, Leandro Paulo escreveu: Onde tem curso ead de fw? Julio julio.s...@gmail.com escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fafcb.7090...@mutumnet.com.br
Re: Bloqueio com Iptables;
Todos os pacotes syn. Em 04-12-2013 22:42, Deivison Moraes escreveu: Mas dessa forma eu bloquearia todo o tcp. De fato, este livro é excelente! []'s Deivison Moraes Em 05-12-2013 00:38, Paulo Correia escreveu: Bloqueio de sync é mais ou menos assim iptables -A FORWARD -o eth1 -p tcp --syn -j REJECT Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em média usado R$ 19,00 a 25,50 e novo de R$ 19,90 a 27,00. Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead eu não conheço, se existir quero o site. Abraços, Paulo Correia Em 04-12-2013 22:14, Leandro Paulo escreveu: Onde tem curso ead de fw? Julio julio.s...@gmail.com escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fb024.5030...@mutumnet.com.br
Re: Fwd: Re: Bloqueio com Iptables;
Essa semana eu vi esse artigo http://www.vivaolinux.com.br/artigo/Fail2ban-Bloqueio-de-Peer-to-Peer-Ares-uTorrent-e-Proxies-UltraSurf-e-Tor/ pode ser util abraços Em 04-12-2013 19:38, Deivison Moraes escreveu: Obrigado Julio, pela dica. Já veio estudando o iptables e seus módulos há algum tempo, já sou SysAdmin Linux há 4 anos (não que este tempo seja muito). Este tópico é para ver o que o pessoal tem usado para bloquear afim de integrar com uma solução mais fácil de administrar. O ultrasurf é bem complexo de bloquear baseando se no destino. Até consegui segura lo nas portas 443 e no squid quando ele está com proxy setado; fiz várias investidas para descobrir como ele trabalhava. Percebi, assim como muitas documentações na internet, que bloquear o ultrasurf pelo destino é custoso e ineficaz, pois ele não trabalha fixo na porta 443 e nem somente com ssl. Grato []'s Deivison Moraes Em 05-12-2013 00:01, Julio escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fcd7c.7060...@gmail.com
Re: Bloqueio com Iptables;
Acredito que existem varias empresas https://www.google.com.br/#q=iptables+ead+ Abraços Em 04-12-2013 21:14, Leandro Paulo escreveu: Onde tem curso ead de fw? Julio julio.s...@gmail.com escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fce14.40...@gmail.com
Re: Bloqueio com Iptables;
Sim, vou montar alguns testes com as ranges do ultrasurf e ver até que ponto ele consegue ser efetivo. Mais uma vez, obrigado à todos. Em 05-12-2013 00:44, Antonio Novaes escreveu: Não necessariamente. Deste que relacione o destino. bloquear todo sync que vai para o destino 1.2.3.4 Att, Antonio Novaes de C. Jr Analista TIC - Sistema e Infraestrutura Pós-graduando em Segurança de Rede de Computadores LPIC-1 - Linux Certified Professional Level 1 Novell Certified Linux Administrator (CLA) ID Linux: 481126 | LPI000255169 LinkedIN: Perfil Público http://www.linkedin.com/pub/antonio-novaes/50/608/138 Em 4 de dezembro de 2013 20:42, Deivison Moraes deivisonmor...@mutumnet.com.br mailto:deivisonmor...@mutumnet.com.br escreveu: Mas dessa forma eu bloquearia todo o tcp. De fato, este livro é excelente! []'s Deivison Moraes Em 05-12-2013 00:38, Paulo Correia escreveu: Bloqueio de sync é mais ou menos assim iptables -A FORWARD -o eth1 -p tcp --syn -j REJECT Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em média usado R$ 19,00 a 25,50 e novo de R$ 19,90 a 27,00. Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead eu não conheço, se existir quero o site. Abraços, Paulo Correia Em 04-12-2013 22:14, Leandro Paulo escreveu: Onde tem curso ead de fw? Julio julio.s...@gmail.com mailto:julio.s...@gmail.com escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/529fafcb.7090...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fb198.3010...@mutumnet.com.br
Re: Fwd: Re: Bloqueio com Iptables;
Foi útil sim Júlio, um outro membro também o mandou no inicio da thread, porem te confesso que está é minha última opção. []'s Deivison Moraes Em 05-12-2013 00:49, Julio escreveu: Essa semana eu vi esse artigo http://www.vivaolinux.com.br/artigo/Fail2ban-Bloqueio-de-Peer-to-Peer-Ares-uTorrent-e-Proxies-UltraSurf-e-Tor/ pode ser util abraços Em 04-12-2013 19:38, Deivison Moraes escreveu: Obrigado Julio, pela dica. Já veio estudando o iptables e seus módulos há algum tempo, já sou SysAdmin Linux há 4 anos (não que este tempo seja muito). Este tópico é para ver o que o pessoal tem usado para bloquear afim de integrar com uma solução mais fácil de administrar. O ultrasurf é bem complexo de bloquear baseando se no destino. Até consegui segura lo nas portas 443 e no squid quando ele está com proxy setado; fiz várias investidas para descobrir como ele trabalhava. Percebi, assim como muitas documentações na internet, que bloquear o ultrasurf pelo destino é custoso e ineficaz, pois ele não trabalha fixo na porta 443 e nem somente com ssl. Grato []'s Deivison Moraes Em 05-12-2013 00:01, Julio escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fb247.90...@mutumnet.com.br
Re: Bloqueio com Iptables;
Acho que na 4linux também tem alguns cursos que abordam firewall. []'s Deivison Moraes Em 05-12-2013 00:51, Julio escreveu: Acredito que existem varias empresas https://www.google.com.br/#q=iptables+ead+ Abraços Em 04-12-2013 21:14, Leandro Paulo escreveu: Onde tem curso ead de fw? Julio julio.s...@gmail.com escreveu: Olá Deivison , tudo bem ? Tenta estudar mais a fundo o iptables , tem cursos ead e material open source . Se você pretende ou exerce alguma atividade de Admin é importante você estudar . Abraços Em 29-11-2013 12:22, Deivison Moraes escreveu: Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fc259.4090...@gmail.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/529fb27d.5050...@mutumnet.com.br
Re: Bloqueio com Iptables;
^_^ De fato. Contudo o log é uma boa coisa a ser feita, em ambos os métodos. Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 2 de dezembro de 2013 21:47, Thobias Oliveira spiritme...@gmail.comescreveu: Me desculpe nobre Chará rsrsrsrs! Mas acredito que fazendo por este meio descrito neste artigo do V|OL que o senhor indicou seria bem mais custoso do que criar uma única regra para bloqueio de duas únicas strings (tor e ultrasurf). só a formação do arquivo de log já exige disco e memória então o caso seria de escolher segundo a demanda da rede o que seria melhor. Abraços, Thobias Em 29 de novembro de 2013 19:58, Tobias Sette tobiase...@gmail.comescreveu: Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar. Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda: # http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/ $iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf $iptables -A FORWARD -d 111.255.176.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de novembro de 2013 18:37, Moksha Tux gova...@gmail.com escreveu: Já que é assim vc não terá outra escolha senão compilar o kernel e habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito que encontrei aqui na reda de onde trabalho. Abraços, Moksha Tux Em 29 de novembro de 2013 14:10, Deivison Moraes deivisonmor...@mutumnet.com.br escreveu: É em rede corporativa, porem é inviável fazer isso, são muitas filiais e nem em todas os pcs clientes eu terei acesso. []'s Deivison Moraes Em 29-11-2013 18:02, Renan Arantes escreveu: Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
Re: Bloqueio com Iptables;
Me desculpe nobre Chará rsrsrsrs! Mas acredito que fazendo por este meio descrito neste artigo do V|OL que o senhor indicou seria bem mais custoso do que criar uma única regra para bloqueio de duas únicas strings (tor e ultrasurf). só a formação do arquivo de log já exige disco e memória então o caso seria de escolher segundo a demanda da rede o que seria melhor. Abraços, Thobias Em 29 de novembro de 2013 19:58, Tobias Sette tobiase...@gmail.comescreveu: Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar. Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda: # http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/ $iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf $iptables -A FORWARD -d 111.255.176.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de novembro de 2013 18:37, Moksha Tux gova...@gmail.com escreveu: Já que é assim vc não terá outra escolha senão compilar o kernel e habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito que encontrei aqui na reda de onde trabalho. Abraços, Moksha Tux Em 29 de novembro de 2013 14:10, Deivison Moraes deivisonmor...@mutumnet.com.br escreveu: É em rede corporativa, porem é inviável fazer isso, são muitas filiais e nem em todas os pcs clientes eu terei acesso. []'s Deivison Moraes Em 29-11-2013 18:02, Renan Arantes escreveu: Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
Bloqueio com Iptables;
Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br
RES: Bloqueio com Iptables;
Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/003901ceed2d$34dc5810$9e950830$@gmail.com
Re: Bloqueio com Iptables;
É em rede corporativa, porem é inviável fazer isso, são muitas filiais e nem em todas os pcs clientes eu terei acesso. []'s Deivison Moraes Em 29-11-2013 18:02, Renan Arantes escreveu: Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
Re: Bloqueio com Iptables;
Já que é assim vc não terá outra escolha senão compilar o kernel e habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito que encontrei aqui na reda de onde trabalho. Abraços, Moksha Tux Em 29 de novembro de 2013 14:10, Deivison Moraes deivisonmor...@mutumnet.com.br escreveu: É em rede corporativa, porem é inviável fazer isso, são muitas filiais e nem em todas os pcs clientes eu terei acesso. []'s Deivison Moraes Em 29-11-2013 18:02, Renan Arantes escreveu: Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
Re: Bloqueio com Iptables;
Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar. Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda: # http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/ $iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf $iptables -A FORWARD -d 111.255.176.0/24 -j LOG --log-prefix [IPTABLES: ultrasurf] Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de novembro de 2013 18:37, Moksha Tux gova...@gmail.com escreveu: Já que é assim vc não terá outra escolha senão compilar o kernel e habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito que encontrei aqui na reda de onde trabalho. Abraços, Moksha Tux Em 29 de novembro de 2013 14:10, Deivison Moraes deivisonmor...@mutumnet.com.br escreveu: É em rede corporativa, porem é inviável fazer isso, são muitas filiais e nem em todas os pcs clientes eu terei acesso. []'s Deivison Moraes Em 29-11-2013 18:02, Renan Arantes escreveu: Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o executável do ultrasurf em clientes Windows. Att Renan -Mensagem original- De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] Enviada em: sexta-feira, 29 de novembro de 2013 12:23 Para: debian-user-portuguese@lists.debian.org Assunto: Bloqueio com Iptables; Boa tarde pessoal, Desculpem se o assunto for meio off. O pessoal da lista que usam debian para firewall + proxy em rede interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada? Vi algumas documentações no google bloqueando todos os IP's de destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por string no iptables, porem não tive sucesso. Se puderem compartilhar seus cases, para debatermos será de grande valia. No momento estou tentando bloquear baseado no client hello do pacote ssl, mas ainda não obtive sucesso. []'s Forte Abraço a todos; Deivison Moraes -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
Re: UFW e iptables
Inclusive, acho que muitos já sabem mas a Netfilter, empresa que desenvolve o Iptables e outros, estão desenvolvendo o Nftables como futuro substituto do Iptables, segue o link: http://www.netfilter.org/projects/nftables/index.html Será incorporado ao Kernel Linux em breve, mas o Iptables viverá muito tempo ainda ;) Em 25 de outubro de 2013 11:09, André Nunes Batista andrenbati...@gmail.com escreveu: On Thu, 2013-10-24 at 20:03 -0200, Sérgio Antônio dos Santos wrote: Oi pessoal, O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes? Tenho que configurar os dois? Descrição do pacote no debian (http://packages.debian.org/wheezy/ufw): The Uncomplicated FireWall is a front-end for iptables, to make managing a Netfilter firewall easier. It provides a command line interface with syntax similar to OpenBSD's Packet Filter. It is particularly well-suited as a host-based firewall. Em português, sem ser tradução direta, isso significa que o ufw e o gufw são interfaces que tentam simplificar o uso do iptables. Se você instalá-los, como dependência o iptables vem instalado, já que é ele o backend (software por trás da interface) que realiza o filtro. Ou seja, o que o ufw faz é configurar o iptables para você com os parâmetros que você fornecer. A vantagem disso é que você não precisa entender a lógica do iptables, nem entender como funcionam os protocolos IP, ICPM, TCP, UDP. A desvantagem é que você perde a chance de aprender sobre esses protocolos e não consegue fazer um controle mais refinado das comunicações que a sua máquina realiza, tem que aceitar as opções disponíveis na interface. Abraços! -- André N. Batista GNUPG/PGP KEY: 6722CF80 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1382710163.27278.47.camel@tagesuhu-pc -- Daniel Pimentel d4n1 :
RE: UFW e iptables
ufw é apenas um front-end para o iptables From: sergio.serginhos...@gmail.com Date: Thu, 24 Oct 2013 20:03:35 -0200 Subject: UFW e iptables To: debian-user-portuguese@lists.debian.org Oi pessoal, O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes? Tenho que configurar os dois? Obrigado Sérgio Antônio dos Santos Bacharel em Sistemas de Informação flavors.me/serginhosant --- Não tenho medo do grito dos violentos, dos corruptos, dos desonestos, dos sem-caráter, dos sem-ética. Tenho medo é do silêncio dos bons. Marthin Luther King, pastor negro americano assassinado em 1963.
Re: UFW e iptables
iptables é muito complexo em termos de regras e pode ser confuso pra iniciantes. Então surgiu o ufw, que é um wrapper do iptables (acho que baseado no ipfw dos BSDs) com regras mais simples. Eu uso o ufw no desktop. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 25 de outubro de 2013 08:55, Vitor Hugo vitorhug...@hotmail.comescreveu: ufw é apenas um front-end para o iptables -- From: sergio.serginhos...@gmail.com Date: Thu, 24 Oct 2013 20:03:35 -0200 Subject: UFW e iptables To: debian-user-portuguese@lists.debian.org Oi pessoal, O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes? Tenho que configurar os dois? Obrigado Sérgio Antônio dos Santos Bacharel em Sistemas de Informação flavors.me/serginhosant --- Não tenho medo do grito dos violentos, dos corruptos, dos desonestos, dos sem-caráter, dos sem-ética. Tenho medo é do silêncio dos bons. Marthin Luther King, pastor negro americano assassinado em 1963.
Re: UFW e iptables
On Thu, 2013-10-24 at 20:03 -0200, Sérgio Antônio dos Santos wrote: Oi pessoal, O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes? Tenho que configurar os dois? Descrição do pacote no debian (http://packages.debian.org/wheezy/ufw): The Uncomplicated FireWall is a front-end for iptables, to make managing a Netfilter firewall easier. It provides a command line interface with syntax similar to OpenBSD's Packet Filter. It is particularly well-suited as a host-based firewall. Em português, sem ser tradução direta, isso significa que o ufw e o gufw são interfaces que tentam simplificar o uso do iptables. Se você instalá-los, como dependência o iptables vem instalado, já que é ele o backend (software por trás da interface) que realiza o filtro. Ou seja, o que o ufw faz é configurar o iptables para você com os parâmetros que você fornecer. A vantagem disso é que você não precisa entender a lógica do iptables, nem entender como funcionam os protocolos IP, ICPM, TCP, UDP. A desvantagem é que você perde a chance de aprender sobre esses protocolos e não consegue fazer um controle mais refinado das comunicações que a sua máquina realiza, tem que aceitar as opções disponíveis na interface. Abraços! -- André N. Batista GNUPG/PGP KEY: 6722CF80 -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/1382710163.27278.47.camel@tagesuhu-pc
UFW e iptables
Oi pessoal, O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes? Tenho que configurar os dois? Obrigado Sérgio Antônio dos Santos Bacharel em Sistemas de Informação flavors.me/serginhosant --- Não tenho medo do grito dos violentos, dos corruptos, dos desonestos, dos sem-caráter, dos sem-ética. Tenho medo é do silêncio dos bons. Marthin Luther King, pastor negro americano assassinado em 1963.
Re: Proxy transparente similar a um acesso iptables, existe?
Não é apenas performance, a performance é satisfatória, apenas não é mais rápido do que se não houvesse proxy. Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras de iptables, regras do squid e além disso, lidar com regras de acesso com os famigerados serviços do governo. Por exemplo, o joaquim do RH tem regra de iptables para navegar transparente para certos lugares (sites/ip do governo), mas seu navegador está ajustado para autoconfiguração via rede (wpad), então o wpad tem regras para determinar se o joaquim vai usar proxy ou não, outros na rede tem situações similares. Quando um acesso na internet falha para um programa ou uma pessoa, lá vai eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... eu fiz o melhor que pude criando menus orientados que automatizam muitas tarefas, mas estou quase escrevendo um sistema operacional com tantas variáveis em scripts. As vezes um sistema do governo simplesmente falha o acesso, daí vai eu até o programa do usuário, usar um netstat e observar onde o programa quer chegar e lá vai mexer nas regras de iptables de novo, wpad e squid (dizer que tal site/ip é direto). As configurações de meu squid é praticamente um monte de 'include' com arquivos picados para lidar com varias situações, já aconteceu por exemplo, alguma atualização no linux quebrar a autenticação no AD, dai por meio de menus, troco a parte de autenticação pelo AD por nenhuma autenticação e a rede fica liberada para navegar sem a autenticação. Até tenho menus com orientações que automatiza várias situações, mas vou lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima pessoa entenderia as camadas que tenho de lidar. Minha angustia é ter uma pilha de configurações e oras mexer aqui e oras mexer acolá, isso nem acontece sempre, mas quando acontece é aborrecedor. Me lembro que uns 10 anos atrás (ou mais), na época da linha discada, tinha um programa chamado wingate, liberou o usuário/maquina, pronto, onde ele fosse tava liberado nas portas que determinei que estivessem abertas, se eu não me engano era um proxy baseado em sockets. Tinha apenas que instalar um client, era tão simples! Tentei convencer a empresa a comprar um appliance que fizesse tudo isso, mas devido ao custo mensal, disseram 'não'. Estou planejamento mudar o que temos, daí o motivo de minha pergunta inicial, tornar as coisas mais simples. Em 15 de agosto de 2013 19:48, Mauricio S. T. Neto mstn...@gmail.comescreveu: Hamacker boa noite. Minha resposta pode ser considerada um tanto off topic, mas vamos lá. Claro que cada vez que você adiciona uma camada de software existe uma queda de performance mas pelo que sei o Squid é capaz de dar conta do recado com centenas (ou milhares) de conexões simultâneas. Será que não existe algum problema com sua configuração ou hardware? É conhecimento corrente que existe uma relação de numero de conexões (usuários) e necessidade de memória para que o squid possa trabalhar de forma eficiente. Outra questão é o disco que deve ter baixa latência, ou seja se este disco é compartilhado com um banco de dados a possibilidade é ser o vilão é grande. Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para muitos usuários e enfrentando problema de performance, mas ele conseguiu solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro ate que a toca de mensagens atingiu um nível técnico muito bom. Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar a causa da sua queda significativa de performance efetuar algumas avaliações na sua configuração buscando tips tricks (essa lista :-)) para discutir possíveis soluções. Abraço. Em 15-08-2013 14:06, hamacker escreveu: Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos. -- Mauricio S.T. Neto
Re: Proxy transparente similar a um acesso iptables, existe?
Hamacker Quase chorei com sua narrativa :-) Como também sou um profissional de infra (desempregado no momento) entendo muito bem sua situação. Você falou do wingate, lembro disso, mas hoje não uso nem em casa. Os tempos são outros. Tenho firewall (iptables) na minha rede domestica. E pela sua simples narrativa me pareceu que sua empresa considera a informática um mal necessário. Eu costumo dizer que nos que atuamos em infra somos como o bombeiro hidráulico. Não lembram que o bombeiro existe e que os canos precisam de manutenção, mas quando o vaso sanitário falha o caos esta formado e toque a ligar em desespero para o bombeiro :-) Mas acho que você não tem muito como fugir. O que eu tenho por habito fazer é uma boa documentação nos moldes wiki com o detalhamento de tudo que efetuei e links para copia dos arquivos de configuração. sei que o start é complicado mas posso lhe assegurar que vale a pena. Desta forma posso tirar ferias ou sair do emprego sem sentir-me culpado. Com relação a analise de problemas você usa algum monitoramento proativo? Tipo Nagios, Zabbix ou coisa parecida? Essas ferramentas apesar do esforço necessário para instalação e deixa-las azeitadas são de grande auxilio na manutenção geral da infra. E bem vindo a realidade da infraestrutura atual. Acredito ate que isso daria um tópico interessante para discussões. As muitas variáveis e políticas que hoje temos que acomodar nas soluções técnicas. Abraço. Em 16-08-2013 13:52, hamacker escreveu: Não é apenas performance, a performance é satisfatória, apenas não é mais rápido do que se não houvesse proxy. Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras de iptables, regras do squid e além disso, lidar com regras de acesso com os famigerados serviços do governo. Por exemplo, o joaquim do RH tem regra de iptables para navegar transparente para certos lugares (sites/ip do governo), mas seu navegador está ajustado para autoconfiguração via rede (wpad), então o wpad tem regras para determinar se o joaquim vai usar proxy ou não, outros na rede tem situações similares. Quando um acesso na internet falha para um programa ou uma pessoa, lá vai eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... eu fiz o melhor que pude criando menus orientados que automatizam muitas tarefas, mas estou quase escrevendo um sistema operacional com tantas variáveis em scripts. As vezes um sistema do governo simplesmente falha o acesso, daí vai eu até o programa do usuário, usar um netstat e observar onde o programa quer chegar e lá vai mexer nas regras de iptables de novo, wpad e squid (dizer que tal site/ip é direto). As configurações de meu squid é praticamente um monte de 'include' com arquivos picados para lidar com varias situações, já aconteceu por exemplo, alguma atualização no linux quebrar a autenticação no AD, dai por meio de menus, troco a parte de autenticação pelo AD por nenhuma autenticação e a rede fica liberada para navegar sem a autenticação. Até tenho menus com orientações que automatiza várias situações, mas vou lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima pessoa entenderia as camadas que tenho de lidar. Minha angustia é ter uma pilha de configurações e oras mexer aqui e oras mexer acolá, isso nem acontece sempre, mas quando acontece é aborrecedor. Me lembro que uns 10 anos atrás (ou mais), na época da linha discada, tinha um programa chamado wingate, liberou o usuário/maquina, pronto, onde ele fosse tava liberado nas portas que determinei que estivessem abertas, se eu não me engano era um proxy baseado em sockets. Tinha apenas que instalar um client, era tão simples! Tentei convencer a empresa a comprar um appliance que fizesse tudo isso, mas devido ao custo mensal, disseram 'não'. Estou planejamento mudar o que temos, daí o motivo de minha pergunta inicial, tornar as coisas mais simples. Em 15 de agosto de 2013 19:48, Mauricio S. T. Neto mstn...@gmail.com mailto:mstn...@gmail.com escreveu: Hamacker boa noite. Minha resposta pode ser considerada um tanto off topic, mas vamos lá. Claro que cada vez que você adiciona uma camada de software existe uma queda de performance mas pelo que sei o Squid é capaz de dar conta do recado com centenas (ou milhares) de conexões simultâneas. Será que não existe algum problema com sua configuração ou hardware? É conhecimento corrente que existe uma relação de numero de conexões (usuários) e necessidade de memória para que o squid possa trabalhar de forma eficiente. Outra questão é o disco que deve ter baixa latência, ou seja se este disco é compartilhado com um banco de dados a possibilidade é ser o vilão é grande. Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para muitos usuários e enfrentando problema de performance, mas ele conseguiu solucionar a questão seguindo as diversas dicas aqui discutidas
Proxy transparente similar a um acesso iptables, existe?
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos.
Re: Proxy transparente similar a um acesso iptables, existe?
Hamacker, a flag --log-prefix não permite trabalhar com logs? /var/log/messages? Gustavo Em 2013-08-15 14:06, hamacker escreveu: Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br [1], receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos. Links: -- [1] http://caixa.gov.br -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br
Re: Proxy transparente similar a um acesso iptables, existe?
O iptables nao trabalha na mesma camada de rede que o squid, nao vai rolar logs de sites acessados ou autenticação Creio que a suas melhores alternativas sejam rever as regras de firewall e squid OU procurar um outro software para proxy, tipo o tinyproxy Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 15 de agosto de 2013 15:42, Gustavo gust...@logicus.com.br escreveu: Hamacker, a flag --log-prefix não permite trabalhar com logs? /var/log/messages? Gustavo Em 2013-08-15 14:06, hamacker escreveu: Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br [1], receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos. Links: -- [1] http://caixa.gov.br -- To UNSUBSCRIBE, email to debian-user-portuguese-**requ...@lists.debian.orgdebian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718** 6...@logicus.com.brhttp://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br
Re: Proxy transparente similar a um acesso iptables, existe?
Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o acesso. Em 15 de agosto de 2013 15:42, Gustavo gust...@logicus.com.br escreveu: Hamacker, a flag --log-prefix não permite trabalhar com logs? /var/log/messages? Gustavo Em 2013-08-15 14:06, hamacker escreveu: Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br [1], receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos. Links: -- [1] http://caixa.gov.br -- To UNSUBSCRIBE, email to debian-user-portuguese-**requ...@lists.debian.orgdebian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718** 6...@logicus.com.brhttp://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br
Re: Proxy transparente similar a um acesso iptables, existe?
Já procurou ver alguma solução tipo CaptivePortal, tipo o NoCatAuth? Se bem me lembro, faz autenticação via HTTP e depois libera acesso via regras de FW. A parte de autenticação deve ter algum log. Fabiano Pires http://pragasdigitais.blogspot.com/ Em 15 de agosto de 2013 16:58, hamacker sirhamac...@gmail.com escreveu: Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o acesso. Em 15 de agosto de 2013 15:42, Gustavo gust...@logicus.com.br escreveu: Hamacker, a flag --log-prefix não permite trabalhar com logs? /var/log/messages? Gustavo Em 2013-08-15 14:06, hamacker escreveu: Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br [1], receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos. Links: -- [1] http://caixa.gov.br -- To UNSUBSCRIBE, email to debian-user-portuguese-** requ...@lists.debian.orgdebian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718** 6...@logicus.com.brhttp://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br
Re: Proxy transparente similar a um acesso iptables, existe?
Cara pra ler os logs e aplicar restrições você pode usar : o zabbix , tem o recurso de ler logs com gatilhos chamados triggers , ou os monitores de segurança OSSEC ou o snortinline . o ossec você pode criar os seus filtros de acordo com a necessidade Em 15-08-2013 14:06, hamacker escreveu: Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br http://caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos.
Re: Proxy transparente similar a um acesso iptables, existe?
Hamacker boa noite. Minha resposta pode ser considerada um tanto off topic, mas vamos lá. Claro que cada vez que você adiciona uma camada de software existe uma queda de performance mas pelo que sei o Squid é capaz de dar conta do recado com centenas (ou milhares) de conexões simultâneas. Será que não existe algum problema com sua configuração ou hardware? É conhecimento corrente que existe uma relação de numero de conexões (usuários) e necessidade de memória para que o squid possa trabalhar de forma eficiente. Outra questão é o disco que deve ter baixa latência, ou seja se este disco é compartilhado com um banco de dados a possibilidade é ser o vilão é grande. Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para muitos usuários e enfrentando problema de performance, mas ele conseguiu solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro ate que a toca de mensagens atingiu um nível técnico muito bom. Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar a causa da sua queda significativa de performance efetuar algumas avaliações na sua configuração buscando tips tricks (essa lista :-)) para discutir possíveis soluções. Abraço. Em 15-08-2013 14:06, hamacker escreveu: Pessoal, eu tô montando um novo servidor de internet e ao mostrar a performance usando proxy squid e sem proxy squid (apenas iptables), a diferença de performance é muito maior usando apenas iptables. O problema com iptables é que não há autenticação e nem logs para saber como está sendo usado este acesso. Eu acho que não, mas não custa perguntar: Existe algo que permita o acesso transparente a internet, semelhante ao iptables+gateway, mas que contenha logs de acesso e autenticação? O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que ajustar regras iptables+regras squid por causa de aplicações como caixa.gov.br http://caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é claro na queda de performance que isso dá. Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy, sei lá, eu gostaria de experimentar outras alternativas. []´s a todos. -- Mauricio S.T. Neto
RE: Iptables Squid - Preciso Bloquear o WhatsApp
E aí? O que deu essa pergunta? O criador da pergunta adotou qual meio?Só uma curiosidade.. From: tobiase...@gmail.com Date: Fri, 2 Aug 2013 17:21:51 -0300 Subject: Re: Iptables Squid - Preciso Bloquear o WhatsApp To: he...@loureiro.eng.br CC: debian-user-portuguese@lists.debian.org De graça?! Até cd do windows vista!Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@ W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 2 de agosto de 2013 17:13, Helio Loureiro he...@loureiro.eng.br escreveu: Quer que eu envie uma raquete elétrica pra esse momento? Posso mandar autografada. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 2 de agosto de 2013 16:34, Tobias Sette tobiase...@gmail.com escreveu: Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um tempo, quando os aspectos tecnologicos estiverem melhores.Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@ W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de julho de 2013 00:10, Helio Loureiro he...@loureiro.eng.br escreveu: Valeu pela parte que me toca sobre ser escroto. Meu MBA é em gestão estratégica da TI. Traduzindo rapidamente, é sobre como usar TI pra ganhar dos seus concorrentes. Isso é chamado de vantagem competitiva. Eu e vc somos concorrentes na venda de serviços de instalação de servidores Debian, por exemplo. O que eu posso extrair dos ambientes computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem estar caminhando pra uma falência mascarada. Então aprendi sobre métricas e governança. E seu uso. Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa trazer? Vai aumentar as vendas pelos funcionários estarem mais focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois, se empresa tem tal mentalidade, os funcionários não serão diferentes? Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário feliz. Isso o motiva. Se sua empresa faz isso, e seu concorrente não, logo os funcionários terão interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará sua empresa, pela perda de capacitação. É um ciclo que não tem muita longevidade. Empresas assim caminham rapidamente pro fracasso. E quanto aos custos? Bem, o link de Internet já está lá, e sendo pago mensalmente. Cortando ou não serviço de whatsapp, o custo mensal do link é o mesmo. Mas e o consumo de banda? Esse, se é limitado e é um problema, então deve ser monitorado e colcado num QoS menor. Isso é estratégia de TI. Em ambientes fabris, realmente isso não importa, de liberar whatsapp ou outras aplicações. Mas hoje em dia, quem usa whatsapp em geral tem um telefone capaz de usar Internet de 50 centavos por dia, e provavelmente o fará. Então qual foi o ganho com essa política da empresa? Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 28/07/2013 18:10, P. J. pjotam...@gmail.com escreveu: Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um tempo, quando os aspectos tecnologicos estiverem melhores. Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de julho de 2013 00:10, Helio Loureiro he...@loureiro.eng.brescreveu: Valeu pela parte que me toca sobre ser escroto. Meu MBA é em gestão estratégica da TI. Traduzindo rapidamente, é sobre como usar TI pra ganhar dos seus concorrentes. Isso é chamado de vantagem competitiva. Eu e vc somos concorrentes na venda de serviços de instalação de servidores Debian, por exemplo. O que eu posso extrair dos ambientes computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem estar caminhando pra uma falência mascarada. Então aprendi sobre métricas e governança. E seu uso. Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa trazer? Vai aumentar as vendas pelos funcionários estarem mais focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois, se empresa tem tal mentalidade, os funcionários não serão diferentes? Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário feliz. Isso o motiva. Se sua empresa faz isso, e seu concorrente não, logo os funcionários terão interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará sua empresa, pela perda de capacitação. É um ciclo que não tem muita longevidade. Empresas assim caminham rapidamente pro fracasso. E quanto aos custos? Bem, o link de Internet já está lá, e sendo pago mensalmente. Cortando ou não serviço de whatsapp, o custo mensal do link é o mesmo. Mas e o consumo de banda? Esse, se é limitado e é um problema, então deve ser monitorado e colcado num QoS menor. Isso é estratégia de TI. Em ambientes fabris, realmente isso não importa, de liberar whatsapp ou outras aplicações. Mas hoje em dia, quem usa whatsapp em geral tem um telefone capaz de usar Internet de 50 centavos por dia, e provavelmente o fará. Então qual foi o ganho com essa política da empresa? Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 28/07/2013 18:10, P. J. pjotam...@gmail.com escreveu: Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Quer que eu envie uma raquete elétrica pra esse momento? Posso mandar autografada. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 2 de agosto de 2013 16:34, Tobias Sette tobiase...@gmail.com escreveu: Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um tempo, quando os aspectos tecnologicos estiverem melhores. Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de julho de 2013 00:10, Helio Loureiro he...@loureiro.eng.brescreveu: Valeu pela parte que me toca sobre ser escroto. Meu MBA é em gestão estratégica da TI. Traduzindo rapidamente, é sobre como usar TI pra ganhar dos seus concorrentes. Isso é chamado de vantagem competitiva. Eu e vc somos concorrentes na venda de serviços de instalação de servidores Debian, por exemplo. O que eu posso extrair dos ambientes computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem estar caminhando pra uma falência mascarada. Então aprendi sobre métricas e governança. E seu uso. Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa trazer? Vai aumentar as vendas pelos funcionários estarem mais focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois, se empresa tem tal mentalidade, os funcionários não serão diferentes? Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário feliz. Isso o motiva. Se sua empresa faz isso, e seu concorrente não, logo os funcionários terão interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará sua empresa, pela perda de capacitação. É um ciclo que não tem muita longevidade. Empresas assim caminham rapidamente pro fracasso. E quanto aos custos? Bem, o link de Internet já está lá, e sendo pago mensalmente. Cortando ou não serviço de whatsapp, o custo mensal do link é o mesmo. Mas e o consumo de banda? Esse, se é limitado e é um problema, então deve ser monitorado e colcado num QoS menor. Isso é estratégia de TI. Em ambientes fabris, realmente isso não importa, de liberar whatsapp ou outras aplicações. Mas hoje em dia, quem usa whatsapp em geral tem um telefone capaz de usar Internet de 50 centavos por dia, e provavelmente o fará. Então qual foi o ganho com essa política da empresa? Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 28/07/2013 18:10, P. J. pjotam...@gmail.com escreveu: Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
De graça?! Até cd do windows vista! Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 2 de agosto de 2013 17:13, Helio Loureiro he...@loureiro.eng.brescreveu: Quer que eu envie uma raquete elétrica pra esse momento? Posso mandar autografada. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 2 de agosto de 2013 16:34, Tobias Sette tobiase...@gmail.comescreveu: Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um tempo, quando os aspectos tecnologicos estiverem melhores. Att, Tobias http://gnu.eti.br -BEGIN GEEK CODE BLOCK- Version: 3.12 GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++ UL++ P+ L !E@W+++ !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI+ !D@ G e- h+ r-- y? --END GEEK CODE BLOCK-- Em 29 de julho de 2013 00:10, Helio Loureiro he...@loureiro.eng.brescreveu: Valeu pela parte que me toca sobre ser escroto. Meu MBA é em gestão estratégica da TI. Traduzindo rapidamente, é sobre como usar TI pra ganhar dos seus concorrentes. Isso é chamado de vantagem competitiva. Eu e vc somos concorrentes na venda de serviços de instalação de servidores Debian, por exemplo. O que eu posso extrair dos ambientes computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem estar caminhando pra uma falência mascarada. Então aprendi sobre métricas e governança. E seu uso. Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa trazer? Vai aumentar as vendas pelos funcionários estarem mais focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois, se empresa tem tal mentalidade, os funcionários não serão diferentes? Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário feliz. Isso o motiva. Se sua empresa faz isso, e seu concorrente não, logo os funcionários terão interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará sua empresa, pela perda de capacitação. É um ciclo que não tem muita longevidade. Empresas assim caminham rapidamente pro fracasso. E quanto aos custos? Bem, o link de Internet já está lá, e sendo pago mensalmente. Cortando ou não serviço de whatsapp, o custo mensal do link é o mesmo. Mas e o consumo de banda? Esse, se é limitado e é um problema, então deve ser monitorado e colcado num QoS menor. Isso é estratégia de TI. Em ambientes fabris, realmente isso não importa, de liberar whatsapp ou outras aplicações. Mas hoje em dia, quem usa whatsapp em geral tem um telefone capaz de usar Internet de 50 centavos por dia, e provavelmente o fará. Então qual foi o ganho com essa política da empresa? Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 28/07/2013 18:10, P. J. pjotam...@gmail.com escreveu: Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive:
RE: Iptables Squid - Preciso Bloquear o WhatsApp
Umm...acho que o pessoal já está começando a brigar. Cada um buscando mais poder que o outro. Eu vejo as coisas assim. Bloqueie esse aplicativo ou site pela string lá no iptables. Você não vai bloquear o dia todo. Libere ele por exemplo no horário de almoço e depois do expediente. Com isso você deixa a opção de o usuário usar se quiser ou não. É claro para que ele use terá que dispor de algum tempo de seu horário de almoço ou ficar depois do expediente. O pessoal está se perdendo numa simples pergunta. Date: Mon, 29 Jul 2013 00:10:42 -0300 Subject: Re: Iptables Squid - Preciso Bloquear o WhatsApp From: he...@loureiro.eng.br To: pjotam...@gmail.com CC: debian-user-portuguese@lists.debian.org Valeu pela parte que me toca sobre ser escroto. Meu MBA é em gestão estratégica da TI. Traduzindo rapidamente, é sobre como usar TI pra ganhar dos seus concorrentes. Isso é chamado de vantagem competitiva. Eu e vc somos concorrentes na venda de serviços de instalação de servidores Debian, por exemplo. O que eu posso extrair dos ambientes computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem estar caminhando pra uma falência mascarada. Então aprendi sobre métricas e governança. E seu uso. Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa trazer? Vai aumentar as vendas pelos funcionários estarem mais focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois, se empresa tem tal mentalidade, os funcionários não serão diferentes? Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário feliz. Isso o motiva. Se sua empresa faz isso, e seu concorrente não, logo os funcionários terão interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará sua empresa, pela perda de capacitação. É um ciclo que não tem muita longevidade. Empresas assim caminham rapidamente pro fracasso. E quanto aos custos? Bem, o link de Internet já está lá, e sendo pago mensalmente. Cortando ou não serviço de whatsapp, o custo mensal do link é o mesmo. Mas e o consumo de banda? Esse, se é limitado e é um problema, então deve ser monitorado e colcado num QoS menor. Isso é estratégia de TI. Em ambientes fabris, realmente isso não importa, de liberar whatsapp ou outras aplicações. Mas hoje em dia, quem usa whatsapp em geral tem um telefone capaz de usar Internet de 50 centavos por dia, e provavelmente o fará. Então qual foi o ganho com essa política da empresa? Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 28/07/2013 18:10, P. J. pjotam...@gmail.com escreveu: Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Concordo com o Helio, porque eu tive esta experiencia de ter um gestor estupido, e o filho da mae ganhava fama nas minhas costas, eu fazia tudo, consertava tudo, mas descobri que na reuniao da cupula da fabrica, ele dizia que era ele quem fazia as coisas ¬¬, simplesmente sai da empresa, ela veio atraz de mim oferecendo varias coisas, mesmo assim eu me neguei a trabalhar com aquele cara, eu ate estava precisando do emprego, mas nao consigo trabalhar com gente mal carater desse tipo, eu me lasquei todo mas dei a volta por cima, MAS NAO ACEITEI a proposta de trabalhar com aquele, desculpe a expressao, vagab. que na verdade depois de um tempo foi mandado embora porque descobriram (que merda, eu sempre avisei) que ele alem de nao saber merda nenhuma do que fazia, so fez gastar grana a toa. Em 28 de julho de 2013 23:10, Helio Loureiro he...@loureiro.eng.brescreveu: Valeu pela parte que me toca sobre ser escroto. Meu MBA é em gestão estratégica da TI. Traduzindo rapidamente, é sobre como usar TI pra ganhar dos seus concorrentes. Isso é chamado de vantagem competitiva. Eu e vc somos concorrentes na venda de serviços de instalação de servidores Debian, por exemplo. O que eu posso extrair dos ambientes computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem estar caminhando pra uma falência mascarada. Então aprendi sobre métricas e governança. E seu uso. Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa trazer? Vai aumentar as vendas pelos funcionários estarem mais focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois, se empresa tem tal mentalidade, os funcionários não serão diferentes? Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário feliz. Isso o motiva. Se sua empresa faz isso, e seu concorrente não, logo os funcionários terão interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará sua empresa, pela perda de capacitação. É um ciclo que não tem muita longevidade. Empresas assim caminham rapidamente pro fracasso. E quanto aos custos? Bem, o link de Internet já está lá, e sendo pago mensalmente. Cortando ou não serviço de whatsapp, o custo mensal do link é o mesmo. Mas e o consumo de banda? Esse, se é limitado e é um problema, então deve ser monitorado e colcado num QoS menor. Isso é estratégia de TI. Em ambientes fabris, realmente isso não importa, de liberar whatsapp ou outras aplicações. Mas hoje em dia, quem usa whatsapp em geral tem um telefone capaz de usar Internet de 50 centavos por dia, e provavelmente o fará. Então qual foi o ganho com essa política da empresa? Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 28/07/2013 18:10, P. J. pjotam...@gmail.com escreveu: Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Valeu pela parte que me toca sobre ser escroto. Meu MBA é em gestão estratégica da TI. Traduzindo rapidamente, é sobre como usar TI pra ganhar dos seus concorrentes. Isso é chamado de vantagem competitiva. Eu e vc somos concorrentes na venda de serviços de instalação de servidores Debian, por exemplo. O que eu posso extrair dos ambientes computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem estar caminhando pra uma falência mascarada. Então aprendi sobre métricas e governança. E seu uso. Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa trazer? Vai aumentar as vendas pelos funcionários estarem mais focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois, se empresa tem tal mentalidade, os funcionários não serão diferentes? Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário feliz. Isso o motiva. Se sua empresa faz isso, e seu concorrente não, logo os funcionários terão interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará sua empresa, pela perda de capacitação. É um ciclo que não tem muita longevidade. Empresas assim caminham rapidamente pro fracasso. E quanto aos custos? Bem, o link de Internet já está lá, e sendo pago mensalmente. Cortando ou não serviço de whatsapp, o custo mensal do link é o mesmo. Mas e o consumo de banda? Esse, se é limitado e é um problema, então deve ser monitorado e colcado num QoS menor. Isso é estratégia de TI. Em ambientes fabris, realmente isso não importa, de liberar whatsapp ou outras aplicações. Mas hoje em dia, quem usa whatsapp em geral tem um telefone capaz de usar Internet de 50 centavos por dia, e provavelmente o fará. Então qual foi o ganho com essa política da empresa? Sim, gerentes e diretores estúpidos de TI é o que mais se vê por aí. Minha dica? Fuja o quanto antes. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 28/07/2013 18:10, P. J. pjotam...@gmail.com escreveu: Opa, Hélio, nada pessoal e sem ressentimento, mas eu tb sou pau mandado, mas tipo se é a empresa que banca a infra, tipo não seria ela quem poderia definir como utilizar os seus recursos? Não quero entrar no mérito disso ser positivo ou não para a produção, mas estamos num país de terceiro mundo e será que vc sendo dono de uma empresa que não precise de acesso a conteudo na internet para trabalhar iria gostar de seus funcionários deixassem de alcançar metas diminuindo o seu lucro? Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim espero que não seja mal interpretado. Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até parecem que são parentes...rs! Mas naquela thread eu broquei contigo...;-* apelar para o meu currículo é a tipica de falta de argumento num debate... mas vou tomar vergonha na cara e contribuir financeiramente com o debian Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser desde ubuntu com kde e todos os frufus que tiver direito até o do tio BILL...K Abraços -- | .''`. A fé não dá respostas. Só impede perguntas. | : :' : | `. `'` | `- Je vois tout -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Em 25-07-2013 00:45, Helio Loureiro escreveu: Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e profissionais, não ligam (telefonam) mais para família, usam esses recursos, conversam por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz com clientes e fornecedores de todo mundo, além de uma alternativa mais tempo real ao o e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para manter contato com a família e com a empresa em tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não é fácil! Bom, em vez de bloquear, tira proveito disso! PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois tive que desbloquear (rsrsrs) a pedido da diretoria []'s Junior Polegato -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f113b0.5000...@juniorpolegato.com.br
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Amigos, Eu acho que alguns da lista ainda não entenderam o seguinte: Eu sou um mero colaborador de TI. Apenas um LinuxAdmin. Apenas cumpro ordens. A função de definir a politica da empresa não é minha. Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer esse bloqueio. Mesmo sendo contra isso. Pronto, falei! Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com Linux - Junior Polegato escreveu: Em 25-07-2013 00:45, Helio Loureiro escreveu: Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e profissionais, não ligam (telefonam) mais para família, usam esses recursos, conversam por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz com clientes e fornecedores de todo mundo, além de uma alternativa mais tempo real ao o e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para manter contato com a família e com a empresa em tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não é fácil! Bom, em vez de bloquear, tira proveito disso! PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois tive que desbloquear (rsrsrs) a pedido da diretoria []'s Junior Polegato -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f1431a.1070...@yahoo.com.br
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Desculpa Helio, mas você é especialista em TI, administração de empresas ou psicologia? Na boa, a política da empresa dele não deve nos impossibilitar de colaborar tecnicamente com o rapaz. Uma coisa não tem nada a ver com a outra... Saudações, Humberto Araujo de Sousa humbe...@dontec.com.br Em 25/07/2013 00:45, Helio Loureiro escreveu: Dá pra fazer no Linux, mas não vou ensinar isso. Estamos na era do conhecimento. Trabalhamos baseados em entrega, não no modelo fordista, onde cada um tem de produzir tantas peças por hora. Horário comercial e horas rígidas de trabalho não fazem mais sentido. Mas tem empresas que gostam de viver em eras medievais. Gerentes que ficam monitorando funcionários. Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Empresas de call center agem assim, e é algo que beira a criminalidade pelas péssimas condições de trabalho. Só não é escravidão porque escravos têm condições mais descentes de trabalho. Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 25/07/2013 00:07, Fabricio Cannini fcann...@gmail.com mailto:fcann...@gmail.com escreveu: Em 24-07-2013 22:46, Helio Loureiro escreveu: pois pessoas estão deixando de trabalhar para ficar de bate papo através deste aplicativo. E o pior... Usando a internet da empresa. Isso não é uma empresa, é um campo de concentração. Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando choque nas pessoas que estão usando celular. É o que parece mais de acordo com as políticas da empresa. HAHHAAHHAA , Hélio, tu é foda ! Mas falando sério, isso não é um problema de TI, e não vai ser resolvido adequadamente usando TI . [ ]'s -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/51f09679.9050...@gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Claro que entendo. Por isso estou recomendando o uso da raquete. E certeza que a ordem de algo absurdo vem de alguém de cima, e que não tem a menor idéia do que fazer, nem na parte técnica, e provavelmente nem na parte de negócios da empresa. Mas vou ser bondoso e ajudar. Posso fazer a configuração como serviço de consultoria. Cobro apenas R$ 500,00. Por pessoa bloqueada. E por mês. De brinde, ainda forneço uma raquete elétrica de matar mosquitos, que é super eficaz em fazer funcionários manterem o foco. Forneço gráficos de KPI para eventuais auditorias de processos de governança, em estilo barra, pizza, linha ou raquete de matar pernilongo. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 25 de julho de 2013 12:24, Henrique Fagundes magnat...@yahoo.com.brescreveu: Amigos, Eu acho que alguns da lista ainda não entenderam o seguinte: Eu sou um mero colaborador de TI. Apenas um LinuxAdmin. Apenas cumpro ordens. A função de definir a politica da empresa não é minha. Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer esse bloqueio. Mesmo sendo contra isso. Pronto, falei! Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.**com/ http://www.aprendendolinux.com/ http://www.facebook.com/**PortalAprendendoLinuxhttp://www.facebook.com/PortalAprendendoLinux http://youtube.com/**aprendendolinux/http://youtube.com/aprendendolinux/ http://twitter.com/**aprendendolinux/http://twitter.com/aprendendolinux/ __**__**__ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.**com http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscribe@**listas.aprendendolinux.comaprendendolinux-subscr...@listas.aprendendolinux.com Linux - Junior Polegato escreveu: Em 25-07-2013 00:45, Helio Loureiro escreveu: Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e profissionais, não ligam (telefonam) mais para família, usam esses recursos, conversam por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz com clientes e fornecedores de todo mundo, além de uma alternativa mais tempo real ao o e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para manter contato com a família e com a empresa em tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não é fácil! Bom, em vez de bloquear, tira proveito disso! PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois tive que desbloquear (rsrsrs) a pedido da diretoria []'s Junior Polegato -- To UNSUBSCRIBE, email to debian-user-portuguese-**requ...@lists.debian.orgdebian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**51f1431a.1070...@yahoo.com.brhttp://lists.debian.org/51f1431a.1070...@yahoo.com.br
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Amigos, Eu acho que alguns da lista ainda não entenderam o seguinte: Eu sou um mero colaborador de TI. Apenas um LinuxAdmin. Apenas cumpro ordens. A função de definir a politica da empresa não é minha. Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer esse bloqueio. Mesmo sendo contra isso. Outra coisa. Já resolvi o problema bloqueando as portas 5222 e 5223 no firewall e bloqueando o domínio whatsapp.net no DNS. Ao HELIO LOUREIRO que nôs acompanha na íntegra, achei sua consideração sobre esse tópico como desnecessária e deselegante. Pronto, falei! Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com Helio Loureiro escreveu: Claro que entendo. Por isso estou recomendando o uso da raquete. E certeza que a ordem de algo absurdo vem de alguém de cima, e que não tem a menor idéia do que fazer, nem na parte técnica, e provavelmente nem na parte de negócios da empresa. Mas vou ser bondoso e ajudar. Posso fazer a configuração como serviço de consultoria. Cobro apenas R$ 500,00. Por pessoa bloqueada. E por mês. De brinde, ainda forneço uma raquete elétrica de matar mosquitos, que é super eficaz em fazer funcionários manterem o foco. Forneço gráficos de KPI para eventuais auditorias de processos de governança, em estilo barra, pizza, linha ou raquete de matar pernilongo. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 25 de julho de 2013 12:24, Henrique Fagundes magnat...@yahoo.com.br mailto:magnat...@yahoo.com.br escreveu: Amigos, Eu acho que alguns da lista ainda não entenderam o seguinte: Eu sou um mero colaborador de TI. Apenas um LinuxAdmin. Apenas cumpro ordens. A função de definir a politica da empresa não é minha. Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer esse bloqueio. Mesmo sendo contra isso. Pronto, falei! Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br mailto:magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.__com/ http://www.aprendendolinux.com/ http://www.facebook.com/__PortalAprendendoLinux http://www.facebook.com/PortalAprendendoLinux http://youtube.com/__aprendendolinux/ http://youtube.com/aprendendolinux/ http://twitter.com/__aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.__com http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscribe@__listas.aprendendolinux.com mailto:aprendendolinux-subscr...@listas.aprendendolinux.com Linux - Junior Polegato escreveu: Em 25-07-2013 00:45, Helio Loureiro escreveu: Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e profissionais, não ligam (telefonam) mais para família, usam esses recursos, conversam por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz com clientes e fornecedores de todo mundo, além de uma alternativa mais tempo real ao o e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para manter contato com a família e com a empr esa em tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não é fácil! Bom, em vez de bloquear, tira proveito disso! PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois tive que desbloquear (rsrsrs) a pedido da diretoria []'s Junior Polegato -- To UNSUBSCRIBE, email to
Re: Iptables Squid - Preciso Bloquear o WhatsApp
MBA em gestão de TI. Conhecimento profundo em práticas de gestão e práticas idiotas. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 25 de julho de 2013 13:02, Humberto A. Sousa humbe...@dontec.com.brescreveu: Desculpa Helio, mas você é especialista em TI, administração de empresas ou psicologia? Na boa, a política da empresa dele não deve nos impossibilitar de colaborar tecnicamente com o rapaz. Uma coisa não tem nada a ver com a outra... Saudações, Humberto Araujo de sousahumbe...@dontec.com.br Em 25/07/2013 00:45, Helio Loureiro escreveu: Dá pra fazer no Linux, mas não vou ensinar isso. Estamos na era do conhecimento. Trabalhamos baseados em entrega, não no modelo fordista, onde cada um tem de produzir tantas peças por hora. Horário comercial e horas rígidas de trabalho não fazem mais sentido. Mas tem empresas que gostam de viver em eras medievais. Gerentes que ficam monitorando funcionários. Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Empresas de call center agem assim, e é algo que beira a criminalidade pelas péssimas condições de trabalho. Só não é escravidão porque escravos têm condições mais descentes de trabalho. Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 25/07/2013 00:07, Fabricio Cannini fcann...@gmail.com escreveu: Em 24-07-2013 22:46, Helio Loureiro escreveu: pois pessoas estão deixando de trabalhar para ficar de bate papo através deste aplicativo. E o pior... Usando a internet da empresa. Isso não é uma empresa, é um campo de concentração. Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando choque nas pessoas que estão usando celular. É o que parece mais de acordo com as políticas da empresa. HAHHAAHHAA , Hélio, tu é foda ! Mas falando sério, isso não é um problema de TI, e não vai ser resolvido adequadamente usando TI . [ ]'s -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f09679.9050...@gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Elegante é tratar os funcionário como gado. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 25 de julho de 2013 13:44, Henrique Fagundes magnat...@yahoo.com.brescreveu: Amigos, Eu acho que alguns da lista ainda não entenderam o seguinte: Eu sou um mero colaborador de TI. Apenas um LinuxAdmin. Apenas cumpro ordens. A função de definir a politica da empresa não é minha. Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer esse bloqueio. Mesmo sendo contra isso. Outra coisa. Já resolvi o problema bloqueando as portas 5222 e 5223 no firewall e bloqueando o domínio whatsapp.net no DNS. Ao HELIO LOUREIRO que nôs acompanha na íntegra, achei sua consideração sobre esse tópico como desnecessária e deselegante. Pronto, falei! Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.**com/ http://www.aprendendolinux.com/ http://www.facebook.com/**PortalAprendendoLinuxhttp://www.facebook.com/PortalAprendendoLinux http://youtube.com/**aprendendolinux/http://youtube.com/aprendendolinux/ http://twitter.com/**aprendendolinux/http://twitter.com/aprendendolinux/ __**__**__ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.**com http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscribe@**listas.aprendendolinux.comaprendendolinux-subscr...@listas.aprendendolinux.com Helio Loureiro escreveu: Claro que entendo. Por isso estou recomendando o uso da raquete. E certeza que a ordem de algo absurdo vem de alguém de cima, e que não tem a menor idéia do que fazer, nem na parte técnica, e provavelmente nem na parte de negócios da empresa. Mas vou ser bondoso e ajudar. Posso fazer a configuração como serviço de consultoria. Cobro apenas R$ 500,00. Por pessoa bloqueada. E por mês. De brinde, ainda forneço uma raquete elétrica de matar mosquitos, que é super eficaz em fazer funcionários manterem o foco. Forneço gráficos de KPI para eventuais auditorias de processos de governança, em estilo barra, pizza, linha ou raquete de matar pernilongo. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/**helioloureirohttp://br.linkedin.com/in/helioloureiro http://twitter.com/**helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 25 de julho de 2013 12:24, Henrique Fagundes magnat...@yahoo.com.brmailto: magnat...@yahoo.com.br** escreveu: Amigos, Eu acho que alguns da lista ainda não entenderam o seguinte: Eu sou um mero colaborador de TI. Apenas um LinuxAdmin. Apenas cumpro ordens. A função de definir a politica da empresa não é minha. Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer esse bloqueio. Mesmo sendo contra isso. Pronto, falei! Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br mailto:magnat...@yahoo.com.br** Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.__**com/ http://www.aprendendolinux.** com/ http://www.aprendendolinux.com/ http://www.facebook.com/__**PortalAprendendoLinuxhttp://www.facebook.com/__PortalAprendendoLinux http://www.facebook.com/**PortalAprendendoLinuxhttp://www.facebook.com/PortalAprendendoLinux http://youtube.com/__**aprendendolinux/http://youtube.com/__aprendendolinux/ http://youtube.com/**aprendendolinux/http://youtube.com/aprendendolinux/ http://twitter.com/__**aprendendolinux/http://twitter.com/__aprendendolinux/ http://twitter.com/**aprendendolinux/http://twitter.com/aprendendolinux/ __**__** __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.**__com http://listas.** aprendendolinux.com http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscribe@__li**stas.aprendendolinux.comhttp://listas.aprendendolinux.commailto: aprendendolinux-**subscribe@listas.**aprendendolinux.comaprendendolinux-subscr...@listas.aprendendolinux.com Linux - Junior Polegato escreveu: Em 25-07-2013 00:45, Helio Loureiro escreveu: Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e profissionais, não ligam (telefonam) mais para família, usam esses recursos, conversam por escrito com amigos sem deixar de atender pelo telefone e ainda
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Olá Henrique, Imagino bem a sua situação, trabalhei por um bom tempo como LinuxAdmin em uma unidade militar e a idéia de cumprimento de ordens se torna um pouco complicada de ser realmente entendida por algumas pessoas que não vivenciam situações assim. Tenho certeza que o Hélio, tentou apresentar o ponto de vista dele, referente ao assunto, da melhor forma possível. Através das palavras dele e possível identificar a revolta por atitudes iguais a estas. Sei que é errado, mas por muitas vezes estas decisões não passam nem mesmo pela TI. Mesmo não concordando com as políticas da empresa de bloquear o whatsapp considero uma atitude infantil virar as costas para uma pessoa que está pedindo ajuda. O problema dele é equivalente a inúmeras perguntas que surgem diariamente na lista, por exemplo como bloquear o facebook, youtube, etc... E nem por isso falamos pra pessoa, não te ajudo porque não concordo com a política da sua empresa. O importante é que o problema está resolvido e foi divulgada a solução para futuros problemas semelhantes. Até mais! Enviado do Yahoo! Mail no Android
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Identifica os ips e hosts acessados e bloqueia eles no foward Em 24-07-2013 22:00, CássioElias . escreveu: Tenta bloquear a string whatsapp pelo IPtables. Quero ver alguém passar. ^^ Date: Wed, 24 Jul 2013 17:58:13 -0700 From: walbersan...@yahoo.com.br Subject: Re: Iptables Squid - Preciso Bloquear o WhatsApp To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org Corrigindo tcpdump abç *De:* Walber Santos walbersan...@yahoo.com.br *Para:* Henrique Fagundes magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org debian-user-portuguese@lists.debian.org *Enviadas:* Quarta-feira, 24 de Julho de 2013 21:45 *Assunto:* Re: Iptables Squid - Preciso Bloquear o WhatsApp Kra Roda um tcpdumo e conecta do seu cel e faz o teste. Dai vc bloqueia a rede de destino. abç *De:* Henrique Fagundes magnat...@yahoo.com.br *Para:* debian-user-portuguese@lists.debian.org *Enviadas:* Quarta-feira, 24 de Julho de 2013 19:20 *Assunto:* Iptables Squid - Preciso Bloquear o WhatsApp Prezados Colegas, Saudações pinguianas a todos. Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo pior... Usando a internet da empresa. Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, mas até agora não achei nada relevante. Alguém sabe como eu posso proceder? Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br mailto:magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com http://listas.aprendendolinux.com/ Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com mailto:aprendendolinux-subscr...@listas.aprendendolinux.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org mailto:debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org mailto:listmas...@lists.debian.org Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br http://lists.debian.org/51F0531E.9000804%40yahoo.com.br
Iptables Squid - Preciso Bloquear o WhatsApp
Prezados Colegas, Saudações pinguianas a todos. Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo pior... Usando a internet da empresa. Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, mas até agora não achei nada relevante. Alguém sabe como eu posso proceder? Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Kra Roda um tcpdumo e conecta do seu cel e faz o teste. Dai vc bloqueia a rede de destino. abç De: Henrique Fagundes magnat...@yahoo.com.br Para: debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 24 de Julho de 2013 19:20 Assunto: Iptables Squid - Preciso Bloquear o WhatsApp Prezados Colegas, Saudações pinguianas a todos. Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo pior... Usando a internet da empresa. Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, mas até agora não achei nada relevante. Alguém sabe como eu posso proceder? Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Corrigindo tcpdump abç De: Walber Santos walbersan...@yahoo.com.br Para: Henrique Fagundes magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 24 de Julho de 2013 21:45 Assunto: Re: Iptables Squid - Preciso Bloquear o WhatsApp Kra Roda um tcpdumo e conecta do seu cel e faz o teste. Dai vc bloqueia a rede de destino. abç De: Henrique Fagundes magnat...@yahoo.com.br Para: debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 24 de Julho de 2013 19:20 Assunto: Iptables Squid - Preciso Bloquear o WhatsApp Prezados Colegas, Saudações pinguianas a todos. Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo pior... Usando a internet da empresa. Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, mas até agora não achei nada relevante. Alguém sabe como eu posso proceder? Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
RE: Iptables Squid - Preciso Bloquear o WhatsApp
Tenta bloquear a string whatsapp pelo IPtables.Quero ver alguém passar. ^^ Date: Wed, 24 Jul 2013 17:58:13 -0700 From: walbersan...@yahoo.com.br Subject: Re: Iptables Squid - Preciso Bloquear o WhatsApp To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org Corrigindo tcpdump abç De: Walber Santos walbersan...@yahoo.com.br Para: Henrique Fagundes magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 24 de Julho de 2013 21:45 Assunto: Re: Iptables Squid - Preciso Bloquear o WhatsApp Kra Roda um tcpdumo e conecta do seu cel e faz o teste. Dai vc bloqueia a rede de destino. abç De: Henrique Fagundes magnat...@yahoo.com.br Para: debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 24 de Julho de 2013 19:20 Assunto: Iptables Squid - Preciso Bloquear o WhatsApp Prezados Colegas, Saudações pinguianas a todos. Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo pior... Usando a internet da empresa. Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, mas até agora não achei nada relevante. Alguém sabe como eu posso proceder? Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
Re: Iptables Squid - Preciso Bloquear o WhatsApp
pois pessoas estão deixando de trabalhar para ficar de bate papo através deste aplicativo. E o pior... Usando a internet da empresa. Isso não é uma empresa, é um campo de concentração. Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando choque nas pessoas que estão usando celular. É o que parece mais de acordo com as políticas da empresa. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 24 de julho de 2013 22:00, CássioElias . cassioel...@hotmail.comescreveu: Tenta bloquear a string whatsapp pelo IPtables. Quero ver alguém passar. ^^ -- Date: Wed, 24 Jul 2013 17:58:13 -0700 From: walbersan...@yahoo.com.br Subject: Re: Iptables Squid - Preciso Bloquear o WhatsApp To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org Corrigindo tcpdump abç -- *De:* Walber Santos walbersan...@yahoo.com.br *Para:* Henrique Fagundes magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org debian-user-portuguese@lists.debian.org *Enviadas:* Quarta-feira, 24 de Julho de 2013 21:45 *Assunto:* Re: Iptables Squid - Preciso Bloquear o WhatsApp Kra Roda um tcpdumo e conecta do seu cel e faz o teste. Dai vc bloqueia a rede de destino. abç -- *De:* Henrique Fagundes magnat...@yahoo.com.br *Para:* debian-user-portuguese@lists.debian.org *Enviadas:* Quarta-feira, 24 de Julho de 2013 19:20 *Assunto:* Iptables Squid - Preciso Bloquear o WhatsApp Prezados Colegas, Saudações pinguianas a todos. Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo pior... Usando a internet da empresa. Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, mas até agora não achei nada relevante. Alguém sabe como eu posso proceder? Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
Iptables Squid - Preciso Bloquear o WhatsApp
Hahaha estou rindo muito por aqui! A galera mais experiente pode te ajudar mais do que eu, mas se fosse eu, o comandante do campo, tentaria bloquear pelo SQUID. Sei que vc pediu a solução para o iptables, mas é apenas uma sugestão! Boa sorte! Enviado do Yahoo! Mail no Android --- PaulinhoLinux e-mail paulinholinux arroba yahoo ponto com ponto br skype paulinholinux Ter problemas na vida é inevitável, ser derrotado por eles é opcional. --- From: Helio Loureiro he...@loureiro.eng.br; To: CássioElias . cassioel...@hotmail.com; Cc: debian-user-portuguese@lists.debian.org debian-user-portuguese@lists.debian.org; Subject: Re: Iptables Squid - Preciso Bloquear o WhatsApp Sent: Thu, Jul 25, 2013 1:46:45 AM pois pessoas estão deixando de trabalhar para ficar de bate papo através deste aplicativo. E o pior... Usando a internet da empresa. Isso não é uma empresa, é um campo de concentração. Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando choque nas pessoas que estão usando celular. É o que parece mais de acordo com as políticas da empresa. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro Em 24 de julho de 2013 22:00, CássioElias . cassioel...@hotmail.com escreveu: Tenta bloquear a string whatsapp pelo IPtables. Quero ver alguém passar. ^^ Date: Wed, 24 Jul 2013 17:58:13 -0700 From: walbersan...@yahoo.com.br Subject: Re: Iptables Squid - Preciso Bloquear o WhatsApp To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org Corrigindo tcpdump abç De: Walber Santos walbersan...@yahoo.com.br Para: Henrique Fagundes magnat...@yahoo.com.br; debian-user-portuguese@lists.debian.org debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 24 de Julho de 2013 21:45 Assunto: Re: Iptables Squid - Preciso Bloquear o WhatsApp Kra Roda um tcpdumo e conecta do seu cel e faz o teste. Dai vc bloqueia a rede de destino. abç De: Henrique Fagundes magnat...@yahoo.com.br Para: debian-user-portuguese@lists.debian.org Enviadas: Quarta-feira, 24 de Julho de 2013 19:20 Assunto: Iptables Squid - Preciso Bloquear o WhatsApp Prezados Colegas, Saudações pinguianas a todos. Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo pior... Usando a internet da empresa. Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, mas até agora não achei nada relevante. Alguém sabe como eu posso proceder? Atenciosamente, Henrique Fagundes magnat...@yahoo.com.br Skype: magnata-br-rj Linux User: 475399 http://www.aprendendolinux.com/ http://www.facebook.com/PortalAprendendoLinux http://youtube.com/aprendendolinux/ http://twitter.com/aprendendolinux/ __ Participe do Grupo Aprendendo Linux BR http://listas.aprendendolinux.com Ou envie um e-mail para: aprendendolinux-subscr...@listas.aprendendolinux.com -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Em 24-07-2013 22:46, Helio Loureiro escreveu: pois pessoas estão deixando de trabalhar para ficar de bate papo através deste aplicativo. E o pior... Usando a internet da empresa. Isso não é uma empresa, é um campo de concentração. Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando choque nas pessoas que estão usando celular. É o que parece mais de acordo com as políticas da empresa. HAHHAAHHAA , Hélio, tu é foda ! Mas falando sério, isso não é um problema de TI, e não vai ser resolvido adequadamente usando TI . [ ]'s -- To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/51f09679.9050...@gmail.com
Re: Iptables Squid - Preciso Bloquear o WhatsApp
Dá pra fazer no Linux, mas não vou ensinar isso. Estamos na era do conhecimento. Trabalhamos baseados em entrega, não no modelo fordista, onde cada um tem de produzir tantas peças por hora. Horário comercial e horas rígidas de trabalho não fazem mais sentido. Mas tem empresas que gostam de viver em eras medievais. Gerentes que ficam monitorando funcionários. Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa atitude? Aliás, atitude não, espírito de porco? Vai aumentar produtividade através da desmotivação dos funcionários? Empresas de call center agem assim, e é algo que beira a criminalidade pelas péssimas condições de trabalho. Só não é escravidão porque escravos têm condições mais descentes de trabalho. Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete. Abs, Helio Loureiro http://helio.loureiro.eng.br http://br.linkedin.com/in/helioloureiro http://twitter.com/helioloureiro http://gplus.to/helioloureiro - sent via Android - Em 25/07/2013 00:07, Fabricio Cannini fcann...@gmail.com escreveu: Em 24-07-2013 22:46, Helio Loureiro escreveu: pois pessoas estão deixando de trabalhar para ficar de bate papo através deste aplicativo. E o pior... Usando a internet da empresa. Isso não é uma empresa, é um campo de concentração. Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando choque nas pessoas que estão usando celular. É o que parece mais de acordo com as políticas da empresa. HAHHAAHHAA , Hélio, tu é foda ! Mas falando sério, isso não é um problema de TI, e não vai ser resolvido adequadamente usando TI . [ ]'s -- To UNSUBSCRIBE, email to debian-user-portuguese-**requ...@lists.debian.orgdebian-user-portuguese-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/**51f09679.9050...@gmail.comhttp://lists.debian.org/51f09679.9050...@gmail.com
Regra IPTables Para Mascaramento
Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Aqui vai um cabeçalho: Delivered-To: fagner.patri...@gmail.com Received: by 10.114.38.135 with SMTP id g7csp28062ldk; Tue, 23 Jul 2013 07:21:20 -0700 (PDT) X-Received: by 10.236.121.175 with SMTP id r35mr15105054yhh.50.1374589279379; Tue, 23 Jul 2013 07:21:19 -0700 (PDT) Return-Path: supo...@cnpg.org.br Received: from webmail.cnpg.org.br ([200.199.79.66]) by mx.google.com with ESMTP id f27si3423371yhl.134.2013.07.23.07.21.18 for fagner.patri...@gmail.com; Tue, 23 Jul 2013 07:21:19 -0700 (PDT) Received-SPF: fail (google.com: domain of supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) client-ip=200.199.79.66; Authentication-Results: mx.google.com; spf=hardfail (google.com: domain of supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) smtp.mail=supo...@cnpg.org.br Received: from localhost (localhost [127.0.0.1]) by webmail.cnpg.org.br (Postfix) with ESMTP id 6CC682EE186 for fagner.patri...@gmail.com; Tue, 23 Jul 2013 11:21:16 -0300 (BRT) X-Virus-Scanned: amavisd-new at cnpg.org.br Received: from webmail.cnpg.org.br ([127.0.0.1]) by localhost (webmail.cnpg.org.br [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 8BAdIm0tHaiF for fagner.patri...@gmail.com; Tue, 23 Jul 2013 11:21:16 -0300 (BRT) Received: from webmail.cnpg.org.br (webmail.cnpg.org.br [200.199.79.91]) by webmail.cnpg.org.br (Postfix) with ESMTP id 0F9162EE181 for fagner.patri...@gmail.com; Tue, 23 Jul 2013 11:21:16 -0300 (BRT) Date: Tue, 23 Jul 2013 11:21:15 -0300 (BRT) From: supo...@cnpg.org.br To: fagner.patri...@gmail.com Message-ID: 1026454534.101.1374589275917.javamail.r...@cnpg.org.br Subject: teste MIME-Version: 1.0 Content-Type: text/plain; charset=utf-8 Content-Transfer-Encoding: 7bit X-Originating-IP: [10.128.4.2] X-Mailer: Zimbra 7.2.1_GA_2790 (ZimbraWebClient - FF3.0 (Linux)/7.2.1_GA_2790) ok Em 23 de julho de 2013 11:11, Fagner Patricio fagner.patri...@gmail.comescreveu: Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Em 23-07-2013 11:23, Fagner Patricio escreveu: Aqui vai um cabeçalho: [...] Received: fromwebmail.cnpg.org.br http://webmail.cnpg.org.br ([200.199.79.66]) bymx.google.com http://mx.google.com with ESMTP id f27si3423371yhl.134.2013.07.23.07.21.18 forfagner.patri...@gmail.com mailto:fagner.patri...@gmail.com; Tue, 23 Jul 2013 07:21:19 -0700 (PDT) Received-SPF: fail (google.com http://google.com: domain ofsupo...@cnpg.org.br mailto:supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) client-ip=200.199.79.66; Authentication-Results:mx.google.com http://mx.google.com; spf=hardfail (google.com http://google.com: domain ofsupo...@cnpg.org.br mailto:supo...@cnpg.org.br does not designate 200.199.79.66 as permitted sender) smtp.mail=supo...@cnpg.org.br mailto:supo...@cnpg.org.br Olá! Quem está fazendo o mascaramento é o firewall que está no IP 200.199.79.66. Neste, você deve colocar uma regra para aceitar o pacote sem modificações vindo do seu IP acima de todas as outras do POSTROUTING: iptables -t nat -I POSTROUTING -o ethX -s 200.199.79.91 -j ACCEPT []'s Junior Polegato
Re: Regra IPTables Para Mascaramento
Fagner, Você não precisa colocar a notação CIDR. Se não quiser mascarar estes IPs, apenas coloque ele sem máscara. Pois o firewall irá imaginar que é uma rede e irá tentar realizar a regra nos IPs dentro dela. Apenas coloque o IP e veja. Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:45, Fagner Patricio fagner.patri...@gmail.com wrote: hum, vejam só, eu tinha mais duas regras depois dessas, pois tenho DMZs: -A POSTROUTING ! -s 200.199.79.80/28 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.71/29 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.68/30 -o eth1 -j MASQUERADE Quando eu tirei as duas ultimas deu certo, mas dai da a entender que ele executa todas as 3 regras, como eu faço para esse cenário da certo? Em 23 de julho de 2013 11:38, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: Certeza que não têm um MASQUERADE geral antes? Colocou essa regra como primeira? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:11, Fagner Patricio fagner.patri...@gmail.com wrote: Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil
Re: Regra IPTables Para Mascaramento
Em 23 de julho de 2013 12:54, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: Fagner, Você não precisa colocar a notação CIDR. Se não quiser mascarar estes IPs, apenas coloque ele sem máscara. Pois o firewall irá imaginar que é uma rede e irá tentar realizar a regra nos IPs dentro dela. Apenas coloque o IP e veja. Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:45, Fagner Patricio fagner.patri...@gmail.com wrote: hum, vejam só, eu tinha mais duas regras depois dessas, pois tenho DMZs: -A POSTROUTING ! -s 200.199.79.80/28 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.71/29 -o eth1 -j MASQUERADE -A POSTROUTING ! -s 200.199.79.68/30 -o eth1 -j MASQUERADE Quando eu tirei as duas ultimas deu certo, mas dai da a entender que ele executa todas as 3 regras, como eu faço para esse cenário da certo? Em 23 de julho de 2013 11:38, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: Certeza que não têm um MASQUERADE geral antes? Colocou essa regra como primeira? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:11, Fagner Patricio fagner.patri...@gmail.com wrote: Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 que é a minha saída de internet do firewall, alguma idéia? Em 23 de julho de 2013 11:07, Leandro de Lima Camargo lean...@axtelecom.com.br escreveu: iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE Mas olha… Os demais IPs são válidos também? Atenciosamente Leandro de Lima Camargo On 23/07/2013, at 11:00, Fagner Patricio fagner.patri...@gmail.com wrote: Olá Pessoal!! Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não quero que hava mascaramento para esse único IP e para todos os demais, como seria a regra do Iptables? -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil -- Fagner Patrício João Pessoa - PB Brasil imagine este cenario: internet eth1---firewall eth0 rede local | | DMZ eth2 ser email 172.16.0.2 # aqui vc redireciona tudo que entra do 200.199.79.91 para seu email iptables -t nat -A PREROUTING -d 200.199.79.91 -j SNAT --to 172.16.0.2 # aqui a regra de postrouting forçando seu email para sair com o ip que o mundo conheçe.. iptables -t nat -A POSTROUTING -s 172.16.0.2 -j SNAT --to 200.199.79.91 # aqui a regra para o resto iptables -t nat -A POSTROUTING -s rede local -j SNAT --to 200.199.79.66 OBS MASQUERADE é usado para ips dinamicos. pode ser usado para ip fixos mas não é aconselhavel []s Paulo Ricardo Bruck consultor tel 011 3596-4881/4882 011 98140-9184 (TIM) http://www.contatogs.com.br http://www.protejasuarede.com.br
