Fórum Ubuntu Linux - PT
Suporte Técnico => Servidores => Tópico iniciado por: felipe.rr em 08 de Abril de 2011, 15:29
-
Saudações!
Tenho um modem adsl da TP-LINK q vai para meu servidor proxy. Minha dúvida que na empresa a atualização do sistema e o mesmo ativação acessa o "servidor.com.br:5432" e ja tentei criar regras no iptables:
iptables -I FORWARD -p tcp --dport 5432 -j ACCEPT
iptables -I FORWARD -p tcp --sport 5432 -j ACCEPT
iptables -I FORWARD -p udp --dport 5432 -j ACCEPT
iptables -I FORWARD -p udp --sport 5432 -j ACCEPT
e nada de o sistema conectar ao servidor da porta postgres pra atualiza/ativar. Então apaguei todas as regras do iptables e deixei somente o squid.
########################################################
http_port 3128
visible_hostname robin
cache_mem 768 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 1 KB
cache_swap_low 90
cache_swap_high 95
cache_dir aufs /var/spool/squid 2048 16 256
#cache_dir aufs /samba/squid_cache 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 5432
acl Safe_ports port 21 80 443 563 70 210 280 488 59 777 901 1025-65535 5432
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# ---- Cache do Windows Update ----
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
#Cache atulizacao avira ( Faz cache do Avira ) ##
refresh_pattern personal.avira-update.com/.*\.(cab|exe|dll|msi|gz) 10080 100% 43200 reload-into-ims
# Libera acesso total para administração por IP
acl diretoria src "/etc/squid/listas/diretoria"
http_access allow diretoria
#liberar acesso Nota Fiscal Eletronica
acl nfe dstdomain "/etc/squid/listas/receita"
http_access allow nfe
#lista de site e palavras bloqueadas
acl bloqueados url_regex -i "/etc/squid/listas/url_bloqueado"
http_access deny bloqueados
#lista de downloads proibidos
acl baixar url_regex -i "/etc/squid/listas/proibido_baixar"
http_access deny baixar
acl redelocal src 10.95.1.0/24
http_access allow localhost
http_access allow redelocal
http_access deny all
#########################################################
Gostaria de saber como faço para minhas maquinas cliente atualizarem o sistema interno conectando pela porta 5432 (postgres) usando meu proxy?
-
Você já conseguiu isso alguma vez? Não me parece que o serviço postgres possa usar o squid como proxy.
-
Você já conseguiu isso alguma vez? Não me parece que o serviço postgres possa usar o squid como proxy.
não conseguir nenhum vez.. toda vez tenho tenho liberar acesso direto do modem na minha rede interna e só assim funciona.. mas tbm fica tudo liberado.. sem passar pelo proxy
-
Rapaz, eu acho que o squid só permite passar acessos HTTP, HTTPS e FTP GET. O postgres não vai passar por ele.
-
Rapaz, eu acho que o squid só permite passar acessos HTTP, HTTPS e FTP GET. O postgres não vai passar por ele.
iptables?
fiz as regras que postei acima e não funcionou.. dicas?
-
Acompanhe os logs do iptables.
Outra coisa, vc disse que está usando um modem ADSL; esse modem está em modo bridge ou roteado?
-
Acompanhe os logs do iptables.
Outra coisa, vc disse que está usando um modem ADSL; esse modem está em modo bridge ou roteado?
o modem faz autenticação PPPOe e faço nat no proprio modem pra eu conectar no meu server que ainda tem host pelo NO-IP.
-
Ah, então o modem está roteado. Lembrou de redirecionar essas portas no modem, também?
-
foi feito nat da porta 5432 par o ip do server.. mas como a questão é a saída e até agora nada
-
Se puder, volte o modem pra bridge, e faça a autenticação no servidor. Assim é um passo de redirecionamento a menos.
Fazendo isso, vc tem só que adaptar seu firewall pq a interface de saída deixa de ser a ethX, e passa a ser a ppp0.
-
Como faço essa autenticação? confesso que nessa eu não sei. E se for feita essa autenticação como conectarei no meu server sendo q a velox distribui ip dinâmico?
-
Por partes... seu Velox não distribui ip dinâmico, quem distribui é o seu modem, por estar configurado como roteador. Resetado de volta pro modo bridge, ele passa a responder via discador; assim, vc tem que usar o "pppoeconf" pra configurar seu servidor pra fazer a autenticação.
-
opa! tranquilo.. mas sobre os ip's dinamico que falo são os hosts pra eu acessar meu server de fora. Hoje, meu adsl ta configuado pra fazer nat direcionando a porta direto pro meu server.. e tbm configurei o DNS NO-IP aonde eu acesso pelo host (ex: minhaempresa.no-ip.org e a porta desejada) sem me preocupar com qual ip meu velox esta no momento pois o proprio modem ja faz isso qdo o ip eh alterado ele ja conectar no NO-IP e informa e se eu fizer conexão pppoe poderei fazer que meu modem adsl faz?
-
Seu modem adsl não faz nada disso. Ele só se autentica com a Velox, e repassa as conexões pro teu servidor. Se ele não estiver no caminho, não há necessidade de repassar as conexões, não?
Mas o que vc falou me chamou a atenção... vc disse que já tem outros redirecionamentos funcionando?
-
vc fala dos host criado? aonde crio um dnsserver no modem e coloco a senha e user do cadastro que fiz no www.no-ip.com e faz essa alteração de ip caso meu o proprio mude.
-
Não, não estou dizendo da parte de DNS dinâmico (que aliás, pode ser atualizado a partir de sua máquina).
Pelo que eu entendi, há outros redirecionamentos que vc fez, que estão funcionando. Correto?
-
fiquei sem solução??
abraços
-
Não sei, vc não respondeu minha pergunta....
-
rsrs..quais redirecionamentos vc fala?
-
Os que você fez.
-
cara so fiz o nat no proprio modem pra eu ter acesso ssh.. e pra resolver o dns eu uso o no-ip.. só isso!
-
Então vc fez o redirecionamento do SSH. Se ele funciona, todo o processo de redirecionamento funciona...
-
bom.. era pra funcionar! principalmente a porta 5432.. mas essa semana vou deixa o modem em ponte e fazer autenticação no proprio ubuntu e testar.. vou procurar um modelo perfeito de firewall.. mas se vc tiver eu agradeço!
e darei resposta..
-
Cara, firewall é muito gosto de cada um. Eu por exemplo gosto de criar o meu. Outros gostam de usar o FireStarter, ou o Shorewall. Há o UFW, nativo do Ubuntu.
Enfim, vc tem que ver qual te agrada mais.