Re: iptables e syslog

[paulo bruck]

Procure por iptables TEE

https://superuser.com/questions/853077/iptables-duplicate-traffic-to-another-ip

Em qui., 2 de jan. de 2020 às 09:44, Helio Loureiro 
escreveu:

> O que vc quer fazer parece ser um loadbalancer.  iptables não faz.  Vc
> precisa de algo como nginx ou apache webserver pra fazer isso com reverse
> proxy.
>
> ./helio
>
> On Wed, Dec 18, 2019, 01:28 Caio Ferreira  wrote:
>
>> Lista
>>
>> Através do iptables, no computador gateway da rede eu consegui
>> redirecionar o tráfego para um determinado IP e porta de um host da rede.
>> Eu queria saber se seria possível através do iptables fazer uma cópia dos
>> dados para um segundo IP e porta.
>>
>> Esse segundo host é um servidor de log. Alguém por acaso conhece algum
>> software que possa armazenar esses dados provenientes do gateway?
>>
>> DEsde já agradeço pela atenção.
>>
>>  .''`.   Caio Abreu Ferreira
>> : :'  :  abreuf...@gmail.com
>> `. `'`   Debian User
>>   `-
>>
>

-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br
gpg AAA59989 at wwwkeys.us.pgp.net

Re: iptables e syslog

[Helio Loureiro]

O que vc quer fazer parece ser um loadbalancer.  iptables não faz.  Vc
precisa de algo como nginx ou apache webserver pra fazer isso com reverse
proxy.

./helio

On Wed, Dec 18, 2019, 01:28 Caio Ferreira  wrote:

> Lista
>
> Através do iptables, no computador gateway da rede eu consegui
> redirecionar o tráfego para um determinado IP e porta de um host da rede.
> Eu queria saber se seria possível através do iptables fazer uma cópia dos
> dados para um segundo IP e porta.
>
> Esse segundo host é um servidor de log. Alguém por acaso conhece algum
> software que possa armazenar esses dados provenientes do gateway?
>
> DEsde já agradeço pela atenção.
>
>  .''`.   Caio Abreu Ferreira
> : :'  :  abreuf...@gmail.com
> `. `'`   Debian User
>   `-
>

iptables e syslog

[Caio Ferreira]

Lista

Através do iptables, no computador gateway da rede eu consegui redirecionar
o tráfego para um determinado IP e porta de um host da rede. Eu queria
saber se seria possível através do iptables fazer uma cópia dos dados para
um segundo IP e porta.

Esse segundo host é um servidor de log. Alguém por acaso conhece algum
software que possa armazenar esses dados provenientes do gateway?

DEsde já agradeço pela atenção.

 .''`.   Caio Abreu Ferreira
: :'  :  abreuf...@gmail.com
`. `'`   Debian User
  `-

Re: iptables cups

[paulo bruck]

Depende

se for o básico porta 631 tcp/udp

se for IPP possivelmente porta 901/tcp ( pelo que me lembro).

ats

Nadas que um ss -nlpt  no servidor onde vc estiver usando o CUPS não
resolva...80)

ou um netstat -nlpt

ats

Em seg, 29 de jul de 2019 às 16:28, Vitor Hugo 
escreveu:

> Bom dia;
>
> Qual portas precisa abrir para imprimir de uma maquina windows e um
> servidor debian linux cups?
>
>

-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br
gpg AAA59989 at wwwkeys.us.pgp.net

iptables cups

[Vitor Hugo]

Bom dia;

Qual portas precisa abrir para imprimir de uma maquina windows e um 
servidor debian linux cups?

Re: regras iptables no boot

[P. J.]

apt install iptables-persistent

Em 14/05/2019, Vitor Hugo escreveu:
> A fim de segurar que somente a maquina de desenvolvimento ira acessar o
> servidor Postgres eu criei um script sh com as seguintes regras
> iptables, como eu faço para que estas regras sejam ativadas a cada
> inicialização do sistema Debian?
>
> IP servidor PostgreSQL: 192.168.0.27
>
> IP Cliente PGAdmin: 192.168.0.66
>
> applein@debian:~$ cat iptables_postgreql.sh
> #!/bin/sh
> iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.27
> --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 0/0 --dport
> 1024:65535 -m state --state ESTABLISHED -j ACCEPT
> iptables -A INPUT -p tcp -s 192.168.0.66 --sport 1024:65535 -d
> 192.168.0.27 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 192.168.0.66
> --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 1024:65535 -d 0/0
> --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
> iptables -A INPUT -p tcp -s 0/0 --sport 5432 -d 192.168.0.27 --dport
> 1024:65535 -m state --state ESTABLISHED -j ACCEPT
> applein@debian:~$
>
>


-- 
|  .''`.   A fé não dá respostas. Só impede perguntas.
| : :'  :
| `. `'`
|   `-   Je vois tout

Substituir Iptables pelo Nftables

[Marcelo]

Olá,

Alguém já substituiu o iptables pelo nftables?

Algum ganho?

dificuldades?

módulos que não funcionam?

Obrigado,
Marcelo

Re: regras iptables no boot

[Alcione Ferreira]

Boa tarde!

Eu geralmente coloco elas no /etc/rc.local

At.te

Em 14/05/2019 12:36, Vitor Hugo escreveu:
> A fim de segurar que somente a maquina de desenvolvimento ira acessar o 
> servidor Postgres eu criei um script sh com as seguintes regras 
> iptables, como eu faço para que estas regras sejam ativadas a cada 
> inicialização do sistema Debian?
>
> IP servidor PostgreSQL: 192.168.0.27
>
> IP Cliente PGAdmin: 192.168.0.66
>
> applein@debian:~$ cat iptables_postgreql.sh
> #!/bin/sh
> iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.27 
> --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 0/0 --dport 
> 1024:65535 -m state --state ESTABLISHED -j ACCEPT
> iptables -A INPUT -p tcp -s 192.168.0.66 --sport 1024:65535 -d 
> 192.168.0.27 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 192.168.0.66 
> --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
> iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 1024:65535 -d 0/0 
> --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
> iptables -A INPUT -p tcp -s 0/0 --sport 5432 -d 192.168.0.27 --dport 
> 1024:65535 -m state --state ESTABLISHED -j ACCEPT
> applein@debian:~$
>
-- 
Paz e Bem!
Alcione Ferreira
Sombra®
101080
[http://www.alcionesytes.net/]
---
Liberdade e conhecimento ao alcance de todos.

Office Escritório - http://www.openoffice.org.br/
Navegador Firefox - http://www.mozilla.org.br/
Email Thunderbird - http://www.mozilla.org.br/
---
Linux user number 432030 of http://counter.li.org/
---
ICQ: 377035698
Jabber: ksomb...@jabber.org
MSN: sombra_mes...@hotmail.com
---
Curriculum: http://lattes.cnpq.br/0545256741852110
"Em paz me deito e logo adormeço, por que só tu, DEUS, me fazes viver 
tranquilo" Salmo 4,9




signature.asc
Description: OpenPGP digital signature

regras iptables no boot

[Vitor Hugo]

A fim de segurar que somente a maquina de desenvolvimento ira acessar o 
servidor Postgres eu criei um script sh com as seguintes regras 
iptables, como eu faço para que estas regras sejam ativadas a cada 
inicialização do sistema Debian?

IP servidor PostgreSQL: 192.168.0.27

IP Cliente PGAdmin: 192.168.0.66

applein@debian:~$ cat iptables_postgreql.sh
#!/bin/sh
iptables -A INPUT -p tcp -s 0/0 --sport 1024:65535 -d 192.168.0.27 
--dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 0/0 --dport 
1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.66 --sport 1024:65535 -d 
192.168.0.27 --dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 5432 -d 192.168.0.66 
--dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.0.27 --sport 1024:65535 -d 0/0 
--dport 5432 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 5432 -d 192.168.0.27 --dport 
1024:65535 -m state --state ESTABLISHED -j ACCEPT
applein@debian:~$

Re: Dúvida para limpar algumas regras de iptables

[Lucas Castro]

Também concordo, há maneiras bem legais de fazer isso com gnu. :/

recentemente empacotei o LSM, uma aplicação simples pra manter status
dos links e quando  cair chamar um script pra fazer os procedimentos
necessários.

On 03-11-2016 22:07, Henrique Fagundes wrote:
> Opa,
>
> Claro meu amigo!
>
> Só que nesse caso, decidimos por colocar um equipamento da cisco na
> frente dos links, unicamente para fazer o balanceamento e o failover.
>
> Isso não foi resolvido da maneira que eu gostaria, mas isso foi
> debatido em reunião com a nossa TI, e infelizmente a opinião da
> maioria foi essa.
>
> Atenciosamente,
>
> Henrique Fagundes
> henri...@linuxadmin.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.com/
> http://www.facebook.com/PortalAprendendoLinux
> http://youtube.com/aprendendolinux/
> http://twitter.com/aprendendolinux/
> __
> Participe do Grupo Aprendendo Linux
> https://groups.google.com/forum/#!forum/portal-aprendendo-linux
>
> Ou envie um e-mail para:
> portal-aprendendo-linux+subscr...@googlegroups.com
>
>
>
> Em 03/11/2016 22:29, Lucas Castro escreveu:
>> Sempre bom sitar a soluções,
>>
>> talvez possa ajudar outras pessoas futuramente.
>>
>>
>> -- 
>>
>> Lucas Castro
>>
>> On 03-11-2016 21:22, Henrique Fagundes wrote:
>>> Prezados,
>>>
>>> Boa noite!
>>>
>>> Obrigado pela dica, mas eu resolvi a minha questão de uma outra
>>> maneira.
>>>
>>> Atenciosamente,
>>>
>>> Henrique Fagundes
>>> henri...@linuxadmin.com.br
>>> Skype: magnata-br-rj
>>> Linux User: 475399
>>>
>>> http://www.aprendendolinux.com/
>>> http://www.facebook.com/PortalAprendendoLinux
>>> http://youtube.com/aprendendolinux/
>>> http://twitter.com/aprendendolinux/
>>> __
>>> Participe do Grupo Aprendendo Linux
>>> https://groups.google.com/forum/#!forum/portal-aprendendo-linux
>>>
>>> Ou envie um e-mail para:
>>> portal-aprendendo-linux+subscr...@googlegroups.com
>>>
>>>
>>>
>>> Em 03/11/2016 08:58, Gabriel Ricardo escreveu:
>>>> Bom dia!
>>>>
>>>> Você pode listar as regras por numero de linha, segue um guia:
>>>>
>>>> https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number
>>>>
>>>>
>>>>
>>>>
>>>> Atenciosamente,
>>>> *Gabriel Ricardo*
>>>> Fone: +55 41 88817828
>>>> Skype: gabriel.nerdworkti
>>>>
>>>>
>>>> Em 1 de novembro de 2016 14:43, Linux - Junior Polegato
>>>> mailto:li...@juniorpolegato.com.br>>
>>>> escreveu:
>>>>
>>>> Em 31-10-2016 14:54, Henrique Fagundes escreveu:
>>>>
>>>> Prezados Colegas,
>>>>
>>>> Primeiramente saudações pinguianas para todos.
>>>>
>>>> Estou com uma dificuldade em relação a remoção de algumas
>>>> regras
>>>> via script.
>>>>
>>>> No meu cenário, eu tenho três links e algumas (na verdade
>>>> muitas) regras de marcação de pacotes, TIPO, assim:
>>>>
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK
>>>> --set-mark 1
>>>>     iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK
>>>> --set-mark 1
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK
>>>> --set-mark 1
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK
>>>> --set-mark 1
>>>>
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK
>>>> --set-mark 2
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK
>>>> --set-mark 2
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK
>>>> --set-mark 2
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK
>>>> --set-mark 2
>>>>
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK
>>>>     --set-mark 3
>>>> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK
>>>> --set-mark 3
>>>>     iptab

Re: Dúvida para limpar algumas regras de iptables

[Rodrigo Cunha]

Qual foi a maneira?

Em 3 de novembro de 2016 22:29, Lucas Castro 
escreveu:

> Sempre bom sitar a soluções,
>
> talvez possa ajudar outras pessoas futuramente.
>
>
> --
>
> Lucas Castro
>
> On 03-11-2016 21:22, Henrique Fagundes wrote:
> > Prezados,
> >
> > Boa noite!
> >
> > Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira.
> >
> > Atenciosamente,
> >
> > Henrique Fagundes
> > henri...@linuxadmin.com.br
> > Skype: magnata-br-rj
> > Linux User: 475399
> >
> > http://www.aprendendolinux.com/
> > http://www.facebook.com/PortalAprendendoLinux
> > http://youtube.com/aprendendolinux/
> > http://twitter.com/aprendendolinux/
> > __
> > Participe do Grupo Aprendendo Linux
> > https://groups.google.com/forum/#!forum/portal-aprendendo-linux
> >
> > Ou envie um e-mail para:
> > portal-aprendendo-linux+subscr...@googlegroups.com
> >
> >
> >
> > Em 03/11/2016 08:58, Gabriel Ricardo escreveu:
> >> Bom dia!
> >>
> >> Você pode listar as regras por numero de linha, segue um guia:
> >>
> >> https://www.digitalocean.com/community/tutorials/how-to-
> list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number
> >>
> >>
> >>
> >> Atenciosamente,
> >> *Gabriel Ricardo*
> >> Fone: +55 41 88817828
> >> Skype: gabriel.nerdworkti
> >>
> >>
> >> Em 1 de novembro de 2016 14:43, Linux - Junior Polegato
> >> mailto:li...@juniorpolegato.com.br>>
> >> escreveu:
> >>
> >> Em 31-10-2016 14:54, Henrique Fagundes escreveu:
> >>
> >> Prezados Colegas,
> >>
> >>     Primeiramente saudações pinguianas para todos.
> >>
> >>     Estou com uma dificuldade em relação a remoção de algumas regras
> >>     via script.
> >>
> >> No meu cenário, eu tenho três links e algumas (na verdade
> >> muitas) regras de marcação de pacotes, TIPO, assim:
> >>
> >> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK
> >> --set-mark 1
> >> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK
> >> --set-mark 1
> >> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK
> >> --set-mark 1
> >> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK
> >> --set-mark 1
> >>
> >>     iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK
> >> --set-mark 2
> >> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK
> >> --set-mark 2
> >> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK
> >> --set-mark 2
> >> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK
> >> --set-mark 2
> >>
> >> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK
> >> --set-mark 3
> >> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK
> >> --set-mark 3
> >> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK
> >> --set-mark 3
> >> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK
> >> --set-mark 3
> >>
> >> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo
> >> toda a tabela mangle.
> >>
> >> Mas e seu quiser limpar apenas as regras de marcação para saída
> >> pelo link 2? Como ficaria o comando de iptables?
> >>
> >> Preciso descobrir como fazer isso, pois sempre que um link cai e
> >> meu failover troca o gateway padrão, ele precisará excluir as
> >> marcações de pacotes para o link que caiu.
> >>
> >> Se alguém puder ajudar, ficarei muito grato.
> >>
> >>
> >> Olá!
> >>
> >> Existem várias forma de fazer isso, mas com um sistema já
> >> com as regra prontas, usaria para selecionar determinadas regras
> >> "iptables-save -t " com "grep ",
> >> aí substituiria o "-A" por "-D" e executaria cada linha resultante,
> >> no seu caso ficaria:
> >>
> >> iptables-save -t mangle |\
> >> grep 'set-xmark 0x2/' |\
> >> sed 's/^-A/iptables -t mangle -D/' |\
> >> while read linha; do
> >> $linha
> >> done
> >>
> >>
> >> --
> >>
> >> []'s
> >>
> >> Junior Polegato
> >>
> >>
> >
>
>
>


-- 
Atenciosamente,
Rodrigo da Silva Cunha

Re: Dúvida para limpar algumas regras de iptables

[Henrique Fagundes]

Opa,

Claro meu amigo!

Só que nesse caso, decidimos por colocar um equipamento da cisco na 
frente dos links, unicamente para fazer o balanceamento e o failover.


Isso não foi resolvido da maneira que eu gostaria, mas isso foi debatido 
em reunião com a nossa TI, e infelizmente a opinião da maioria foi essa.


Atenciosamente,

Henrique Fagundes
henri...@linuxadmin.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux
https://groups.google.com/forum/#!forum/portal-aprendendo-linux

Ou envie um e-mail para:
portal-aprendendo-linux+subscr...@googlegroups.com



Em 03/11/2016 22:29, Lucas Castro escreveu:

Sempre bom sitar a soluções,

talvez possa ajudar outras pessoas futuramente.


--

Lucas Castro

On 03-11-2016 21:22, Henrique Fagundes wrote:

Prezados,

Boa noite!

Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira.

Atenciosamente,

Henrique Fagundes
henri...@linuxadmin.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux
https://groups.google.com/forum/#!forum/portal-aprendendo-linux

Ou envie um e-mail para:
portal-aprendendo-linux+subscr...@googlegroups.com



Em 03/11/2016 08:58, Gabriel Ricardo escreveu:

Bom dia!

Você pode listar as regras por numero de linha, segue um guia:

https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number



Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti


Em 1 de novembro de 2016 14:43, Linux - Junior Polegato
mailto:li...@juniorpolegato.com.br>>
escreveu:

Em 31-10-2016 14:54, Henrique Fagundes escreveu:

Prezados Colegas,

Primeiramente saudações pinguianas para todos.

Estou com uma dificuldade em relação a remoção de algumas regras
via script.

No meu cenário, eu tenho três links e algumas (na verdade
muitas) regras de marcação de pacotes, TIPO, assim:

    iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK
--set-mark 1
    iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK
--set-mark 1
    iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK
--set-mark 1
    iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK
--set-mark 1

    iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK
--set-mark 2
    iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK
--set-mark 2
    iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK
--set-mark 2
    iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK
--set-mark 2

    iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK
--set-mark 3
    iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK
--set-mark 3
    iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK
--set-mark 3
    iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK
--set-mark 3

Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo
toda a tabela mangle.

Mas e seu quiser limpar apenas as regras de marcação para saída
pelo link 2? Como ficaria o comando de iptables?

Preciso descobrir como fazer isso, pois sempre que um link cai e
meu failover troca o gateway padrão, ele precisará excluir as
marcações de pacotes para o link que caiu.

Se alguém puder ajudar, ficarei muito grato.


Olá!

Existem várias forma de fazer isso, mas com um sistema já
com as regra prontas, usaria para selecionar determinadas regras
"iptables-save -t " com "grep ",
aí substituiria o "-A" por "-D" e executaria cada linha resultante,
no seu caso ficaria:

iptables-save -t mangle |\
grep 'set-xmark 0x2/' |\
sed 's/^-A/iptables -t mangle -D/' |\
while read linha; do
$linha
done


--

[]'s

Junior Polegato

Re: Dúvida para limpar algumas regras de iptables

[Lucas Castro]

Sempre bom sitar a soluções,

talvez possa ajudar outras pessoas futuramente.


--

Lucas Castro

On 03-11-2016 21:22, Henrique Fagundes wrote:
> Prezados,
>
> Boa noite!
>
> Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira.
>
> Atenciosamente,
>
> Henrique Fagundes
> henri...@linuxadmin.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.com/
> http://www.facebook.com/PortalAprendendoLinux
> http://youtube.com/aprendendolinux/
> http://twitter.com/aprendendolinux/
> __
> Participe do Grupo Aprendendo Linux
> https://groups.google.com/forum/#!forum/portal-aprendendo-linux
>
> Ou envie um e-mail para:
> portal-aprendendo-linux+subscr...@googlegroups.com
>
>
>
> Em 03/11/2016 08:58, Gabriel Ricardo escreveu:
>> Bom dia!
>>
>> Você pode listar as regras por numero de linha, segue um guia:
>>
>> https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number
>>
>>
>>
>> Atenciosamente,
>> *Gabriel Ricardo*
>> Fone: +55 41 88817828
>> Skype: gabriel.nerdworkti
>>
>>
>> Em 1 de novembro de 2016 14:43, Linux - Junior Polegato
>> mailto:li...@juniorpolegato.com.br>>
>> escreveu:
>>
>> Em 31-10-2016 14:54, Henrique Fagundes escreveu:
>>
>> Prezados Colegas,
>>
>> Primeiramente saudações pinguianas para todos.
>>
>> Estou com uma dificuldade em relação a remoção de algumas regras
>> via script.
>>
>> No meu cenário, eu tenho três links e algumas (na verdade
>> muitas) regras de marcação de pacotes, TIPO, assim:
>>
>> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK
>> --set-mark 1
>> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK
>> --set-mark 1
>> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK
>> --set-mark 1
>> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK
>> --set-mark 1
>>
>> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK
>> --set-mark 2
>> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK
>> --set-mark 2
>> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK
>> --set-mark 2
>> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK
>> --set-mark 2
>>
>> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK
>> --set-mark 3
>> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK
>> --set-mark 3
>> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK
>> --set-mark 3
>> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK
>> --set-mark 3
>>
>> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo
>> toda a tabela mangle.
>>
>> Mas e seu quiser limpar apenas as regras de marcação para saída
>> pelo link 2? Como ficaria o comando de iptables?
>>
>> Preciso descobrir como fazer isso, pois sempre que um link cai e
>> meu failover troca o gateway padrão, ele precisará excluir as
>> marcações de pacotes para o link que caiu.
>>
>> Se alguém puder ajudar, ficarei muito grato.
>>
>>
>> Olá!
>>
>> Existem várias forma de fazer isso, mas com um sistema já
>> com as regra prontas, usaria para selecionar determinadas regras
>> "iptables-save -t " com "grep ",
>> aí substituiria o "-A" por "-D" e executaria cada linha resultante,
>> no seu caso ficaria:
>>
>> iptables-save -t mangle |\
>> grep 'set-xmark 0x2/' |\
>> sed 's/^-A/iptables -t mangle -D/' |\
>> while read linha; do
>> $linha
>> done
>>
>>
>> --
>>
>> []'s
>>
>> Junior Polegato
>>
>>
>




signature.asc
Description: OpenPGP digital signature

Re: Dúvida para limpar algumas regras de iptables

[Henrique Fagundes]

Prezados,

Boa noite!

Obrigado pela dica, mas eu resolvi a minha questão de uma outra maneira.

Atenciosamente,

Henrique Fagundes
henri...@linuxadmin.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux
https://groups.google.com/forum/#!forum/portal-aprendendo-linux

Ou envie um e-mail para:
portal-aprendendo-linux+subscr...@googlegroups.com



Em 03/11/2016 08:58, Gabriel Ricardo escreveu:

Bom dia!

Você pode listar as regras por numero de linha, segue um guia:

https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number


Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti


Em 1 de novembro de 2016 14:43, Linux - Junior Polegato
mailto:li...@juniorpolegato.com.br>> escreveu:

Em 31-10-2016 14:54, Henrique Fagundes escreveu:

Prezados Colegas,

Primeiramente saudações pinguianas para todos.

Estou com uma dificuldade em relação a remoção de algumas regras
via script.

No meu cenário, eu tenho três links e algumas (na verdade
muitas) regras de marcação de pacotes, TIPO, assim:

    iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1
    iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1
    iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1
    iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1

    iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2
    iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2
    iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2
    iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK
--set-mark 2

    iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK
--set-mark 3
    iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK
--set-mark 3
    iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK
--set-mark 3
    iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK
--set-mark 3

Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo
toda a tabela mangle.

Mas e seu quiser limpar apenas as regras de marcação para saída
pelo link 2? Como ficaria o comando de iptables?

Preciso descobrir como fazer isso, pois sempre que um link cai e
meu failover troca o gateway padrão, ele precisará excluir as
marcações de pacotes para o link que caiu.

Se alguém puder ajudar, ficarei muito grato.


Olá!

Existem várias forma de fazer isso, mas com um sistema já
com as regra prontas, usaria para selecionar determinadas regras
"iptables-save -t " com "grep ",
aí substituiria o "-A" por "-D" e executaria cada linha resultante,
no seu caso ficaria:

iptables-save -t mangle |\
grep 'set-xmark 0x2/' |\
sed 's/^-A/iptables -t mangle -D/' |\
while read linha; do
$linha
done


--

[]'s

Junior Polegato

Re: Dúvida para limpar algumas regras de iptables

[Gabriel Ricardo]

Bom dia!

Você pode listar as regras por numero de linha, segue um guia:

https://www.digitalocean.com/community/tutorials/how-to-list-and-delete-iptables-firewall-rules#delete-rule-by-chain-and-number


Atenciosamente,
*Gabriel Ricardo*
Fone: +55 41 88817828
Skype: gabriel.nerdworkti


Em 1 de novembro de 2016 14:43, Linux - Junior Polegato <
li...@juniorpolegato.com.br> escreveu:

> Em 31-10-2016 14:54, Henrique Fagundes escreveu:
>
>> Prezados Colegas,
>>
>> Primeiramente saudações pinguianas para todos.
>>
>> Estou com uma dificuldade em relação a remoção de algumas regras via
>> script.
>>
>> No meu cenário, eu tenho três links e algumas (na verdade muitas) regras
>> de marcação de pacotes, TIPO, assim:
>>
>> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1
>> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1
>> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1
>> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1
>>
>> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2
>> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2
>> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2
>> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2
>>
>> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3
>> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3
>> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3
>> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3
>>
>> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a
>> tabela mangle.
>>
>> Mas e seu quiser limpar apenas as regras de marcação para saída pelo link
>> 2? Como ficaria o comando de iptables?
>>
>> Preciso descobrir como fazer isso, pois sempre que um link cai e meu
>> failover troca o gateway padrão, ele precisará excluir as marcações de
>> pacotes para o link que caiu.
>>
>> Se alguém puder ajudar, ficarei muito grato.
>>
>
> Olá!
>
> Existem várias forma de fazer isso, mas com um sistema já com as
> regra prontas, usaria para selecionar determinadas regras "iptables-save -t
> " com "grep ", aí substituiria o "-A" por
> "-D" e executaria cada linha resultante, no seu caso ficaria:
>
> iptables-save -t mangle |\
> grep 'set-xmark 0x2/' |\
> sed 's/^-A/iptables -t mangle -D/' |\
> while read linha; do
> $linha
> done
>
>
> --
>
> []'s
>
> Junior Polegato
>
>

Re: Dúvida para limpar algumas regras de iptables

[Linux - Junior Polegato]

Em 31-10-2016 14:54, Henrique Fagundes escreveu:

Prezados Colegas,

Primeiramente saudações pinguianas para todos.

Estou com uma dificuldade em relação a remoção de algumas regras via 
script.


No meu cenário, eu tenho três links e algumas (na verdade muitas) 
regras de marcação de pacotes, TIPO, assim:


iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2

iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3

Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a 
tabela mangle.


Mas e seu quiser limpar apenas as regras de marcação para saída pelo 
link 2? Como ficaria o comando de iptables?


Preciso descobrir como fazer isso, pois sempre que um link cai e meu 
failover troca o gateway padrão, ele precisará excluir as marcações de 
pacotes para o link que caiu.


Se alguém puder ajudar, ficarei muito grato.


Olá!

Existem várias forma de fazer isso, mas com um sistema já com 
as regra prontas, usaria para selecionar determinadas regras 
"iptables-save -t " com "grep ", aí 
substituiria o "-A" por "-D" e executaria cada linha resultante, no seu 
caso ficaria:


iptables-save -t mangle |\
grep 'set-xmark 0x2/' |\
sed 's/^-A/iptables -t mangle -D/' |\
while read linha; do
$linha
done


--

[]'s

Junior Polegato

Re: Dúvida para limpar algumas regras de iptables

[Lucas Castro]

On 31-10-2016 13:54, Henrique Fagundes wrote:
> Prezados Colegas,
>
> Primeiramente saudações pinguianas para todos.
>
> Estou com uma dificuldade em relação a remoção de algumas regras via
> script.
>
> No meu cenário, eu tenho três links e algumas (na verdade muitas)
> regras de marcação de pacotes, TIPO, assim:
>
> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1
>
> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2
>
> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3
>
> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a
> tabela mangle.
>
> Mas e seu quiser limpar apenas as regras de marcação para saída pelo
> link 2? Como ficaria o comando de iptables?
>
> Preciso descobrir como fazer isso, pois sempre que um link cai e meu
> failover troca o gateway padrão, ele precisará excluir as marcações de
> pacotes para o link que caiu.
>
> Se alguém puder ajudar, ficarei muito grato.
>
> Atenciosamente,
>
> Henrique Fagundes
> henri...@linuxadmin.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.com/
> http://www.facebook.com/PortalAprendendoLinux
> http://youtube.com/aprendendolinux/
> http://twitter.com/aprendendolinux/
> __
> Participe do Grupo Aprendendo Linux
> https://groups.google.com/forum/#!forum/portal-aprendendo-linux
>
> Ou envie um e-mail para:
> portal-aprendendo-linux+subscr...@googlegroups.com
>
Um método de trabalhar com iptables é tentar encapsular regras
semelhantes dentro de umas mesma CHAIN.

Então, seria  bem mais simples você criar uma CHAIN pra cada link e
quando necessário limpar aquela a CHAIN desejada.
Fica mais simples, mais fácil de entender e administrar.

--
Lucas Castro



signature.asc
Description: OpenPGP digital signature

Re: Dúvida para limpar algumas regras de iptables

[Lucas Castro]

On 31-10-2016 13:54, Henrique Fagundes wrote:
> Prezados Colegas,
>
> Primeiramente saudações pinguianas para todos.
>
> Estou com uma dificuldade em relação a remoção de algumas regras via
> script.
>
> No meu cenário, eu tenho três links e algumas (na verdade muitas)
> regras de marcação de pacotes, TIPO, assim:
>
> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1
>
> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2
>
> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3
>
> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a
> tabela mangle.
>
> Mas e seu quiser limpar apenas as regras de marcação para saída pelo
> link 2? Como ficaria o comando de iptables?
>
> Preciso descobrir como fazer isso, pois sempre que um link cai e meu
> failover troca o gateway padrão, ele precisará excluir as marcações de
> pacotes para o link que caiu.
>
> Se alguém puder ajudar, ficarei muito grato.
>
> Atenciosamente,
>
> Henrique Fagundes
> henri...@linuxadmin.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.com/
> http://www.facebook.com/PortalAprendendoLinux
> http://youtube.com/aprendendolinux/
> http://twitter.com/aprendendolinux/
> __
> Participe do Grupo Aprendendo Linux
> https://groups.google.com/forum/#!forum/portal-aprendendo-linux
>
> Ou envie um e-mail para:
> portal-aprendendo-linux+subscr...@googlegroups.com
>
Um método de trabalhar com iptables é tentar encapsular regras
semelhantes dentro de umas mesma CHAIN.

Então, seria  bem mais simples você criar uma CHAIN pra cada link e
quando necessário limpar aquela a CHAIN desejada.
Fica mais simples, mais fácil de entender e administrar.

--
Lucas Castro



signature.asc
Description: OpenPGP digital signature

Re: Dúvida para limpar algumas regras de iptables

[Marcos Carraro]

E porque não pensar de forma diferente

Porque não trocar no script failover para as marcações 2 irem por outra
tabela de roteamento?

Creio que com -D resolva...
iptables -t mangle -D PREROUTING -s 192.168.0.7 -j MARK --set-mark 2

*--*
Att
Marcos Carraro <http://br.linkedin.com/in/mcarraro>


Em 31 de outubro de 2016 14:54, Henrique Fagundes <
henri...@linuxadmin.com.br> escreveu:

> Prezados Colegas,
>
> Primeiramente saudações pinguianas para todos.
>
> Estou com uma dificuldade em relação a remoção de algumas regras via
> script.
>
> No meu cenário, eu tenho três links e algumas (na verdade muitas) regras
> de marcação de pacotes, TIPO, assim:
>
> iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1
> iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1
>
> iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2
> iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2
>
> iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3
> iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3
>
> Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a
> tabela mangle.
>
> Mas e seu quiser limpar apenas as regras de marcação para saída pelo link
> 2? Como ficaria o comando de iptables?
>
> Preciso descobrir como fazer isso, pois sempre que um link cai e meu
> failover troca o gateway padrão, ele precisará excluir as marcações de
> pacotes para o link que caiu.
>
> Se alguém puder ajudar, ficarei muito grato.
>
> Atenciosamente,
>
> Henrique Fagundes
> henri...@linuxadmin.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.com/
> http://www.facebook.com/PortalAprendendoLinux
> http://youtube.com/aprendendolinux/
> http://twitter.com/aprendendolinux/
> __
> Participe do Grupo Aprendendo Linux
> https://groups.google.com/forum/#!forum/portal-aprendendo-linux
>
> Ou envie um e-mail para:
> portal-aprendendo-linux+subscr...@googlegroups.com
>
>

Dúvida para limpar algumas regras de iptables

[Henrique Fagundes]

Prezados Colegas,

Primeiramente saudações pinguianas para todos.

Estou com uma dificuldade em relação a remoção de algumas regras via script.

No meu cenário, eu tenho três links e algumas (na verdade muitas) regras 
de marcação de pacotes, TIPO, assim:


iptables -t mangle -A PREROUTING -s 192.168.0.3 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.0.4 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.0.5 -j MARK --set-mark 1
iptables -t mangle -A PREROUTING -s 192.168.0.6 -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -s 192.168.0.7 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 192.168.0.8 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 192.168.0.9 -j MARK --set-mark 2
iptables -t mangle -A PREROUTING -s 192.168.0.10 -j MARK --set-mark 2

iptables -t mangle -A PREROUTING -s 192.168.0.11 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -s 192.168.0.12 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -s 192.168.0.13 -j MARK --set-mark 3
iptables -t mangle -A PREROUTING -s 192.168.0.14 -j MARK --set-mark 3

Bom... Eu sei se eu rodar um "iptables -F -t mangle" eu limpo toda a 
tabela mangle.


Mas e seu quiser limpar apenas as regras de marcação para saída pelo 
link 2? Como ficaria o comando de iptables?


Preciso descobrir como fazer isso, pois sempre que um link cai e meu 
failover troca o gateway padrão, ele precisará excluir as marcações de 
pacotes para o link que caiu.


Se alguém puder ajudar, ficarei muito grato.

Atenciosamente,

Henrique Fagundes
henri...@linuxadmin.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux
https://groups.google.com/forum/#!forum/portal-aprendendo-linux

Ou envie um e-mail para:
portal-aprendendo-linux+subscr...@googlegroups.com

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[rodrigo.root.rj]

Posta as rotas:
route -n
On 11-08-2014 14:10, Rudimar wrote:


bom galera, tentei as dicas mas não foi,  não sei o que pode ser,


 vou postar meu script fica mais fácil,



#!/bin/bash
modprobe iptable_nat
modprobe iptable_filter
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_limit

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

IPT="/sbin/iptables"
REDE="192.168.1.0/24 <http://192.168.1.0/24>"
LAN="eth1"
WAN="eth0"

IP1="x.186"
IP2="x.187"
IP3="x.188"
IP4="x.189"


# Seta IPs nas interfaces virtuais
ifconfig eth0:0 x.186 netmask 255.255.255.0
ifconfig eth0:1 x.187 netmask 255.255.255.0
ifconfig eth0:2 x.188 netmask 255.255.255.0
ifconfig eth0:2 x.189 netmask 255.255.255.0

# Arquivos de portas liberadas
PT_TCP="/etc/squid/PT_TCP"
PT_UDP="/etc/squid/PT_UDP"

# Limpando Regras existentes
$IPT -F
$IPT -Z

$IPT -t nat -F
$IPT -t mangle -F
$IPT -t filter -F
$IPT -t nat -Z
$IPT -t mangle -Z
$IPT -t filter -Z

echo "Regras Zeradas."

# Definindo Politicas Padrão
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# Habilitanto NAT
$IPT -t nat -A POSTROUTING -o $WAN  -j MASQUERADE

# Liberando Input loopback
$IPT -A INPUT -i lo -j ACCEPT



# Ativa Proxy Transparente
$IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j 
REDIRECT --to-port 3128

# Forca o uso do proxy
#$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to 
192.168.0.253:80 <http://192.168.0.253:80>


# Liberando Conexoes Estabelecidas pela LAN
$IPT -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT


# Libera Resposta a ping WAN
$IPT -A INPUT -p icmp -i $WAN   -j ACCEPT

# Libera Acessos LAN_to_WAN #

$IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT

for i in `cat $PT_TCP`; do
$IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i   -j ACCEPT
done

for i in `cat $PT_UDP`; do
$IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i   -j ACCEPT
done

# Bloqueia IPs
#IPT -A INPUT -s 81.35.253.20 -j DROP

# Libera Porta para fora
#$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 
-j ACCEPT


# Libera PC Acesso geral LAN_to_WAN
#$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT

# Acessos LAN_to_Server
$IPT -A INPUT -p icmp -i $LAN -s $REDE  -j ACCEPT
$IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT
$IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT
$IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE  -j ACCEPT
$IPT -A INPUT -p tcp --dport  -i $LAN -s $REDE  -j ACCEPT

# Servicos WAN_to_Server
$IPT -A INPUT -p tcp --dport  -i $WAN  -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT
$IPT -A INPUT -p tcp --dport 3128 -i $WAN  -j ACCEPT

# Servicos WAN_to_LAN
$IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT 
--to 192.168.1.2
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT 
--to 192.168.1.3
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT 
--to 192.168.1.4
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT 
--to 192.168.1.5



#Redirect para Servidor PostgreSQL SERVIDOR NOVO
$IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT 
--to 192.168.1.4


#Redirect para Servidor FTP
$IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT 
--to 192.168.1.2


# Redireciona acessos internos ao $IP1 para o 192.168.1.2
$IPT -A INPUT -p tcp --dport 84 -i $LAN -j ACCEPT
$IPT -A FORWARD -i $LAN -p tcp --dport 84 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp --dport 84 -i $LAN -d $IP1 -j DNAT 
--to 192.168.1.2


# Desabilitando Filtro martian source
for eee in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 0 > $eee
done

# Libera uso do FTP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A OUTPUT -p tcp --dport 21 -m state --state 
NEW,ESTABLISHED,RELATED      -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state 
ESTABLISHED,RELATED   -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state 
ESTABLISHED,RELATED   -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state 
ESTABLISHED      -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state 
ESTABLISHED  -j ACCEPT
iptables

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[Rudimar]

Pessoal,

alguém tem algum exemplo de script com multi ip de entrada?





Em 11 de agosto de 2014 17:23, Rudimar  escreveu:

>
> Olha pessoal,
>
> alguma coisa não faz as regras iptables funcionar, instalei o squid e esta
> funcionando pela porta 3128, mas mesmo dando
>
> iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s 192.168.1.0/24
> -j REDIRECT --to 3128
>
> não funciona
>
> :(
>
>
>
>
>
>
>
>
>
>
> Em 11 de agosto de 2014 14:38, Rudimar  escreveu:
>
>
>> na verdade é 255.255.255.248 , eu ja tinha testado e voltei para padrão,
>> voltei para .248 e teste e nada...
>>
>> outra coisa na interface
>> network xxx.xxx.xxx.184/29
>> é valido por assim essa configuração? é a minha rede.
>>
>>
>> eu havia instalado o webmin  e removi, pode ter ficado algum
>> configuração?
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>>
>> Em 11 de agosto de 2014 14:15, Anderson Eckhardt > > escreveu:
>>
>> Tem certeza que sua netmask é 255.255.255.0? Me parece muito para IP
>>> válido...
>>>
>>> Em 11/08/2014, às 14:10, Rudimar  escreveu:
>>>
>>>
>>> bom galera, tentei as dicas mas não foi,  não sei o que pode ser,
>>>
>>>
>>>  vou postar meu script fica mais fácil,
>>>
>>>
>>>
>>> #!/bin/bash
>>> modprobe iptable_nat
>>> modprobe iptable_filter
>>> modprobe ipt_LOG
>>> modprobe ipt_state
>>> modprobe ipt_limit
>>>
>>> echo 1 > /proc/sys/net/ipv4/ip_forward
>>> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>>
>>> IPT="/sbin/iptables"
>>> REDE="192.168.1.0/24"
>>> LAN="eth1"
>>> WAN="eth0"
>>>
>>> IP1="x.186"
>>> IP2="x.187"
>>> IP3="x.188"
>>> IP4="x.189"
>>>
>>>
>>> # Seta IPs nas interfaces virtuais
>>> ifconfig eth0:0 x.186 netmask 255.255.255.0
>>> ifconfig eth0:1 x.187 netmask 255.255.255.0
>>> ifconfig eth0:2 x.188 netmask 255.255.255.0
>>> ifconfig eth0:2 x.189 netmask 255.255.255.0
>>>
>>> # Arquivos de portas liberadas
>>> PT_TCP="/etc/squid/PT_TCP"
>>> PT_UDP="/etc/squid/PT_UDP"
>>>
>>> # Limpando Regras existentes
>>> $IPT -F
>>> $IPT -Z
>>>
>>> $IPT -t nat -F
>>> $IPT -t mangle -F
>>> $IPT -t filter -F
>>> $IPT -t nat -Z
>>> $IPT -t mangle -Z
>>> $IPT -t filter -Z
>>>
>>> echo "Regras Zeradas."
>>>
>>> # Definindo Politicas Padrão
>>> $IPT -P INPUT DROP
>>> $IPT -P FORWARD DROP
>>> $IPT -P OUTPUT ACCEPT
>>>
>>> # Habilitanto NAT
>>> $IPT -t nat -A POSTROUTING -o $WAN  -j MASQUERADE
>>>
>>> # Liberando Input loopback
>>> $IPT -A INPUT -i lo -j ACCEPT
>>>
>>>
>>>
>>> # Ativa Proxy Transparente
>>> $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT
>>> --to-port 3128
>>> # Forca o uso do proxy
>>> #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to
>>> 192.168.0.253:80
>>>
>>> # Liberando Conexoes Estabelecidas pela LAN
>>> $IPT -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
>>> $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT
>>>
>>>
>>> # Libera Resposta a ping WAN
>>> $IPT -A INPUT -p icmp -i $WAN   -j ACCEPT
>>>
>>> # Libera Acessos LAN_to_WAN #
>>>
>>> $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT
>>>
>>> for i in `cat $PT_TCP`; do
>>> $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i   -j ACCEPT
>>> done
>>>
>>> for i in `cat $PT_UDP`; do
>>> $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i   -j ACCEPT
>>> done
>>>
>>> # Bloqueia IPs
>>> #IPT -A INPUT -s 81.35.253.20 -j DROP
>>>
>>> # Libera Porta para fora
>>> #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j
>>> ACCEPT
>>>
>>> # Libera PC Acesso geral LAN_to_WAN
>>> #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT
>>>
>>> # Acessos LAN_to_Server
>>>

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[Rudimar]

Olha pessoal,

alguma coisa não faz as regras iptables funcionar, instalei o squid e esta
funcionando pela porta 3128, mas mesmo dando

iptables -t nat -A PREROUTING -p tcp -m tcp --dport 80 -s 192.168.1.0/24 -j
REDIRECT --to 3128

não funciona

:(










Em 11 de agosto de 2014 14:38, Rudimar  escreveu:

>
> na verdade é 255.255.255.248 , eu ja tinha testado e voltei para padrão,
> voltei para .248 e teste e nada...
>
> outra coisa na interface
> network xxx.xxx.xxx.184/29
> é valido por assim essa configuração? é a minha rede.
>
>
> eu havia instalado o webmin  e removi, pode ter ficado algum configuração?
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
>
> Em 11 de agosto de 2014 14:15, Anderson Eckhardt 
> escreveu:
>
> Tem certeza que sua netmask é 255.255.255.0? Me parece muito para IP
>> válido...
>>
>> Em 11/08/2014, às 14:10, Rudimar  escreveu:
>>
>>
>> bom galera, tentei as dicas mas não foi,  não sei o que pode ser,
>>
>>
>>  vou postar meu script fica mais fácil,
>>
>>
>>
>> #!/bin/bash
>> modprobe iptable_nat
>> modprobe iptable_filter
>> modprobe ipt_LOG
>> modprobe ipt_state
>> modprobe ipt_limit
>>
>> echo 1 > /proc/sys/net/ipv4/ip_forward
>> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
>>
>> IPT="/sbin/iptables"
>> REDE="192.168.1.0/24"
>> LAN="eth1"
>> WAN="eth0"
>>
>> IP1="x.186"
>> IP2="x.187"
>> IP3="x.188"
>> IP4="x.189"
>>
>>
>> # Seta IPs nas interfaces virtuais
>> ifconfig eth0:0 x.186 netmask 255.255.255.0
>> ifconfig eth0:1 x.187 netmask 255.255.255.0
>> ifconfig eth0:2 x.188 netmask 255.255.255.0
>> ifconfig eth0:2 x.189 netmask 255.255.255.0
>>
>> # Arquivos de portas liberadas
>> PT_TCP="/etc/squid/PT_TCP"
>> PT_UDP="/etc/squid/PT_UDP"
>>
>> # Limpando Regras existentes
>> $IPT -F
>> $IPT -Z
>>
>> $IPT -t nat -F
>> $IPT -t mangle -F
>> $IPT -t filter -F
>> $IPT -t nat -Z
>> $IPT -t mangle -Z
>> $IPT -t filter -Z
>>
>> echo "Regras Zeradas."
>>
>> # Definindo Politicas Padrão
>> $IPT -P INPUT DROP
>> $IPT -P FORWARD DROP
>> $IPT -P OUTPUT ACCEPT
>>
>> # Habilitanto NAT
>> $IPT -t nat -A POSTROUTING -o $WAN  -j MASQUERADE
>>
>> # Liberando Input loopback
>> $IPT -A INPUT -i lo -j ACCEPT
>>
>>
>>
>> # Ativa Proxy Transparente
>> $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT
>> --to-port 3128
>> # Forca o uso do proxy
>> #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to
>> 192.168.0.253:80
>>
>> # Liberando Conexoes Estabelecidas pela LAN
>> $IPT -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
>> $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT
>>
>>
>> # Libera Resposta a ping WAN
>> $IPT -A INPUT -p icmp -i $WAN   -j ACCEPT
>>
>> # Libera Acessos LAN_to_WAN #
>>
>> $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT
>>
>> for i in `cat $PT_TCP`; do
>> $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i   -j ACCEPT
>> done
>>
>> for i in `cat $PT_UDP`; do
>> $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i   -j ACCEPT
>> done
>>
>> # Bloqueia IPs
>> #IPT -A INPUT -s 81.35.253.20 -j DROP
>>
>> # Libera Porta para fora
>> #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j
>> ACCEPT
>>
>> # Libera PC Acesso geral LAN_to_WAN
>> #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT
>>
>> # Acessos LAN_to_Server
>> $IPT -A INPUT -p icmp -i $LAN -s $REDE  -j ACCEPT
>> $IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT
>> $IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT
>> $IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT
>> $IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE  -j ACCEPT
>> $IPT -A INPUT -p tcp --dport  -i $LAN -s $REDE  -j ACCEPT
>>
>> # Servicos WAN_to_Server
>> $IPT -A INPUT -p tcp --dport  -i $WAN  -j ACCEPT
>> $IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT
>> $IPT -A INPUT -p tcp --dport 3128 -i $WAN  -j ACCEPT
>>
>> # Servicos WAN_to_LAN
>> $IPT -A INPUT -p tcp --dport 3389 -

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[Anderson Eckhardt]

Tem certeza que sua netmask é 255.255.255.0? Me parece muito para IP válido...

> Em 11/08/2014, às 14:10, Rudimar  escreveu:
> 
> 
> bom galera, tentei as dicas mas não foi,  não sei o que pode ser, 
> 
> 
>  vou postar meu script fica mais fácil,  
> 
> 
> 
> #!/bin/bash
> modprobe iptable_nat
> modprobe iptable_filter
> modprobe ipt_LOG
> modprobe ipt_state
> modprobe ipt_limit
> 
> echo 1 > /proc/sys/net/ipv4/ip_forward
> echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
> 
> IPT="/sbin/iptables"
> REDE="192.168.1.0/24"
> LAN="eth1"
> WAN="eth0"
> 
> IP1="x.186"
> IP2="x.187"
> IP3="x.188"
> IP4="x.189"
> 
> 
> # Seta IPs nas interfaces virtuais
> ifconfig eth0:0 x.186 netmask 255.255.255.0
> ifconfig eth0:1 x.187 netmask 255.255.255.0
> ifconfig eth0:2 x.188 netmask 255.255.255.0
> ifconfig eth0:2 x.189 netmask 255.255.255.0
> 
> # Arquivos de portas liberadas
> PT_TCP="/etc/squid/PT_TCP"
> PT_UDP="/etc/squid/PT_UDP"
> 
> # Limpando Regras existentes
> $IPT -F
> $IPT -Z
> 
> $IPT -t nat -F
> $IPT -t mangle -F
> $IPT -t filter -F
> $IPT -t nat -Z
> $IPT -t mangle -Z
> $IPT -t filter -Z
> 
> echo "Regras Zeradas."
> 
> # Definindo Politicas Padrão
> $IPT -P INPUT DROP
> $IPT -P FORWARD DROP
> $IPT -P OUTPUT ACCEPT
> 
> # Habilitanto NAT
> $IPT -t nat -A POSTROUTING -o $WAN  -j MASQUERADE
> 
> # Liberando Input loopback
> $IPT -A INPUT -i lo -j ACCEPT
> 
> 
> 
> # Ativa Proxy Transparente
> $IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT 
> --to-port 3128
> # Forca o uso do proxy
> #$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to 
> 192.168.0.253:80
> 
> # Liberando Conexoes Estabelecidas pela LAN
> $IPT -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
> $IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT
> 
> 
> # Libera Resposta a ping WAN
> $IPT -A INPUT -p icmp -i $WAN   -j ACCEPT
> 
> # Libera Acessos LAN_to_WAN #
> 
> $IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT
> 
> for i in `cat $PT_TCP`; do
> $IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i   -j ACCEPT
> done
> 
> for i in `cat $PT_UDP`; do
> $IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i   -j ACCEPT
> done
> 
> # Bloqueia IPs
> #IPT -A INPUT -s 81.35.253.20 -j DROP
> 
> # Libera Porta para fora
> #$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j 
> ACCEPT
> 
> # Libera PC Acesso geral LAN_to_WAN
> #$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT
> 
> # Acessos LAN_to_Server
> $IPT -A INPUT -p icmp -i $LAN -s $REDE  -j ACCEPT
> $IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT
> $IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT
> $IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT
> $IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE  -j ACCEPT
> $IPT -A INPUT -p tcp --dport  -i $LAN -s $REDE  -j ACCEPT
> 
> # Servicos WAN_to_Server
> $IPT -A INPUT -p tcp --dport  -i $WAN  -j ACCEPT
> $IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT
> $IPT -A INPUT -p tcp --dport 3128 -i $WAN  -j ACCEPT
> 
> # Servicos WAN_to_LAN
> $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
> $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT
> 
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to 
> 192.168.1.2
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to 
> 192.168.1.3
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to 
> 192.168.1.4
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT --to 
> 192.168.1.5
> 
> 
> #Redirect para Servidor PostgreSQL SERVIDOR NOVO
> $IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT
> $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT
> $IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT --to 
> 192.168.1.4
> 
> #Redirect para Servidor FTP
> $IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT
> $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT
> $IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT --to 
> 192.168.1.2
> 
> # Redireciona acessos internos ao $IP1 para o 192.168.1.2
> $IPT -A INPUT -p tcp --dport 84 -i $LAN -j ACCEPT
> $IPT -A FORWARD -i $LAN -p tcp --dport 84 -j ACCEPT
> $IPT -t nat -A PREROUTING -p tcp --dport 84 -i $LAN -d $

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[Rudimar]

bom galera, tentei as dicas mas não foi,  não sei o que pode ser,


 vou postar meu script fica mais fácil,



#!/bin/bash
modprobe iptable_nat
modprobe iptable_filter
modprobe ipt_LOG
modprobe ipt_state
modprobe ipt_limit

echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

IPT="/sbin/iptables"
REDE="192.168.1.0/24"
LAN="eth1"
WAN="eth0"

IP1="x.186"
IP2="x.187"
IP3="x.188"
IP4="x.189"


# Seta IPs nas interfaces virtuais
ifconfig eth0:0 x.186 netmask 255.255.255.0
ifconfig eth0:1 x.187 netmask 255.255.255.0
ifconfig eth0:2 x.188 netmask 255.255.255.0
ifconfig eth0:2 x.189 netmask 255.255.255.0

# Arquivos de portas liberadas
PT_TCP="/etc/squid/PT_TCP"
PT_UDP="/etc/squid/PT_UDP"

# Limpando Regras existentes
$IPT -F
$IPT -Z

$IPT -t nat -F
$IPT -t mangle -F
$IPT -t filter -F
$IPT -t nat -Z
$IPT -t mangle -Z
$IPT -t filter -Z

echo "Regras Zeradas."

# Definindo Politicas Padrão
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

# Habilitanto NAT
$IPT -t nat -A POSTROUTING -o $WAN  -j MASQUERADE

# Liberando Input loopback
$IPT -A INPUT -i lo -j ACCEPT



# Ativa Proxy Transparente
$IPT -t nat -A PREROUTING -i $LAN -s $REDE -p tcp --dport 80 -j REDIRECT
--to-port 3128
# Forca o uso do proxy
#$IPT -t nat -A PREROUTING -i $LAN -p tcp --dport 80-j DNAT --to
192.168.0.253:80

# Liberando Conexoes Estabelecidas pela LAN
$IPT -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
$IPT -A FORWARD -m state --state RELATED,ESTABLISHED-j ACCEPT


# Libera Resposta a ping WAN
$IPT -A INPUT -p icmp -i $WAN   -j ACCEPT

# Libera Acessos LAN_to_WAN #

$IPT -A FORWARD -i $LAN -o $WAN -p icmp -j ACCEPT

for i in `cat $PT_TCP`; do
$IPT -A FORWARD -i $LAN -o $WAN -p tcp --dport $i   -j ACCEPT
done

for i in `cat $PT_UDP`; do
$IPT -A FORWARD -i $LAN -o $WAN -p udp --dport $i   -j ACCEPT
done

# Bloqueia IPs
#IPT -A INPUT -s 81.35.253.20 -j DROP

# Libera Porta para fora
#$IPT -A FORWARD -i $LAN -s 192.168.1.119 -o $WAN -p tcp --dport 5432 -j
ACCEPT

# Libera PC Acesso geral LAN_to_WAN
#$IPT -A FORWARD -i $LAN -o $WAN -s 192.168.1.219 -j ACCEPT

# Acessos LAN_to_Server
$IPT -A INPUT -p icmp -i $LAN -s $REDE  -j ACCEPT
$IPT -A INPUT -p tcp --dport 53 -i $LAN -s $REDE-j ACCEPT
$IPT -A INPUT -p udp --dport 53 -i $LAN -s $REDE-j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -i $LAN -s $REDE-j ACCEPT
$IPT -A INPUT -p tcp --dport 3128 -i $LAN -s $REDE  -j ACCEPT
$IPT -A INPUT -p tcp --dport  -i $LAN -s $REDE  -j ACCEPT

# Servicos WAN_to_Server
$IPT -A INPUT -p tcp --dport  -i $WAN  -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -i $WAN-j ACCEPT
$IPT -A INPUT -p tcp --dport 3128 -i $WAN  -j ACCEPT

# Servicos WAN_to_LAN
$IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT

$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to
192.168.1.2
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to
192.168.1.3
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to
192.168.1.4
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP4 -j DNAT --to
192.168.1.5


#Redirect para Servidor PostgreSQL SERVIDOR NOVO
$IPT -A INPUT -p tcp --dport 5432 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 5432 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp --dport 5432 -i $WAN -d $IP2 -j DNAT --to
192.168.1.4

#Redirect para Servidor FTP
$IPT -A INPUT -p tcp --dport 21 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 21 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp --dport 21 -i $WAN -d $IP1 -j DNAT --to
192.168.1.2

# Redireciona acessos internos ao $IP1 para o 192.168.1.2
$IPT -A INPUT -p tcp --dport 84 -i $LAN -j ACCEPT
$IPT -A FORWARD -i $LAN -p tcp --dport 84 -j ACCEPT
$IPT -t nat -A PREROUTING -p tcp --dport 84 -i $LAN -d $IP1 -j DNAT --to
192.168.1.2

# Desabilitando Filtro martian source
for eee in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 0 > $eee
done

# Libera uso do FTP
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A OUTPUT -p tcp --dport 21 -m state --state
NEW,ESTABLISHED,RELATED  -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -m state --state
ESTABLISHED,RELATED   -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED   -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state
ESTABLISHED  -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED  -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED,RELATED -j ACCEPT

echo "Fim do Firewall."




Em 8 de agosto de 20

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[Tiago Rocha]

e aproveite para ler este doc que é o melhor que eu já ví até hoje sobre
iptables:
https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html



Excelente essa dica Paulo...
Já adicionei aos favoritos;)

Abs!

--
Tiago™

"É bom tudo aquilo que faço que diminui o meu poder sobre outra pessoa;
é ruim tudo aquilo que faço que aumenta o meu poder sobre ela.”
Antônio Joaquim Severino


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: https://lists.debian.org/53e67758.9090...@openmailbox.org

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[paulo bruck]

mais alguns pontos para vc verificar.  o firewall antes de tudo é um
roteador.
vc setou o ip_forward  ?

De uma olhada no arquivo /etc/sysctl.conf que normalmente no debian esta
linha está comentada.

reinicialize ioo seu firewall aos a modificação ou de o comando sysctl -w
ou algo assim , estou longe de um terminal...

Aproveite e coloque no começo do seu script:

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

e aproveite para ler este doc que é o melhor que eu já ví até hoje sobre
iptables:
https://www.frozentux.net/iptables-tutorial/iptables-tutorial.html

[]s



Em 8 de agosto de 2014 14:48, Rudimar  escreveu:

> tentei,
>
> $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT
>
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to
> 192.168.1.2
> $IPT -t filter -A FORWARD -p tcp --dport 3389 -i $WAN -d 192.168.1.2 -j
> ACCEPT
>
> isso certo?  mesma coisa...
>
>
>
> Em 6 de agosto de 2014 19:35, paulo bruck 
> escreveu:
>
>> Toda regra de NAT obrigatoriamente tem que ter uma regra de FORWARD ( se
>> for entre redes)
>>
>> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT
>> --to 192.168.1.4
>> $IPT -t filter -A FORWARD -p tcp --dport 3389 -i $WAN -d 192.168.1.4 -j
>> ACCEPT
>>
>>
>> outra coisa que vc está confundindo é INPUT com FORWARD abaixo:
>>  # Servicos WAN_to_LAN
>> $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
>> $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT
>>
>> INPUT é usado quando vc quer acessar algum  serviço NO firewall.
>> FORWARD é usado quando vc quer acessar serviço entre redes.
>>
>>
>> ats
>>
>> Paulo Ricardo Bruck
>> http://www.contatogs.com.br
>> http://www.protejasuarede.com.br
>>
>>
>>
>>
>> Em 6 de agosto de 2014 19:25, Rudimar  escreveu:
>>
>> Galera preciso de ajuda,
>>>
>>> estou tentando fazer um firewall para a rede aqui e preciso de uma
>>> ajuda. Para entender, esse é configuração do meu link (x é ip valido,
>>> logicamente ocultei botando x):
>>>
>>> Rede: x.184/29
>>> x.184 - endereço da Rede
>>> x.185 - Gateway
>>> x.186 - livre para uso
>>> x.187 - livre para uso
>>> x.188 - livre para uso
>>> x.191 - Broadcast
>>> Máscara: 255.255.255.248
>>>
>>>
>>> --
>>> no  /etc/network/interfaces botei assim:
>>>
>>> # Link
>>> # The primary network interface
>>> allow-hotplug eth0
>>> iface eth0 inet static
>>> address x.186
>>>     netmask 255.255.255.248
>>> network x.0
>>> broadcast x.191
>>> gateway x.185
>>>
>>> #Rede local
>>> allow-hotplug eth1
>>> iface eth1 inet static
>>>   address 192.168.1.100
>>>   netmask 255.255.255.0
>>>   network 192.168.1.0
>>>   broadcast 192.168.1.255
>>>
>>> --
>>>
>>> quero direcionar ip/porta especifica para cada servidor,  exemplo
>>> terminal service
>>>
>>> ...
>>> IPT="/sbin/iptables"
>>> REDE="192.168.1.0/24"
>>> LAN="eth1"
>>> WAN="eth0"
>>> IP1="x.186"
>>> IP2="x.187"
>>> IP3="x.188"
>>>
>>>
>>> ifconfig eth0:0 x.186 netmask 255.255.255.248
>>> ifconfig eth0:1 x.187 netmask 255.255.255.248
>>> ifconfig eth0:2 x.188 netmask 255.255.255.248
>>>
>>>
>>> # Servicos WAN_to_LAN
>>> $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
>>> $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT
>>>
>>> # Direciona para cada Servidor
>>> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT
>>> --to 192.168.1.2
>>> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT
>>> --to 192.168.1.3
>>> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT
>>> --to 192.168.1.4
>>>
>>> ..
>>>
>>>
>>> O que falta fazer? pois não funciona...
>>>
>>> se acessar os ips externamente todos caem no firewall...
>>>
>>> squid.conf é só saída certo?
>>>
>>
>>
>>
>> --
>> Paulo Ricardo Bruck consultor
>> tel 011 3596-4881/4882  011 98140-9184 (TIM)
>> http://www.contatogs.com.br
>> http://www.protejasuarede.com.br
>> gpg AAA59989 at wwwkeys.us.pgp.net
>>
>
>


-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br
gpg AAA59989 at wwwkeys.us.pgp.net

Re: fazendo um firewall - dúvida interfaces e iptables para direcionar

[paulo bruck]

Toda regra de NAT obrigatoriamente tem que ter uma regra de FORWARD ( se
for entre redes)

$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to
192.168.1.4
$IPT -t filter -A FORWARD -p tcp --dport 3389 -i $WAN -d 192.168.1.4 -j
ACCEPT


outra coisa que vc está confundindo é INPUT com FORWARD abaixo:
# Servicos WAN_to_LAN
$IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT

INPUT é usado quando vc quer acessar algum  serviço NO firewall.
FORWARD é usado quando vc quer acessar serviço entre redes.


ats

Paulo Ricardo Bruck
http://www.contatogs.com.br
http://www.protejasuarede.com.br




Em 6 de agosto de 2014 19:25, Rudimar  escreveu:

> Galera preciso de ajuda,
>
> estou tentando fazer um firewall para a rede aqui e preciso de uma ajuda.
> Para entender, esse é configuração do meu link (x é ip valido, logicamente
> ocultei botando x):
>
> Rede: x.184/29
> x.184 - endereço da Rede
> x.185 - Gateway
> x.186 - livre para uso
> x.187 - livre para uso
> x.188 - livre para uso
> x.191 - Broadcast
> Máscara: 255.255.255.248
>
>
> --
> no  /etc/network/interfaces botei assim:
>
> # Link
> # The primary network interface
> allow-hotplug eth0
> iface eth0 inet static
> address x.186
> netmask 255.255.255.248
> network x.0
> broadcast x.191
> gateway x.185
>
> #Rede local
> allow-hotplug eth1
> iface eth1 inet static
>   address 192.168.1.100
>   netmask 255.255.255.0
>   network 192.168.1.0
>   broadcast 192.168.1.255
>
> ------
>
> quero direcionar ip/porta especifica para cada servidor,  exemplo terminal
> service
>
> ...
> IPT="/sbin/iptables"
> REDE="192.168.1.0/24"
> LAN="eth1"
> WAN="eth0"
> IP1="x.186"
> IP2="x.187"
> IP3="x.188"
>
>
> ifconfig eth0:0 x.186 netmask 255.255.255.248
> ifconfig eth0:1 x.187 netmask 255.255.255.248
> ifconfig eth0:2 x.188 netmask 255.255.255.248
>
>
> # Servicos WAN_to_LAN
> $IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
> $IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT
>
> # Direciona para cada Servidor
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to
> 192.168.1.2
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to
> 192.168.1.3
> $IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to
> 192.168.1.4
>
> ..
>
>
> O que falta fazer? pois não funciona...
>
> se acessar os ips externamente todos caem no firewall...
>
> squid.conf é só saída certo?
>



-- 
Paulo Ricardo Bruck consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br
gpg AAA59989 at wwwkeys.us.pgp.net

fazendo um firewall - dúvida interfaces e iptables para direcionar

[Rudimar]

Galera preciso de ajuda,

estou tentando fazer um firewall para a rede aqui e preciso de uma ajuda.
Para entender, esse é configuração do meu link (x é ip valido, logicamente
ocultei botando x):

Rede: x.184/29
x.184 - endereço da Rede
x.185 - Gateway
x.186 - livre para uso
x.187 - livre para uso
x.188 - livre para uso
x.191 - Broadcast
Máscara: 255.255.255.248


--
no  /etc/network/interfaces botei assim:

# Link
# The primary network interface
allow-hotplug eth0
iface eth0 inet static
address x.186
netmask 255.255.255.248
network x.0
broadcast x.191
gateway x.185

#Rede local
allow-hotplug eth1
iface eth1 inet static
  address 192.168.1.100
  netmask 255.255.255.0
  network 192.168.1.0
  broadcast 192.168.1.255

--

quero direcionar ip/porta especifica para cada servidor,  exemplo terminal
service

...
IPT="/sbin/iptables"
REDE="192.168.1.0/24"
LAN="eth1"
WAN="eth0"
IP1="x.186"
IP2="x.187"
IP3="x.188"


ifconfig eth0:0 x.186 netmask 255.255.255.248
ifconfig eth0:1 x.187 netmask 255.255.255.248
ifconfig eth0:2 x.188 netmask 255.255.255.248


# Servicos WAN_to_LAN
$IPT -A INPUT -p tcp --dport 3389 -i $WAN -j ACCEPT
$IPT -A FORWARD -i $WAN -o $LAN -p tcp --dport 3389 -j ACCEPT

# Direciona para cada Servidor
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP1 -j DNAT --to
192.168.1.2
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP2 -j DNAT --to
192.168.1.3
$IPT -t nat -A PREROUTING -p tcp --dport 3389 -i $WAN -d $IP3 -j DNAT --to
192.168.1.4

..


O que falta fazer? pois não funciona...

se acessar os ips externamente todos caem no firewall...

squid.conf é só saída certo?

Re: Iptables

[Ricardo Tweeg]

Meus amigos,

Em primeiro lugar peço desculpas pelo retorno do e-mail.
Estava externo e só voltei hoje.
Acabamos tomando como solução a movimentação deste host para uma outra 
interface. O que resolveu.
Agradeço a ajuda de todos vocês.

Muito obrigado

Atenciosamente,

Ricardo Tweeg



Em Quarta-feira, 23 de Julho de 2014 12:16, Linux - Junior Polegato 
 escreveu:


>
>
>Olá!
>
>        O IP de destino é o IP externo e não o interno no
  PREROUTING.
>
>        iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d
   --dport 80 -m state --state
  NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80
>
>        Outra alternativa é trabalhar com views no DNS, assim para
  quem acessar o DNS de fora vai dar o IP externo e para quem for de
  dentro vai dar o IP interno.
>
>
>-- 
>
>[]'s
>
>Junior Polegato 
>
>
>
>
>Em 22-07-2014 16:07, Joao Arthur escreveu:
>
> 
>>
>>Ricardo, veja se da certo:
>>
>>iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29
--dport 80 -j DNAT --to 192.168.10.29
>>iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT
>>
>>
>>   
João Arthur
>> 
>>
>>
>>
>>Date: Tue, 22 Jul 2014 11:22:54 -0700
>>From: rtw...@yahoo.com.br
>>Subject: Iptables
>>To: debian-user-portuguese@lists.debian.org
>>
>>
>>Meus amigos, boa tarde.
>>
>>
>>Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de 
>>vocês.
>>
>>
>>Na minha rede local, existe uma máquina que precisa ser acessada por outras 
>>máquinas da mesma rede local passando pelo firewall.
>>
>>
>>O que fiz até agora foi:
>>Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor.
>>Assim, todas as máquinas da rede local que quiserem acessar este servidor, 
>>terão que resolver o nome e terão como resposta da resolução o IP externo.
>>Assim, como se trata de um IP externo, terão que passar pelo firewall.
>>No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que chegar 
>>da rede local, com destino ao IP externo e na porta 80 deverá ser 
>>redirecionado ao IP interno do servidor na porta 80.
>>
>>
>>Vejam a regra como ficou:
>>
>>
>>Rede Local: 192.168.0.0/24
>>IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80
>>
>>
>>iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 192.168.10.29 --dport 
>>80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80
>>
>> 
>>Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall 
>>para acessar uma máquina que faz parte do mesmo range/segmento.
>>Mas gostaria de fazer assim por conta de alguns motivos.
>>
>>
>>Essa seria a melhor solução?
>>Está faltando alguma regra de retorno?
>>Esta faltando alguma regra na FOWARD?
>>
>>
>>Obrigado pela ajuda
>>Atenciosamente,
>>
>>
>>Ricardo  
>
> 


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
https://lists.debian.org/1406229000.7694.yahoomail...@web140004.mail.bf1.yahoo.com

Re: Iptables

[Linux - Junior Polegato]

Olá!

O IP de destino é o IP externo e não o interno no PREROUTING.

iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 
 --dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT 
--to 192.168.10.29:80


Outra alternativa é trabalhar com views no DNS, assim para quem 
acessar o DNS de fora vai dar o IP externo e para quem for de dentro vai 
dar o IP interno.


--

[]'s

Junior Polegato





Em 22-07-2014 16:07, Joao Arthur escreveu:


Ricardo, veja se da certo:

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29 --dport 
80 -j DNAT --to 192.168.10.29

iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT

João Arthur


Date: Tue, 22 Jul 2014 11:22:54 -0700
From: rtw...@yahoo.com.br
Subject: Iptables
To: debian-user-portuguese@lists.debian.org

Meus amigos, boa tarde.

Preciso fazer uma determinada manobra com o iptables e gostaria da 
ajuda de vocês.


Na minha rede local, existe uma máquina que precisa ser acessada por 
outras máquinas da mesma rede local passando pelo firewall.


O que fiz até agora foi:
Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor.
Assim, todas as máquinas da rede local que quiserem acessar este 
servidor, terão que resolver o nome e terão como resposta da resolução 
o IP externo.

Assim, como se trata de um IP externo, terão que passar pelo firewall.
No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que 
chegar da rede local, com destino ao IP externo e na porta 80 deverá 
ser redirecionado ao IP interno do servidor na porta 80.


Vejam a regra como ficou:

Rede Local: 192.168.0.0/24
IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80

iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 192.168.10.29 
--dport 80 -m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 
192.168.10.29:80
Sei que é um pouco estranho uma máquina da rede local ter que ir no 
firewall para acessar uma máquina que faz parte do mesmo range/segmento.

Mas gostaria de fazer assim por conta de alguns motivos.

Essa seria a melhor solução?
Está faltando alguma regra de retorno?
Esta faltando alguma regra na FOWARD?

Obrigado pela ajuda
Atenciosamente,

Ricardo

RE: Iptables

[Joao Arthur]

Ricardo, veja se da certo:

iptables -t nat -A PREROUTING -i eth0 -p tcp -d 192.168.10.29 --dport 80 -j 
DNAT --to 192.168.10.29
iptables -A FORWARD -p tcp --dport 80 -d 192.168.10.29 -j ACCEPT




  

João Arthur
 
Date: Tue, 22 Jul 2014 11:22:54 -0700
From: rtw...@yahoo.com.br
Subject: Iptables
To: debian-user-portuguese@lists.debian.org

Meus amigos, boa tarde.
Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de 
vocês.
Na minha rede local, existe uma máquina que precisa ser acessada por outras 
máquinas da mesma rede local passando pelo firewall.
O que fiz até agora foi:Cadastrei no DNS da rede local o nome e IP (ip externo) 
deste servidor.Assim, todas as máquinas da rede local que quiserem acessar este 
servidor, terão que resolver o nome e terão como resposta da resolução o IP 
externo.Assim, como se trata de um IP externo, terão que passar pelo 
firewall.No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que 
chegar da rede local, com destino ao IP externo e na porta 80 deverá ser 
redirecionado ao IP interno do servidor na porta 80.
Vejam a regra como ficou:
Rede Local: 192.168.0.0/24IP interno do servidor que deverá ser acessoado: 
192.168.10.29 porta 80
iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 192.168.10.29 --dport 80 
-m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80
 Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall 
para acessar uma máquina que faz parte do mesmo range/segmento.Mas gostaria de 
fazer assim por conta de alguns motivos.
Essa seria a melhor solução?Está faltando alguma regra de retorno?Esta faltando 
alguma regra na FOWARD?
Obrigado pela ajudaAtenciosamente,
Ricardo   

Iptables

[Ricardo Tweeg]

Meus amigos, boa tarde.

Preciso fazer uma determinada manobra com o iptables e gostaria da ajuda de 
vocês.

Na minha rede local, existe uma máquina que precisa ser acessada por outras 
máquinas da mesma rede local passando pelo firewall.

O que fiz até agora foi:
Cadastrei no DNS da rede local o nome e IP (ip externo) deste servidor.
Assim, todas as máquinas da rede local que quiserem acessar este servidor, 
terão que resolver o nome e terão como resposta da resolução o IP externo.
Assim, como se trata de um IP externo, terão que passar pelo firewall.
No firewall eu coloquei uma regra na PREROUTING dizendo que tudo que chegar da 
rede local, com destino ao IP externo e na porta 80 deverá ser redirecionado ao 
IP interno do servidor na porta 80.

Vejam a regra como ficou:

Rede Local: 192.168.0.0/24
IP interno do servidor que deverá ser acessoado: 192.168.10.29 porta 80

iptables -A PREROUTING -i eth0 -s 192.168.10.0/24  -d 192.168.10.29 --dport 80 
-m state --state NEW,ESTABLISHED,RELATED -J DNAT --to 192.168.10.29:80

 
Sei que é um pouco estranho uma máquina da rede local ter que ir no firewall 
para acessar uma máquina que faz parte do mesmo range/segmento.
Mas gostaria de fazer assim por conta de alguns motivos.

Essa seria a melhor solução?
Está faltando alguma regra de retorno?
Esta faltando alguma regra na FOWARD?

Obrigado pela ajuda
Atenciosamente,

Ricardo 

Re: Fwd: Re: Bloqueio com Iptables;

[P. J.]

Em 04/12/13, Julio escreveu:
> Essa semana eu vi esse artigo
> http://www.vivaolinux.com.br/artigo/Fail2ban-Bloqueio-de-Peer-to-Peer-Ares-uTorrent-e-Proxies-UltraSurf-e-Tor/
> pode ser util abraços

=-0

Foi nesse link, pq já brinquei com o fail2ban há um tempo atrás
mas isso aqui é demais...

$ cat /home/lista | while read line; do iptables -A FORWARD -d $line
-j LOG --log-prefix "=TorProject= "; done

eu não estou acreditando que o cara escreveu isso num "artigo do
VOL"... rpz

o conceito de escabilidade vai para as cucuias aí... isso sim deveria
levar o troféu armengue!!! E se o tor tiver um zilhão de ips isso
é oq dá o povo meter a mão nas coisas e antes de saber o conceitos de
custo|algoritmos|progarmação... haja hardware...

anyway...

[   ] 's

-- 
|  .''`.   A fé não dá respostas. Só impede perguntas.
| : :'  :
| `. `'`
|   `-   Je vois tout


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/CACnf0phB°EXJDqU5cG8C3ptH81Ygm8xkM-yJ1+CJ6=bwd...@mail.gmail.com

Re: Bloqueio com Iptables;

[Deivison Moraes]

Acho que na 4linux também tem  alguns cursos que abordam firewall.

[]'s

Deivison Moraes

Em 05-12-2013 00:51, Julio escreveu:
> Acredito que existem varias empresas
> https://www.google.com.br/#q=iptables+ead+
> Abraços
> Em 04-12-2013 21:14, Leandro Paulo escreveu:
>> Onde tem curso ead de fw?
>>
>> Julio  escreveu:
>>
>>> Olá Deivison , tudo bem ?
>>> Tenta estudar mais a fundo o iptables , tem cursos ead e material open
>>> source .
>>> Se você pretende ou exerce alguma atividade de Admin é importante você
>>> estudar .
>>> Abraços
>>>
>>> Em 29-11-2013 12:22, Deivison Moraes escreveu:
>>>> Boa tarde pessoal,
>>>>
>>>> Desculpem se o assunto for meio off.
>>>>
>>>>   O pessoal da lista que usam debian para firewall + proxy em rede
>>>> interna, o que tem feito para bloquear o ultrasurf, tor e compania
>>>> limitada? Vi algumas documentações no google bloqueando todos os
>>>> IP's de
>>>> destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
>>>> bloquear por string no iptables, porem não tive sucesso. Se puderem
>>>> compartilhar seus cases, para debatermos será de grande valia. No
>>>> momento estou tentando bloquear baseado no "client hello" do pacote
>>>> ssl,
>>>> mas ainda não obtive sucesso.
>>>>
>>>> []'s
>>>> Forte Abraço a todos;
>>>> Deivison Moraes
>>>>
>>>>
>>>
>>> -- 
>>> To UNSUBSCRIBE, email to
>>> debian-user-portuguese-requ...@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmas...@lists.debian.org
>>> Archive: http://lists.debian.org/529fc259.4090...@gmail.com
>>>
>
>


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fb27d.5050...@mutumnet.com.br

Re: Fwd: Re: Bloqueio com Iptables;

[Deivison Moraes]

Foi útil sim Júlio, um outro membro também o mandou no inicio da thread,
porem te confesso que está é minha última opção.

[]'s

Deivison Moraes

Em 05-12-2013 00:49, Julio escreveu:
> Essa semana eu vi esse artigo
> http://www.vivaolinux.com.br/artigo/Fail2ban-Bloqueio-de-Peer-to-Peer-Ares-uTorrent-e-Proxies-UltraSurf-e-Tor/
>
> pode ser util abraços
> Em 04-12-2013 19:38, Deivison Moraes escreveu:
>> Obrigado Julio, pela dica.
>>  Já veio estudando o iptables e seus módulos há algum tempo, já sou
>> SysAdmin Linux há 4 anos (não que este tempo seja muito). Este tópico é
>> para ver o que o pessoal tem usado para bloquear afim de integrar com
>> uma solução mais fácil de administrar. O ultrasurf é bem complexo de
>> bloquear baseando se no destino. Até consegui segura lo nas portas 443 e
>> no squid quando ele está com proxy setado; fiz várias investidas para
>> descobrir como ele trabalhava. Percebi, assim como muitas documentações
>> na internet, que bloquear o ultrasurf pelo destino é custoso e ineficaz,
>> pois ele não trabalha fixo na porta 443 e nem somente com ssl.
>>
>> Grato []'s
>>
>> Deivison Moraes
>>
>> Em 05-12-2013 00:01, Julio escreveu:
>>> Olá Deivison , tudo bem ?
>>> Tenta estudar mais a fundo o iptables , tem cursos ead e material open
>>> source .
>>> Se você pretende ou exerce alguma atividade de Admin é importante você
>>> estudar .
>>> Abraços
>>>
>>> Em 29-11-2013 12:22, Deivison Moraes escreveu:
>>>> Boa tarde pessoal,
>>>>
>>>> Desculpem se o assunto for meio off.
>>>>
>>>>   O pessoal da lista que usam debian para firewall + proxy em rede
>>>> interna, o que tem feito para bloquear o ultrasurf, tor e compania
>>>> limitada? Vi algumas documentações no google bloqueando todos os
>>>> IP's de
>>>> destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
>>>> bloquear por string no iptables, porem não tive sucesso. Se puderem
>>>> compartilhar seus cases, para debatermos será de grande valia. No
>>>> momento estou tentando bloquear baseado no "client hello" do pacote
>>>> ssl,
>>>> mas ainda não obtive sucesso.
>>>>
>>>> []'s
>>>> Forte Abraço a todos;
>>>> Deivison Moraes
>>>>
>>>>
>>>
>>
>>
>>
>
>


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fb247.90...@mutumnet.com.br

Re: Bloqueio com Iptables;

[Julio]

Acredito que existem varias empresas
https://www.google.com.br/#q=iptables+ead+
Abraços
Em 04-12-2013 21:14, Leandro Paulo escreveu:

Onde tem curso ead de fw?

Julio  escreveu:


Olá Deivison , tudo bem ?
Tenta estudar mais a fundo o iptables , tem cursos ead e material open
source .
Se você pretende ou exerce alguma atividade de Admin é importante você
estudar .
Abraços

Em 29-11-2013 12:22, Deivison Moraes escreveu:

Boa tarde pessoal,

Desculpem se o assunto for meio off.

  O pessoal da lista que usam debian para firewall + proxy em rede
interna, o que tem feito para bloquear o ultrasurf, tor e compania
limitada? Vi algumas documentações no google bloqueando todos os IP's de
destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
bloquear por string no iptables, porem não tive sucesso. Se puderem
compartilhar seus cases, para debatermos será de grande valia. No
momento estou tentando bloquear baseado no "client hello" do pacote ssl,
mas ainda não obtive sucesso.

[]'s
Forte Abraço a todos;
Deivison Moraes




--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fc259.4090...@gmail.com




--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fce14.40...@gmail.com

Re: Bloqueio com Iptables;

[Deivison Moraes]

Sim, vou montar alguns testes com as ranges do ultrasurf e ver até que
ponto ele consegue ser efetivo.

Mais uma vez, obrigado à todos.

Em 05-12-2013 00:44, Antonio Novaes escreveu:
> Não necessariamente. Deste que relacione o destino.
> bloquear todo sync que vai para o destino 1.2.3.4
>
> Att,
> Antonio Novaes de C. Jr
> Analista TIC - Sistema e Infraestrutura
> Pós-graduando em Segurança de Rede de Computadores
> LPIC-1 - Linux Certified Professional Level 1
> Novell Certified Linux Administrator (CLA)
> ID Linux: 481126 | LPI000255169
> LinkedIN: Perfil Público
> <http://www.linkedin.com/pub/antonio-novaes/50/608/138>
>
>
>
> Em 4 de dezembro de 2013 20:42, Deivison Moraes
>  <mailto:deivisonmor...@mutumnet.com.br>> escreveu:
>
> Mas dessa forma eu bloquearia todo o tcp.
>
> De fato, este livro é excelente!
>
> []'s
>
> Deivison Moraes
>
> Em 05-12-2013 00:38, Paulo Correia escreveu:
> > Bloqueio de sync é mais ou menos assim
> >
> > iptables -A FORWARD -o eth1 -p tcp --syn  -j REJECT
> >
> > Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em
> > média usado R$ 19,00 a 25,50  e novo de R$ 19,90 a 27,00.
> > Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead
> eu não
> > conheço, se existir quero o site.
> >
> > Abraços,
> > Paulo Correia
> >
> > Em 04-12-2013 22:14, Leandro Paulo escreveu:
>     >> Onde tem curso ead de fw?
> >>
> >> Julio mailto:julio.s...@gmail.com>>
> escreveu:
> >>
> >>> Olá Deivison , tudo bem ?
> >>> Tenta estudar mais a fundo o iptables , tem cursos ead e
> material open
> >>> source .
> >>> Se você pretende ou exerce alguma atividade de Admin é
> importante você
> >>> estudar .
> >>> Abraços
> >>>
> >>> Em 29-11-2013 12:22, Deivison Moraes escreveu:
> >>>> Boa tarde pessoal,
> >>>>
> >>>> Desculpem se o assunto for meio off.
> >>>>
>     >>>>   O pessoal da lista que usam debian para firewall +
> proxy em rede
> >>>> interna, o que tem feito para bloquear o ultrasurf, tor e
> compania
> >>>> limitada? Vi algumas documentações no google bloqueando todos os
> >>>> IP's de
> >>>> destino do ultrasurf, mas parece uma quantidade exagerada. Eu
> tentei
> >>>> bloquear por string no iptables, porem não tive sucesso. Se
> puderem
> >>>> compartilhar seus cases, para debatermos será de grande valia. No
> >>>> momento estou tentando bloquear baseado no "client hello" do
> pacote
> >>>> ssl,
> >>>> mas ainda não obtive sucesso.
> >>>>
> >>>> []'s
> >>>> Forte Abraço a todos;
> >>>> Deivison Moraes
> >>>>
> >>>>
> >>>
> >>> --
> >>> To UNSUBSCRIBE, email to
> >>> debian-user-portuguese-requ...@lists.debian.org
> <mailto:debian-user-portuguese-requ...@lists.debian.org>
> >>> with a subject of "unsubscribe". Trouble? Contact
> >>> listmas...@lists.debian.org <mailto:listmas...@lists.debian.org>
> >>> Archive: http://lists.debian.org/529fc259.4090...@gmail.com
> >>>
> >
> >
>
>
> --
> To UNSUBSCRIBE, email to
> debian-user-portuguese-requ...@lists.debian.org
> <mailto:debian-user-portuguese-requ...@lists.debian.org>
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org <mailto:listmas...@lists.debian.org>
> Archive: http://lists.debian.org/529fafcb.7090...@mutumnet.com.br
>
>


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fb198.3010...@mutumnet.com.br

Re: Fwd: Re: Bloqueio com Iptables;

[Julio]

Essa semana eu vi esse artigo
http://www.vivaolinux.com.br/artigo/Fail2ban-Bloqueio-de-Peer-to-Peer-Ares-uTorrent-e-Proxies-UltraSurf-e-Tor/
pode ser util abraços
Em 04-12-2013 19:38, Deivison Moraes escreveu:

Obrigado Julio, pela dica.
 Já veio estudando o iptables e seus módulos há algum tempo, já sou
SysAdmin Linux há 4 anos (não que este tempo seja muito). Este tópico é
para ver o que o pessoal tem usado para bloquear afim de integrar com
uma solução mais fácil de administrar. O ultrasurf é bem complexo de
bloquear baseando se no destino. Até consegui segura lo nas portas 443 e
no squid quando ele está com proxy setado; fiz várias investidas para
descobrir como ele trabalhava. Percebi, assim como muitas documentações
na internet, que bloquear o ultrasurf pelo destino é custoso e ineficaz,
pois ele não trabalha fixo na porta 443 e nem somente com ssl.

Grato []'s

Deivison Moraes

Em 05-12-2013 00:01, Julio escreveu:

Olá Deivison , tudo bem ?
Tenta estudar mais a fundo o iptables , tem cursos ead e material open
source .
Se você pretende ou exerce alguma atividade de Admin é importante você
estudar .
Abraços

Em 29-11-2013 12:22, Deivison Moraes escreveu:

Boa tarde pessoal,

Desculpem se o assunto for meio off.

  O pessoal da lista que usam debian para firewall + proxy em rede
interna, o que tem feito para bloquear o ultrasurf, tor e compania
limitada? Vi algumas documentações no google bloqueando todos os IP's de
destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
bloquear por string no iptables, porem não tive sucesso. Se puderem
compartilhar seus cases, para debatermos será de grande valia. No
momento estou tentando bloquear baseado no "client hello" do pacote ssl,
mas ainda não obtive sucesso.

[]'s
Forte Abraço a todos;
Deivison Moraes











--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fcd7c.7060...@gmail.com

Re: Bloqueio com Iptables;

[Deivison Moraes]

Todos os pacotes syn.
Em 04-12-2013 22:42, Deivison Moraes escreveu:
> Mas dessa forma eu bloquearia todo o tcp.
>
> De fato, este livro é excelente!
>
> []'s
>
> Deivison Moraes
>
> Em 05-12-2013 00:38, Paulo Correia escreveu:
>> Bloqueio de sync é mais ou menos assim
>>
>> iptables -A FORWARD -o eth1 -p tcp --syn  -j REJECT
>>
>> Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em
>> média usado R$ 19,00 a 25,50  e novo de R$ 19,90 a 27,00.
>> Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead eu não
>> conheço, se existir quero o site.
>>
>> Abraços,
>> Paulo Correia
>>
>> Em 04-12-2013 22:14, Leandro Paulo escreveu:
>>> Onde tem curso ead de fw?
>>>
>>> Julio  escreveu:
>>>
>>>> Olá Deivison , tudo bem ?
>>>> Tenta estudar mais a fundo o iptables , tem cursos ead e material open
>>>> source .
>>>> Se você pretende ou exerce alguma atividade de Admin é importante você
>>>> estudar .
>>>> Abraços
>>>>
>>>> Em 29-11-2013 12:22, Deivison Moraes escreveu:
>>>>> Boa tarde pessoal,
>>>>>
>>>>> Desculpem se o assunto for meio off.
>>>>>
>>>>>   O pessoal da lista que usam debian para firewall + proxy em rede
>>>>> interna, o que tem feito para bloquear o ultrasurf, tor e compania
>>>>> limitada? Vi algumas documentações no google bloqueando todos os
>>>>> IP's de
>>>>> destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
>>>>> bloquear por string no iptables, porem não tive sucesso. Se puderem
>>>>> compartilhar seus cases, para debatermos será de grande valia. No
>>>>> momento estou tentando bloquear baseado no "client hello" do pacote
>>>>> ssl,
>>>>> mas ainda não obtive sucesso.
>>>>>
>>>>> []'s
>>>>> Forte Abraço a todos;
>>>>> Deivison Moraes
>>>>>
>>>>>
>>>> -- 
>>>> To UNSUBSCRIBE, email to
>>>> debian-user-portuguese-requ...@lists.debian.org
>>>> with a subject of "unsubscribe". Trouble? Contact
>>>> listmas...@lists.debian.org
>>>> Archive: http://lists.debian.org/529fc259.4090...@gmail.com
>>>>
>>
>


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fb024.5030...@mutumnet.com.br

Re: Bloqueio com Iptables;

[Deivison Moraes]

Mas dessa forma eu bloquearia todo o tcp.

De fato, este livro é excelente!

[]'s

Deivison Moraes

Em 05-12-2013 00:38, Paulo Correia escreveu:
> Bloqueio de sync é mais ou menos assim
>
> iptables -A FORWARD -o eth1 -p tcp --syn  -j REJECT
>
> Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em
> média usado R$ 19,00 a 25,50  e novo de R$ 19,90 a 27,00.
> Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead eu não
> conheço, se existir quero o site.
>
> Abraços,
> Paulo Correia
>
> Em 04-12-2013 22:14, Leandro Paulo escreveu:
>> Onde tem curso ead de fw?
>>
>> Julio  escreveu:
>>
>>> Olá Deivison , tudo bem ?
>>> Tenta estudar mais a fundo o iptables , tem cursos ead e material open
>>> source .
>>> Se você pretende ou exerce alguma atividade de Admin é importante você
>>> estudar .
>>> Abraços
>>>
>>> Em 29-11-2013 12:22, Deivison Moraes escreveu:
>>>> Boa tarde pessoal,
>>>>
>>>> Desculpem se o assunto for meio off.
>>>>
>>>>   O pessoal da lista que usam debian para firewall + proxy em rede
>>>> interna, o que tem feito para bloquear o ultrasurf, tor e compania
>>>> limitada? Vi algumas documentações no google bloqueando todos os
>>>> IP's de
>>>> destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
>>>> bloquear por string no iptables, porem não tive sucesso. Se puderem
>>>> compartilhar seus cases, para debatermos será de grande valia. No
>>>> momento estou tentando bloquear baseado no "client hello" do pacote
>>>> ssl,
>>>> mas ainda não obtive sucesso.
>>>>
>>>> []'s
>>>> Forte Abraço a todos;
>>>> Deivison Moraes
>>>>
>>>>
>>>
>>> -- 
>>> To UNSUBSCRIBE, email to
>>> debian-user-portuguese-requ...@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmas...@lists.debian.org
>>> Archive: http://lists.debian.org/529fc259.4090...@gmail.com
>>>
>
>


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fafcb.7090...@mutumnet.com.br

Re: Bloqueio com Iptables;

[Paulo Correia]

Bloqueio de sync é mais ou menos assim

iptables -A FORWARD -o eth1 -p tcp --syn  -j REJECT

Tem o livro do Urubatan Neto, Dominando o Linux Firewall Iptables em 
média usado R$ 19,00 a 25,50  e novo de R$ 19,90 a 27,00.
Tem alguns tópicos no Viva o Linux sobre o iptables, curso ead eu não 
conheço, se existir quero o site.


Abraços,
Paulo Correia

Em 04-12-2013 22:14, Leandro Paulo escreveu:

Onde tem curso ead de fw?

Julio  escreveu:


Olá Deivison , tudo bem ?
Tenta estudar mais a fundo o iptables , tem cursos ead e material open
source .
Se você pretende ou exerce alguma atividade de Admin é importante você
estudar .
Abraços

Em 29-11-2013 12:22, Deivison Moraes escreveu:

Boa tarde pessoal,

Desculpem se o assunto for meio off.

  O pessoal da lista que usam debian para firewall + proxy em rede
interna, o que tem feito para bloquear o ultrasurf, tor e compania
limitada? Vi algumas documentações no google bloqueando todos os IP's de
destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
bloquear por string no iptables, porem não tive sucesso. Se puderem
compartilhar seus cases, para debatermos será de grande valia. No
momento estou tentando bloquear baseado no "client hello" do pacote ssl,
mas ainda não obtive sucesso.

[]'s
Forte Abraço a todos;
Deivison Moraes




--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fc259.4090...@gmail.com




--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/blu0-smtp124fe6024c6c388045a4fefdd...@phx.gbl

Fwd: Re: Bloqueio com Iptables;

[Deivison Moraes]

Obrigado Julio, pela dica.
Já veio estudando o iptables e seus módulos há algum tempo, já sou
SysAdmin Linux há 4 anos (não que este tempo seja muito). Este tópico é
para ver o que o pessoal tem usado para bloquear afim de integrar com
uma solução mais fácil de administrar. O ultrasurf é bem complexo de
bloquear baseando se no destino. Até consegui segura lo nas portas 443 e
no squid quando ele está com proxy setado; fiz várias investidas para
descobrir como ele trabalhava. Percebi, assim como muitas documentações
na internet, que bloquear o ultrasurf pelo destino é custoso e ineficaz,
pois ele não trabalha fixo na porta 443 e nem somente com ssl.

Grato []'s

Deivison Moraes

Em 05-12-2013 00:01, Julio escreveu:
> Olá Deivison , tudo bem ?
> Tenta estudar mais a fundo o iptables , tem cursos ead e material open
> source .
> Se você pretende ou exerce alguma atividade de Admin é importante você
> estudar .
> Abraços
>
> Em 29-11-2013 12:22, Deivison Moraes escreveu:
>> Boa tarde pessoal,
>>
>> Desculpem se o assunto for meio off.
>>
>>  O pessoal da lista que usam debian para firewall + proxy em rede
>> interna, o que tem feito para bloquear o ultrasurf, tor e compania
>> limitada? Vi algumas documentações no google bloqueando todos os IP's de
>> destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
>> bloquear por string no iptables, porem não tive sucesso. Se puderem
>> compartilhar seus cases, para debatermos será de grande valia. No
>> momento estou tentando bloquear baseado no "client hello" do pacote ssl,
>> mas ainda não obtive sucesso.
>>
>> []'s
>> Forte Abraço a todos;
>> Deivison Moraes
>>
>>
>
>




-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529faecd.5030...@mutumnet.com.br

Re: Bloqueio com Iptables;

[Leandro Paulo]

Onde tem curso ead de fw?

Julio  escreveu:

>Olá Deivison , tudo bem ?
>Tenta estudar mais a fundo o iptables , tem cursos ead e material open 
>source .
>Se você pretende ou exerce alguma atividade de Admin é importante você 
>estudar .
>Abraços
>
>Em 29-11-2013 12:22, Deivison Moraes escreveu:
>> Boa tarde pessoal,
>>
>> Desculpem se o assunto for meio off.
>>
>>  O pessoal da lista que usam debian para firewall + proxy em rede
>> interna, o que tem feito para bloquear o ultrasurf, tor e compania
>> limitada? Vi algumas documentações no google bloqueando todos os IP's de
>> destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
>> bloquear por string no iptables, porem não tive sucesso. Se puderem
>> compartilhar seus cases, para debatermos será de grande valia. No
>> momento estou tentando bloquear baseado no "client hello" do pacote ssl,
>> mas ainda não obtive sucesso.
>>
>> []'s
>> Forte Abraço a todos;
>> Deivison Moraes
>>
>>
>
>
>-- 
>To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
>Archive: http://lists.debian.org/529fc259.4090...@gmail.com
>

Re: Bloqueio com Iptables;

[Julio]

Olá Deivison , tudo bem ?
Tenta estudar mais a fundo o iptables , tem cursos ead e material open 
source .
Se você pretende ou exerce alguma atividade de Admin é importante você 
estudar .

Abraços

Em 29-11-2013 12:22, Deivison Moraes escreveu:

Boa tarde pessoal,

Desculpem se o assunto for meio off.

 O pessoal da lista que usam debian para firewall + proxy em rede
interna, o que tem feito para bloquear o ultrasurf, tor e compania
limitada? Vi algumas documentações no google bloqueando todos os IP's de
destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
bloquear por string no iptables, porem não tive sucesso. Se puderem
compartilhar seus cases, para debatermos será de grande valia. No
momento estou tentando bloquear baseado no "client hello" do pacote ssl,
mas ainda não obtive sucesso.

[]'s
Forte Abraço a todos;
Deivison Moraes





--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/529fc259.4090...@gmail.com

Re: Bloqueio com Iptables;

[Deivison Moraes]

Poderia ser mais claro. Obrigado!

Em 04-12-2013 23:08, Paulo Correia escreveu:
> Já tentou bloqueio de sync.
> Não tem nada que passe se não tiver sync.
>
> Abraços,
> Paulo Correia
>
> Em 02-12-2013 21:47, Thobias Oliveira escreveu:
>> Me desculpe nobre Chará rsrsrsrs!
>>
>> Mas acredito que fazendo por este meio descrito neste artigo do V|OL
>> que o senhor indicou seria bem mais custoso do que criar uma única
>> regra para bloqueio de
>> duas únicas strings (tor e ultrasurf). só a formação do arquivo de
>> log já exige disco e memória então o caso seria de escolher segundo a
>> demanda da rede o que seria melhor. Abraços,
>>
>> Thobias
>>
>>
>> Em 29 de novembro de 2013 19:58, Tobias Sette > <mailto:tobiase...@gmail.com>> escreveu:
>>
>> Parece-me que bloqueio por strings é mais custoso, por isso é bom
>> evitar.
>>
>> Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda:
>>
>> #
>> 
>> http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/
>> $iptables -A FORWARD -d 65.49.14.0/24 <http://65.49.14.0/24> -j
>> LOG --log-prefix "[IPTABLES: ultrasurf] "
>> # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf
>> $iptables -A FORWARD -d 111.255.176.0/24
>> <http://111.255.176.0/24> -j LOG --log-prefix "[IPTABLES:
>> ultrasurf] "
>>
>> Att,
>>
>> Tobias
>> http://gnu.eti.br
>>
>> -BEGIN GEEK CODE BLOCK-
>> Version: 3.12
>> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+
>> L+++>+ !E@ W+++
>> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@
>> G e- h+ r-- y?
>> --END GEEK CODE BLOCK--
>>
>>
>>
>> Em 29 de novembro de 2013 18:37, Moksha Tux > <mailto:gova...@gmail.com>> escreveu:
>>
>> Já que é assim vc não terá outra escolha senão compilar o
>> kernel e habilitar layer 7 e fazer esse bloqueio por string.
>> Esse foi o único jeito que encontrei aqui na reda de onde
>> trabalho. Abraços,
>>
>> Moksha Tux
>>
>>
>> Em 29 de novembro de 2013 14:10, Deivison Moraes
>> > <mailto:deivisonmor...@mutumnet.com.br>> escreveu:
>>
>> É em rede corporativa, porem é inviável fazer isso, são
>> muitas "filiais"
>> e nem em todas os pcs clientes eu terei acesso.
>>
>> []'s
>>
>> Deivison Moraes
>>
>> Em 29-11-2013 18:02, Renan Arantes escreveu:
>> > Se for em uma rede corporativa como é o meu caso, eu
>> bloqueio por gpo o
>> > executável do ultrasurf em clientes Windows.
>> >
>> > Att
>> > Renan
>> >
>> > -Mensagem original-
>> > De: Deivison Moraes
>> [mailto:deivisonmor...@mutumnet.com.br
>> <mailto:deivisonmor...@mutumnet.com.br>]
>> > Enviada em: sexta-feira, 29 de novembro de 2013 12:23
>> > Para: debian-user-portuguese@lists.debian.org
>> <mailto:debian-user-portuguese@lists.debian.org>
>> > Assunto: Bloqueio com Iptables;
>> >
>> > Boa tarde pessoal,
>> >
>> > Desculpem se o assunto for meio off.
>> >
>> > O pessoal da lista que usam debian para firewall +
>> proxy em rede
>> > interna, o que tem feito para bloquear o ultrasurf, tor
>> e compania limitada?
>> > Vi algumas documentações no google bloqueando todos os
>> IP's de destino do
>> > ultrasurf, mas parece uma quantidade exagerada. Eu
>> tentei bloquear por
>> > string no iptables, porem não tive sucesso. Se puderem
>> compartilhar seus
>> > cases, para debatermos será de grande valia. No momento
>> estou tentando
>> > bloquear baseado no "client hello" do pacote ssl, mas
>> ainda não obtive
>> > sucesso.
>> >
>> > []'s
&

Re: Bloqueio com Iptables;

[Paulo Correia]

Já tentou bloqueio de sync.
Não tem nada que passe se não tiver sync.

Abraços,
Paulo Correia

Em 02-12-2013 21:47, Thobias Oliveira escreveu:

Me desculpe nobre Chará rsrsrsrs!

Mas acredito que fazendo por este meio descrito neste artigo do V|OL 
que o senhor indicou seria bem mais custoso do que criar uma única 
regra para bloqueio de
duas únicas strings (tor e ultrasurf). só a formação do arquivo de log 
já exige disco e memória então o caso seria de escolher segundo a 
demanda da rede o que seria melhor. Abraços,


Thobias


Em 29 de novembro de 2013 19:58, Tobias Sette <mailto:tobiase...@gmail.com>> escreveu:


Parece-me que bloqueio por strings é mais custoso, por isso é bom
evitar.

Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda:

#

http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/
$iptables -A FORWARD -d 65.49.14.0/24 <http://65.49.14.0/24> -j
LOG --log-prefix "[IPTABLES: ultrasurf] "
# https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf
$iptables -A FORWARD -d 111.255.176.0/24 <http://111.255.176.0/24>
    -j LOG --log-prefix "[IPTABLES: ultrasurf] "

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+
L+++>+ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@
G e- h+ r-- y?
--END GEEK CODE BLOCK--



Em 29 de novembro de 2013 18:37, Moksha Tux mailto:gova...@gmail.com>> escreveu:

Já que é assim vc não terá outra escolha senão compilar o
kernel e habilitar layer 7 e fazer esse bloqueio por string.
Esse foi o único jeito que encontrei aqui na reda de onde
trabalho. Abraços,

Moksha Tux


Em 29 de novembro de 2013 14:10, Deivison Moraes
mailto:deivisonmor...@mutumnet.com.br>> escreveu:

É em rede corporativa, porem é inviável fazer isso, são
muitas "filiais"
e nem em todas os pcs clientes eu terei acesso.

[]'s

Deivison Moraes

Em 29-11-2013 18:02, Renan Arantes escreveu:
> Se for em uma rede corporativa como é o meu caso, eu
bloqueio por gpo o
> executável do ultrasurf em clientes Windows.
>
> Att
> Renan
>
> -Mensagem original-
> De: Deivison Moraes
[mailto:deivisonmor...@mutumnet.com.br
<mailto:deivisonmor...@mutumnet.com.br>]
> Enviada em: sexta-feira, 29 de novembro de 2013 12:23
> Para: debian-user-portuguese@lists.debian.org
<mailto:debian-user-portuguese@lists.debian.org>
> Assunto: Bloqueio com Iptables;
>
> Boa tarde pessoal,
>
> Desculpem se o assunto for meio off.
>
> O pessoal da lista que usam debian para firewall +
proxy em rede
> interna, o que tem feito para bloquear o ultrasurf, tor
e compania limitada?
> Vi algumas documentações no google bloqueando todos os
    IP's de destino do
> ultrasurf, mas parece uma quantidade exagerada. Eu
tentei bloquear por
> string no iptables, porem não tive sucesso. Se puderem
compartilhar seus
> cases, para debatermos será de grande valia. No momento
estou tentando
> bloquear baseado no "client hello" do pacote ssl, mas
ainda não obtive
> sucesso.
>
> []'s
> Forte Abraço a todos;
> Deivison Moraes
>
>
> --
> To UNSUBSCRIBE, email to
debian-user-portuguese-requ...@lists.debian.org
<mailto:debian-user-portuguese-requ...@lists.debian.org>
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
<mailto:listmas...@lists.debian.org>
> Archive:
http://lists.debian.org/5298b141.4020...@mutumnet.com.br
>


--
To UNSUBSCRIBE, email to
debian-user-portuguese-requ...@lists.debian.org
<mailto:debian-user-portuguese-requ...@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
<mailto:listmas...@lists.debian.org>
Archive:
http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br

Re: Bloqueio com Iptables;

[Tobias Sette]

^_^

De fato. Contudo o log é uma boa coisa a ser feita, em ambos os métodos.

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 2 de dezembro de 2013 21:47, Thobias Oliveira
escreveu:

> Me desculpe nobre Chará rsrsrsrs!
>
> Mas acredito que fazendo por este meio descrito neste artigo do V|OL que o
> senhor indicou seria bem mais custoso do que criar uma única regra para
> bloqueio de
> duas únicas strings (tor e ultrasurf). só a formação do arquivo de log já
> exige disco e memória então o caso seria de escolher segundo a demanda da
> rede o que seria melhor. Abraços,
>
> Thobias
>
>
> Em 29 de novembro de 2013 19:58, Tobias Sette escreveu:
>
>  Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar.
>>
>> Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda:
>>
>> #
>> http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/
>> $iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "[IPTABLES:
>> ultrasurf] "
>> # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf
>> $iptables -A FORWARD -d 111.255.176.0/24 -j LOG --log-prefix "[IPTABLES:
>> ultrasurf] "
>>
>> Att,
>>
>> Tobias
>> http://gnu.eti.br
>>
>> -BEGIN GEEK CODE BLOCK-
>> Version: 3.12
>> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
>> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e-
>> h+ r-- y?
>> --END GEEK CODE BLOCK--
>>
>>
>>
>> Em 29 de novembro de 2013 18:37, Moksha Tux  escreveu:
>>
>> Já que é assim vc não terá outra escolha senão compilar o kernel e
>>> habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito
>>> que encontrei aqui na reda de onde trabalho. Abraços,
>>>
>>> Moksha Tux
>>>
>>>
>>> Em 29 de novembro de 2013 14:10, Deivison Moraes <
>>> deivisonmor...@mutumnet.com.br> escreveu:
>>>
>>> É em rede corporativa, porem é inviável fazer isso, são muitas "filiais"
>>>> e nem em todas os pcs clientes eu terei acesso.
>>>>
>>>> []'s
>>>>
>>>> Deivison Moraes
>>>>
>>>> Em 29-11-2013 18:02, Renan Arantes escreveu:
>>>> > Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo
>>>> o
>>>> > executável do ultrasurf em clientes Windows.
>>>> >
>>>> > Att
>>>> > Renan
>>>> >
>>>> > -Mensagem original-
>>>> > De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br]
>>>> > Enviada em: sexta-feira, 29 de novembro de 2013 12:23
>>>> > Para: debian-user-portuguese@lists.debian.org
>>>> > Assunto: Bloqueio com Iptables;
>>>> >
>>>> > Boa tarde pessoal,
>>>> >
>>>> > Desculpem se o assunto for meio off.
>>>> >
>>>> > O pessoal da lista que usam debian para firewall + proxy em rede
>>>> > interna, o que tem feito para bloquear o ultrasurf, tor e compania
>>>> limitada?
>>>> > Vi algumas documentações no google bloqueando todos os IP's de
>>>> destino do
>>>> > ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por
>>>> > string no iptables, porem não tive sucesso. Se puderem compartilhar
>>>> seus
>>>> > cases, para debatermos será de grande valia. No momento estou tentando
>>>> > bloquear baseado no "client hello" do pacote ssl, mas ainda não obtive
>>>> > sucesso.
>>>> >
>>>> > []'s
>>>> > Forte Abraço a todos;
>>>> > Deivison Moraes
>>>> >
>>>> >
>>>> > --
>>>> > To UNSUBSCRIBE, email to
>>>> debian-user-portuguese-requ...@lists.debian.org
>>>> > with a subject of "unsubscribe". Trouble? Contact
>>>> > listmas...@lists.debian.org
>>>> > Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br
>>>> >
>>>>
>>>>
>>>> --
>>>> To UNSUBSCRIBE, email to
>>>> debian-user-portuguese-requ...@lists.debian.org
>>>> with a subject of "unsubscribe". Trouble? Contact
>>>> listmas...@lists.debian.org
>>>> Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
>>>>
>>>>
>>>
>>
>

Re: Bloqueio com Iptables;

[Thobias Oliveira]

Me desculpe nobre Chará rsrsrsrs!

Mas acredito que fazendo por este meio descrito neste artigo do V|OL que o
senhor indicou seria bem mais custoso do que criar uma única regra para
bloqueio de
duas únicas strings (tor e ultrasurf). só a formação do arquivo de log já
exige disco e memória então o caso seria de escolher segundo a demanda da
rede o que seria melhor. Abraços,

Thobias


Em 29 de novembro de 2013 19:58, Tobias Sette escreveu:

> Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar.
>
> Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda:
>
> #
> http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/
> $iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "[IPTABLES:
> ultrasurf] "
> # https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf
> $iptables -A FORWARD -d 111.255.176.0/24 -j LOG --log-prefix "[IPTABLES:
> ultrasurf] "
>
> Att,
>
> Tobias
> http://gnu.eti.br
>
> -BEGIN GEEK CODE BLOCK-
> Version: 3.12
> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
> r-- y?
> --END GEEK CODE BLOCK--
>
>
>
> Em 29 de novembro de 2013 18:37, Moksha Tux  escreveu:
>
> Já que é assim vc não terá outra escolha senão compilar o kernel e
>> habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito
>> que encontrei aqui na reda de onde trabalho. Abraços,
>>
>> Moksha Tux
>>
>>
>> Em 29 de novembro de 2013 14:10, Deivison Moraes <
>> deivisonmor...@mutumnet.com.br> escreveu:
>>
>> É em rede corporativa, porem é inviável fazer isso, são muitas "filiais"
>>> e nem em todas os pcs clientes eu terei acesso.
>>>
>>> []'s
>>>
>>> Deivison Moraes
>>>
>>> Em 29-11-2013 18:02, Renan Arantes escreveu:
>>> > Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o
>>> > executável do ultrasurf em clientes Windows.
>>> >
>>> > Att
>>> > Renan
>>> >
>>> > -Mensagem original-
>>> > De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br]
>>> > Enviada em: sexta-feira, 29 de novembro de 2013 12:23
>>> > Para: debian-user-portuguese@lists.debian.org
>>> > Assunto: Bloqueio com Iptables;
>>> >
>>> > Boa tarde pessoal,
>>> >
>>> > Desculpem se o assunto for meio off.
>>> >
>>> > O pessoal da lista que usam debian para firewall + proxy em rede
>>> > interna, o que tem feito para bloquear o ultrasurf, tor e compania
>>> limitada?
>>> > Vi algumas documentações no google bloqueando todos os IP's de destino
>>> do
>>> > ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por
>>> > string no iptables, porem não tive sucesso. Se puderem compartilhar
>>> seus
>>> > cases, para debatermos será de grande valia. No momento estou tentando
>>> > bloquear baseado no "client hello" do pacote ssl, mas ainda não obtive
>>> > sucesso.
>>> >
>>> > []'s
>>> > Forte Abraço a todos;
>>> > Deivison Moraes
>>> >
>>> >
>>> > --
>>> > To UNSUBSCRIBE, email to
>>> debian-user-portuguese-requ...@lists.debian.org
>>> > with a subject of "unsubscribe". Trouble? Contact
>>> > listmas...@lists.debian.org
>>> > Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br
>>> >
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmas...@lists.debian.org
>>> Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
>>>
>>>
>>
>

Re: Bloqueio com Iptables;

[Tobias Sette]

Parece-me que bloqueio por strings é mais custoso, por isso é bom evitar.

Não bloqueio ultrasurf, apenas faço log. Veja se te ajuda:

#
http://www.vivaolinux.com.br/artigo/Como-bloquear-o-Ultrasurf-solucao-definitiva-%28iptables-+-Fail2ban%29/
$iptables -A FORWARD -d 65.49.14.0/24 -j LOG --log-prefix "[IPTABLES:
ultrasurf] "
# https://media.torproject.org/misc/2012-04-16-ultrasurf-analysis.pdf
$iptables -A FORWARD -d 111.255.176.0/24 -j LOG --log-prefix "[IPTABLES:
ultrasurf] "

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 29 de novembro de 2013 18:37, Moksha Tux  escreveu:

> Já que é assim vc não terá outra escolha senão compilar o kernel e
> habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito
> que encontrei aqui na reda de onde trabalho. Abraços,
>
> Moksha Tux
>
>
> Em 29 de novembro de 2013 14:10, Deivison Moraes <
> deivisonmor...@mutumnet.com.br> escreveu:
>
> É em rede corporativa, porem é inviável fazer isso, são muitas "filiais"
>> e nem em todas os pcs clientes eu terei acesso.
>>
>> []'s
>>
>> Deivison Moraes
>>
>> Em 29-11-2013 18:02, Renan Arantes escreveu:
>> > Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o
>> > executável do ultrasurf em clientes Windows.
>> >
>> > Att
>> > Renan
>> >
>> > -Mensagem original-
>> > De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br]
>> > Enviada em: sexta-feira, 29 de novembro de 2013 12:23
>> > Para: debian-user-portuguese@lists.debian.org
>> > Assunto: Bloqueio com Iptables;
>> >
>> > Boa tarde pessoal,
>> >
>> > Desculpem se o assunto for meio off.
>> >
>> > O pessoal da lista que usam debian para firewall + proxy em rede
>> > interna, o que tem feito para bloquear o ultrasurf, tor e compania
>> limitada?
>> > Vi algumas documentações no google bloqueando todos os IP's de destino
>> do
>> > ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por
>> > string no iptables, porem não tive sucesso. Se puderem compartilhar seus
>> > cases, para debatermos será de grande valia. No momento estou tentando
>> > bloquear baseado no "client hello" do pacote ssl, mas ainda não obtive
>> > sucesso.
>> >
>> > []'s
>> > Forte Abraço a todos;
>> > Deivison Moraes
>> >
>> >
>> > --
>> > To UNSUBSCRIBE, email to
>> debian-user-portuguese-requ...@lists.debian.org
>> > with a subject of "unsubscribe". Trouble? Contact
>> > listmas...@lists.debian.org
>> > Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br
>> >
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
>>
>>
>

Re: Bloqueio com Iptables;

[Moksha Tux]

Já que é assim vc não terá outra escolha senão compilar o kernel e
habilitar layer 7 e fazer esse bloqueio por string. Esse foi o único jeito
que encontrei aqui na reda de onde trabalho. Abraços,

Moksha Tux


Em 29 de novembro de 2013 14:10, Deivison Moraes <
deivisonmor...@mutumnet.com.br> escreveu:

> É em rede corporativa, porem é inviável fazer isso, são muitas "filiais"
> e nem em todas os pcs clientes eu terei acesso.
>
> []'s
>
> Deivison Moraes
>
> Em 29-11-2013 18:02, Renan Arantes escreveu:
> > Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o
> > executável do ultrasurf em clientes Windows.
> >
> > Att
> > Renan
> >
> > -Mensagem original-
> > De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br]
> > Enviada em: sexta-feira, 29 de novembro de 2013 12:23
> > Para: debian-user-portuguese@lists.debian.org
> > Assunto: Bloqueio com Iptables;
> >
> > Boa tarde pessoal,
> >
> > Desculpem se o assunto for meio off.
> >
> > O pessoal da lista que usam debian para firewall + proxy em rede
> > interna, o que tem feito para bloquear o ultrasurf, tor e compania
> limitada?
> > Vi algumas documentações no google bloqueando todos os IP's de destino do
> > ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por
> > string no iptables, porem não tive sucesso. Se puderem compartilhar seus
> > cases, para debatermos será de grande valia. No momento estou tentando
> > bloquear baseado no "client hello" do pacote ssl, mas ainda não obtive
> > sucesso.
> >
> > []'s
> > Forte Abraço a todos;
> > Deivison Moraes
> >
> >
> > --
> > To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> > with a subject of "unsubscribe". Trouble? Contact
> > listmas...@lists.debian.org
> > Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br
> >
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br
>
>

Re: Bloqueio com Iptables;

[Deivison Moraes]

É em rede corporativa, porem é inviável fazer isso, são muitas "filiais"
e nem em todas os pcs clientes eu terei acesso.

[]'s

Deivison Moraes

Em 29-11-2013 18:02, Renan Arantes escreveu:
> Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o
> executável do ultrasurf em clientes Windows. 
>
> Att
> Renan
>
> -Mensagem original-
> De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] 
> Enviada em: sexta-feira, 29 de novembro de 2013 12:23
> Para: debian-user-portuguese@lists.debian.org
> Assunto: Bloqueio com Iptables;
>
> Boa tarde pessoal,
>
> Desculpem se o assunto for meio off.
>
> O pessoal da lista que usam debian para firewall + proxy em rede
> interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada?
> Vi algumas documentações no google bloqueando todos os IP's de destino do
> ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por
> string no iptables, porem não tive sucesso. Se puderem compartilhar seus
> cases, para debatermos será de grande valia. No momento estou tentando
> bloquear baseado no "client hello" do pacote ssl, mas ainda não obtive
> sucesso.
>
> []'s
> Forte Abraço a todos;
> Deivison Moraes
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br
>


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5298bc5b.9040...@mutumnet.com.br

RES: Bloqueio com Iptables;

[Renan Arantes]

Se for em uma rede corporativa como é o meu caso, eu bloqueio por gpo o
executável do ultrasurf em clientes Windows. 

Att
Renan

-Mensagem original-
De: Deivison Moraes [mailto:deivisonmor...@mutumnet.com.br] 
Enviada em: sexta-feira, 29 de novembro de 2013 12:23
Para: debian-user-portuguese@lists.debian.org
Assunto: Bloqueio com Iptables;

Boa tarde pessoal,

Desculpem se o assunto for meio off.

O pessoal da lista que usam debian para firewall + proxy em rede
interna, o que tem feito para bloquear o ultrasurf, tor e compania limitada?
Vi algumas documentações no google bloqueando todos os IP's de destino do
ultrasurf, mas parece uma quantidade exagerada. Eu tentei bloquear por
string no iptables, porem não tive sucesso. Se puderem compartilhar seus
cases, para debatermos será de grande valia. No momento estou tentando
bloquear baseado no "client hello" do pacote ssl, mas ainda não obtive
sucesso.

[]'s
Forte Abraço a todos;
Deivison Moraes


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org
Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/003901ceed2d$34dc5810$9e950830$@gmail.com

Bloqueio com Iptables;

[Deivison Moraes]

Boa tarde pessoal,

Desculpem se o assunto for meio off.

O pessoal da lista que usam debian para firewall + proxy em rede
interna, o que tem feito para bloquear o ultrasurf, tor e compania
limitada? Vi algumas documentações no google bloqueando todos os IP's de
destino do ultrasurf, mas parece uma quantidade exagerada. Eu tentei
bloquear por string no iptables, porem não tive sucesso. Se puderem
compartilhar seus cases, para debatermos será de grande valia. No
momento estou tentando bloquear baseado no "client hello" do pacote ssl,
mas ainda não obtive sucesso.

[]'s
Forte Abraço a todos;
Deivison Moraes


-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/5298b141.4020...@mutumnet.com.br

Re: UFW e iptables

[Daniel Pimentel (d4n1)]

Inclusive, acho que muitos já sabem mas a Netfilter, empresa que desenvolve
o Iptables e outros, estão desenvolvendo o Nftables como futuro substituto
do Iptables, segue o link:
http://www.netfilter.org/projects/nftables/index.html

Será incorporado ao Kernel Linux em breve, mas o Iptables viverá muito
tempo ainda ;)




Em 25 de outubro de 2013 11:09, André Nunes Batista  escreveu:

> On Thu, 2013-10-24 at 20:03 -0200, Sérgio Antônio dos Santos wrote:
> > Oi pessoal,
> >
> > O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall
> diferentes?
> > Tenho que configurar os dois?
>
> Descrição do pacote no debian (http://packages.debian.org/wheezy/ufw):
>
> The Uncomplicated FireWall is a front-end for iptables, to make managing
> a Netfilter firewall easier. It provides a command line interface with
> syntax similar to OpenBSD's Packet Filter. It is particularly
> well-suited as a host-based firewall.
>
> Em português, sem ser tradução direta, isso significa que o ufw e o gufw
> são interfaces que tentam simplificar o uso do iptables. Se você
> instalá-los, como dependência o iptables vem instalado, já que é ele o
> "backend" (software por trás da interface) que realiza o filtro.
>
> Ou seja, o que o ufw faz é configurar o iptables para você com os
> parâmetros que você fornecer. A vantagem disso é que você não precisa
> entender a lógica do iptables, nem entender como funcionam os protocolos
> IP, ICPM, TCP, UDP. A desvantagem é que você perde a chance de aprender
> sobre esses protocolos e não consegue fazer um controle mais refinado
> das comunicações que a sua máquina realiza, tem que aceitar as opções
> disponíveis na interface.
>
> Abraços!
>
> --
> André N. Batista
> GNUPG/PGP KEY: 6722CF80
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/1382710163.27278.47.camel@tagesuhu-pc
>
>


-- 
Daniel Pimentel 

Re: UFW e iptables

[André Nunes Batista]

On Thu, 2013-10-24 at 20:03 -0200, Sérgio Antônio dos Santos wrote:
> Oi pessoal,
> 
> O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes?
> Tenho que configurar os dois?

Descrição do pacote no debian (http://packages.debian.org/wheezy/ufw):

The Uncomplicated FireWall is a front-end for iptables, to make managing
a Netfilter firewall easier. It provides a command line interface with
syntax similar to OpenBSD's Packet Filter. It is particularly
well-suited as a host-based firewall.

Em português, sem ser tradução direta, isso significa que o ufw e o gufw
são interfaces que tentam simplificar o uso do iptables. Se você
instalá-los, como dependência o iptables vem instalado, já que é ele o
"backend" (software por trás da interface) que realiza o filtro.

Ou seja, o que o ufw faz é configurar o iptables para você com os
parâmetros que você fornecer. A vantagem disso é que você não precisa
entender a lógica do iptables, nem entender como funcionam os protocolos
IP, ICPM, TCP, UDP. A desvantagem é que você perde a chance de aprender
sobre esses protocolos e não consegue fazer um controle mais refinado
das comunicações que a sua máquina realiza, tem que aceitar as opções
disponíveis na interface.

Abraços!

-- 
André N. Batista
GNUPG/PGP KEY: 6722CF80



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/1382710163.27278.47.camel@tagesuhu-pc

Re: UFW e iptables

[Helio Loureiro]

iptables é muito complexo em termos de regras e pode ser confuso pra
iniciantes.

Então surgiu o ufw, que é um wrapper do iptables (acho que baseado no ipfw
dos BSDs) com regras mais simples.

Eu uso o ufw no desktop.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de outubro de 2013 08:55, Vitor Hugo escreveu:

> ufw é apenas um front-end para o iptables
>
> --
> From: sergio.serginhos...@gmail.com
> Date: Thu, 24 Oct 2013 20:03:35 -0200
> Subject: UFW e iptables
> To: debian-user-portuguese@lists.debian.org
>
>
> Oi pessoal,
>
> O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall
> diferentes? Tenho que configurar os dois?
>
> Obrigado
>
>
>
> Sérgio Antônio dos Santos
> Bacharel em Sistemas de Informação
> flavors.me/serginhosant
>
> ---
> "Não tenho medo do grito dos violentos, dos corruptos, dos desonestos, dos
> sem-caráter, dos sem-ética. Tenho medo é do silêncio dos bons."
>
> Marthin Luther King, pastor negro americano assassinado em 1963.
>

RE: UFW e iptables

[Vitor Hugo]

ufw é apenas um front-end para o iptables

From: sergio.serginhos...@gmail.com
Date: Thu, 24 Oct 2013 20:03:35 -0200
Subject: UFW e iptables
To: debian-user-portuguese@lists.debian.org

Oi pessoal,
O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes? 
Tenho que configurar os dois?



Obrigado



Sérgio Antônio dos Santos
Bacharel em Sistemas de Informação
flavors.me/serginhosant

---
"Não tenho medo do grito dos violentos, dos corruptos, dos desonestos, dos 
sem-caráter, dos sem-ética. Tenho medo é do silêncio dos bons."



Marthin Luther King, pastor negro americano assassinado em 1963.
  

UFW e iptables

[Sérgio Antônio dos Santos]

Oi pessoal,

O Firewall UFW e iptables é a mesma coisa? Ou são dois firewall diferentes?
Tenho que configurar os dois?

Obrigado



Sérgio Antônio dos Santos
Bacharel em Sistemas de Informação
flavors.me/serginhosant

---
"Não tenho medo do grito dos violentos, dos corruptos, dos desonestos, dos
sem-caráter, dos sem-ética. Tenho medo é do silêncio dos bons."

Marthin Luther King, pastor negro americano assassinado em 1963.

Re: Proxy transparente similar a um acesso iptables, existe?

[Mauricio S. T. Neto]

Hamacker
Quase chorei com sua narrativa :-)

Como também sou um profissional de infra (desempregado no momento) 
entendo muito bem sua situação.


Você falou do wingate, lembro disso, mas hoje não uso nem em casa. Os 
tempos são outros. Tenho firewall (iptables) na minha rede domestica.


E pela sua simples narrativa me pareceu que sua empresa considera a 
informática um "mal necessário". Eu costumo dizer que nos que atuamos em 
infra somos como o bombeiro hidráulico. Não lembram que o bombeiro 
existe e que os canos precisam de manutenção, mas quando o vaso 
sanitário falha o caos esta formado e toque a ligar em desespero para o 
bombeiro :-)


Mas acho que você não tem muito como fugir. O que eu tenho por habito 
fazer é uma boa documentação nos moldes wiki com o detalhamento de tudo 
que efetuei e links para copia dos arquivos de configuração. sei que o 
"start" é complicado mas posso lhe assegurar que vale a pena. Desta 
forma posso tirar ferias ou sair do emprego sem sentir-me culpado.


Com relação a analise de problemas você usa algum monitoramento 
proativo? Tipo Nagios, Zabbix ou coisa parecida? Essas ferramentas 
apesar do esforço necessário para instalação e deixa-las "azeitadas" são 
de grande auxilio na manutenção geral da infra.


E bem vindo a realidade da infraestrutura atual. Acredito ate que isso 
daria um tópico interessante para discussões. As muitas variáveis e 
políticas que hoje temos que acomodar nas soluções técnicas.


Abraço.

Em 16-08-2013 13:52, hamacker escreveu:
Não é apenas performance, a performance é satisfatória, apenas não é 
mais rápido do que se não houvesse proxy.


Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras 
de iptables, regras do squid e além disso, lidar com regras de acesso 
com os famigerados serviços do governo.
Por exemplo, o joaquim do RH tem regra de iptables para navegar 
transparente para certos lugares (sites/ip do governo), mas seu 
navegador está ajustado para autoconfiguração via rede (wpad), então o 
wpad tem regras para determinar se o joaquim vai usar proxy ou não, 
outros na rede tem situações similares.


Quando um acesso na internet falha para um programa ou uma pessoa, lá 
vai eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... 
eu fiz o melhor que pude criando menus orientados que automatizam 
muitas tarefas, mas estou quase escrevendo um sistema operacional com 
tantas variáveis em scripts. As vezes um sistema do governo 
simplesmente falha o acesso, daí vai eu até o programa do usuário, 
usar um netstat e observar onde o programa quer chegar e lá vai mexer 
nas regras de iptables de novo, wpad e squid (dizer que tal site/ip é 
direto). As configurações de meu squid é praticamente um monte de 
'include' com arquivos picados para lidar com varias situações, já 
aconteceu por exemplo, alguma atualização no linux quebrar a 
autenticação no AD, dai por meio de menus, troco a parte de 
autenticação pelo AD por nenhuma autenticação e a rede fica liberada 
para navegar sem a autenticação.


Até tenho menus com orientações que automatiza várias situações, mas 
vou lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima 
pessoa entenderia as camadas que tenho de lidar. Minha angustia é ter 
uma pilha de configurações e oras mexer aqui e oras mexer acolá, isso 
nem acontece sempre, mas quando acontece é aborrecedor. Me lembro que 
uns 10 anos atrás (ou mais), na época da linha discada, tinha um 
programa chamado wingate, liberou o usuário/maquina, pronto, onde ele 
fosse tava liberado nas portas que determinei que estivessem abertas, 
se eu não me engano era um proxy baseado em sockets. Tinha apenas que 
instalar um client, era tão simples!


Tentei convencer a empresa a comprar um appliance que fizesse tudo 
isso, mas devido ao custo mensal, disseram 'não'.
Estou planejamento mudar o que temos, daí o motivo de minha pergunta 
inicial, tornar as coisas mais simples.



Em 15 de agosto de 2013 19:48, Mauricio S. T. Neto <mailto:mstn...@gmail.com>> escreveu:


Hamacker boa noite.
Minha resposta pode ser considerada um tanto "off topic", mas
vamos lá.
Claro que cada vez que você adiciona uma camada de software existe
uma queda de performance mas pelo que sei o Squid é capaz de dar
conta do recado com centenas (ou milhares) de conexões
simultâneas. Será que não existe algum problema com sua
configuração ou hardware?

É conhecimento corrente que existe uma relação de numero de
conexões (usuários)  e necessidade de memória para que o squid
possa trabalhar de forma eficiente. Outra questão é o disco que
deve ter baixa latência, ou seja se este disco é compartilhado com
um banco de dados a possibilidade é ser o "vilão" é grande.

Aqui nesta lista já faz algum tempo tivemos um amigo usando o
Squid para muitos usuários e enfrentando problema de performance,
mas el

Re: Proxy transparente similar a um acesso iptables, existe?

[hamacker]

Não é apenas performance, a performance é satisfatória, apenas não é mais
rápido do que se não houvesse proxy.

Mas é que o conjunto da obra é aborrecedor, tenho de lidar com regras de
iptables, regras do squid e além disso, lidar com regras de acesso com os
famigerados serviços do governo.
Por exemplo, o joaquim do RH tem regra de iptables para navegar
transparente para certos lugares (sites/ip do governo), mas seu navegador
está ajustado para autoconfiguração via rede (wpad), então o wpad tem
regras para determinar se o joaquim vai usar proxy ou não, outros na rede
tem situações similares.

Quando um acesso na internet falha para um programa ou uma pessoa, lá vai
eu tentar descobrir se é o hardware, iptables, squid ou o wpad,... eu fiz o
melhor que pude criando menus orientados que automatizam muitas tarefas,
mas estou quase escrevendo um sistema operacional com tantas variáveis em
scripts. As vezes um sistema do governo simplesmente falha o acesso, daí
vai eu até o programa do usuário, usar um netstat e observar onde o
programa quer chegar e lá vai mexer nas regras de iptables de novo, wpad e
squid (dizer que tal site/ip é direto). As configurações de meu squid é
praticamente um monte de 'include' com arquivos picados para lidar com
varias situações, já aconteceu por exemplo, alguma atualização no linux
quebrar a autenticação no AD, dai por meio de menus, troco a parte de
autenticação pelo AD por nenhuma autenticação e a rede fica liberada para
navegar sem a autenticação.

Até tenho menus com orientações que automatiza várias situações, mas vou
lhe dizer, se eu sair daqui dessa empresa, dificilmente a próxima pessoa
entenderia as camadas que tenho de lidar. Minha angustia é ter uma pilha de
configurações e oras mexer aqui e oras mexer acolá, isso nem acontece
sempre, mas quando acontece é aborrecedor. Me lembro que uns 10 anos atrás
(ou mais), na época da linha discada, tinha um programa chamado wingate,
liberou o usuário/maquina, pronto, onde ele fosse tava liberado nas portas
que determinei que estivessem abertas, se eu não me engano era um proxy
baseado em sockets. Tinha apenas que instalar um client, era tão simples!

Tentei convencer a empresa a comprar um appliance que fizesse tudo isso,
mas devido ao custo mensal, disseram 'não'.
Estou planejamento mudar o que temos, daí o motivo de minha pergunta
inicial, tornar as coisas mais simples.


Em 15 de agosto de 2013 19:48, Mauricio S. T. Neto escreveu:

>  Hamacker boa noite.
> Minha resposta pode ser considerada um tanto "off topic", mas vamos lá.
> Claro que cada vez que você adiciona uma camada de software existe uma
> queda de performance mas pelo que sei o Squid é capaz de dar conta do
> recado com centenas (ou milhares) de conexões simultâneas. Será que não
> existe algum problema com sua configuração ou hardware?
>
> É conhecimento corrente que existe uma relação de numero de conexões
> (usuários)  e necessidade de memória para que o squid possa trabalhar de
> forma eficiente. Outra questão é o disco que deve ter baixa latência, ou
> seja se este disco é compartilhado com um banco de dados a possibilidade é
> ser o "vilão" é grande.
>
> Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para
> muitos usuários e enfrentando problema de performance, mas ele conseguiu
> solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro ate
> que a toca de mensagens atingiu um nível técnico muito bom.
>
> Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar a
> causa da sua queda significativa de performance efetuar algumas avaliações
> na sua configuração buscando tips & tricks (essa lista :-)) para discutir
> possíveis soluções.
>
> Abraço.
>
>
>
> Em 15-08-2013 14:06, hamacker escreveu:
>
>Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
> performance usando proxy squid e sem proxy squid (apenas iptables), a
> diferença de performance é muito maior usando apenas iptables. O problema
> com iptables é que não há autenticação e nem logs para saber como está
> sendo usado este acesso.
>
>  Eu acho que não, mas não custa perguntar:
>
>  Existe algo que permita o acesso transparente a internet, semelhante ao
> iptables+gateway, mas que contenha logs de acesso e autenticação?
>
>  O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que
> ajustar regras iptables+regras squid por causa de aplicações como
> caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é
> claro na queda de performance que isso dá.
>
>  Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>
>  []´s a todos.
>
>
>
> --
> Mauricio S.T. Neto
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[Mauricio S. T. Neto]

Hamacker boa noite.
Minha resposta pode ser considerada um tanto "off topic", mas vamos lá.
Claro que cada vez que você adiciona uma camada de software existe uma 
queda de performance mas pelo que sei o Squid é capaz de dar conta do 
recado com centenas (ou milhares) de conexões simultâneas. Será que não 
existe algum problema com sua configuração ou hardware?


É conhecimento corrente que existe uma relação de numero de conexões 
(usuários)  e necessidade de memória para que o squid possa trabalhar de 
forma eficiente. Outra questão é o disco que deve ter baixa latência, ou 
seja se este disco é compartilhado com um banco de dados a possibilidade 
é ser o "vilão" é grande.


Aqui nesta lista já faz algum tempo tivemos um amigo usando o Squid para 
muitos usuários e enfrentando problema de performance, mas ele conseguiu 
solucionar a questão seguindo as diversas dicas aqui discutidas. Lembro 
ate que a toca de mensagens atingiu um nível técnico muito bom.


Eu procuraria usar ferramentas do tipo iostat, sar, etc para identificar 
a causa da sua queda significativa de performance efetuar algumas 
avaliações na sua configuração buscando tips & tricks (essa lista :-)) 
para discutir possíveis soluções.


Abraço.


Em 15-08-2013 14:06, hamacker escreveu:
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a 
performance usando proxy squid e sem proxy squid (apenas iptables), a 
diferença de performance é muito maior usando apenas iptables. O 
problema com iptables é que não há autenticação e nem logs para saber 
como está sendo usado este acesso.


Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante 
ao iptables+gateway, mas que contenha logs de acesso e autenticação?


O squid aqui tá bem balanceado, mas para funcionar adequadamente tem 
que ajustar regras iptables+regras squid por causa de aplicações como 
caixa.gov.br <http://caixa.gov.br>, receita federal, etc... e 
sinceramente é um saco, além é claro na queda de performance que isso dá.


Talvez voces saibam um jeito melhor de lidar com isso ou usam outro 
proxy, sei lá, eu gostaria de experimentar outras alternativas.


[]´s a todos.




--
Mauricio S.T. Neto

Re: Proxy transparente similar a um acesso iptables, existe?

[Julio]

Cara pra ler os logs e aplicar restrições você pode usar : o zabbix , 
tem o recurso de ler logs com gatilhos chamados triggers , ou os 
monitores de segurança OSSEC ou o snortinline  . o ossec você pode criar 
os seus filtros de acordo com a necessidade


Em 15-08-2013 14:06, hamacker escreveu:
Pessoal, eu tô montando um novo servidor de internet e ao mostrar a 
performance usando proxy squid e sem proxy squid (apenas iptables), a 
diferença de performance é muito maior usando apenas iptables. O 
problema com iptables é que não há autenticação e nem logs para saber 
como está sendo usado este acesso.


Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante 
ao iptables+gateway, mas que contenha logs de acesso e autenticação?


O squid aqui tá bem balanceado, mas para funcionar adequadamente tem 
que ajustar regras iptables+regras squid por causa de aplicações como 
caixa.gov.br <http://caixa.gov.br>, receita federal, etc... e 
sinceramente é um saco, além é claro na queda de performance que isso dá.


Talvez voces saibam um jeito melhor de lidar com isso ou usam outro 
proxy, sei lá, eu gostaria de experimentar outras alternativas.


[]´s a todos.

Re: Proxy transparente similar a um acesso iptables, existe?

[Fabiano Pires]

Já procurou ver alguma solução tipo CaptivePortal, tipo o NoCatAuth? Se bem
me lembro, faz autenticação via HTTP e depois libera acesso via regras de
FW. A parte de autenticação deve ter algum log.

Fabiano Pires
http://pragasdigitais.blogspot.com/


Em 15 de agosto de 2013 16:58, hamacker  escreveu:

> Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o
> acesso.
>
>
> Em 15 de agosto de 2013 15:42, Gustavo  escreveu:
>
>> Hamacker,
>>
>>
>> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>>
>> Gustavo
>>
>>
>>
>>
>>
>> Em 2013-08-15 14:06, hamacker escreveu:
>>
>>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>>> diferença de performance é muito maior usando apenas iptables. O
>>> problema com iptables é que não há autenticação e nem logs para saber
>>> como está sendo usado este acesso.
>>>
>>> Eu acho que não, mas não custa perguntar:
>>>
>>> Existe algo que permita o acesso transparente a internet, semelhante
>>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>>
>>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>>> que ajustar regras iptables+regras squid por causa de aplicações como
>>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>>
>>> além é claro na queda de performance que isso dá.
>>>
>>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>>
>>> []´s a todos.
>>>
>>>
>>>
>>> Links:
>>> --
>>> [1] http://caixa.gov.br
>>>
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-**
>> requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
>> 6...@logicus.com.br<http://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br>
>>
>>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[hamacker]

Nao, porque neste caso eu não saberia quem foi a pessoa ou login que fez o
acesso.


Em 15 de agosto de 2013 15:42, Gustavo  escreveu:

> Hamacker,
>
> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>
> Gustavo
>
>
>
>
>
> Em 2013-08-15 14:06, hamacker escreveu:
>
>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>> diferença de performance é muito maior usando apenas iptables. O
>> problema com iptables é que não há autenticação e nem logs para saber
>> como está sendo usado este acesso.
>>
>> Eu acho que não, mas não custa perguntar:
>>
>> Existe algo que permita o acesso transparente a internet, semelhante
>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>
>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>> que ajustar regras iptables+regras squid por causa de aplicações como
>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>
>> além é claro na queda de performance que isso dá.
>>
>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>
>> []´s a todos.
>>
>>
>>
>> Links:
>> --
>> [1] http://caixa.gov.br
>>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
> 6...@logicus.com.br<http://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br>
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[Tobias Sette]

O iptables nao trabalha na mesma camada de rede que o squid, nao vai rolar
logs de sites acessados ou autenticação

Creio que a suas melhores alternativas sejam rever as regras de firewall e
squid OU procurar um outro software para proxy, tipo o tinyproxy

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 15 de agosto de 2013 15:42, Gustavo  escreveu:

> Hamacker,
>
> a flag --log-prefix não permite trabalhar com logs? /var/log/messages?
>
> Gustavo
>
>
>
>
>
> Em 2013-08-15 14:06, hamacker escreveu:
>
>> Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
>> performance usando proxy squid e sem proxy squid (apenas iptables), a
>> diferença de performance é muito maior usando apenas iptables. O
>> problema com iptables é que não há autenticação e nem logs para saber
>> como está sendo usado este acesso.
>>
>> Eu acho que não, mas não custa perguntar:
>>
>> Existe algo que permita o acesso transparente a internet, semelhante
>> ao iptables+gateway, mas que contenha logs de acesso e autenticação?
>>
>> O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
>> que ajustar regras iptables+regras squid por causa de aplicações como
>> caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
>>
>> além é claro na queda de performance que isso dá.
>>
>> Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
>> proxy, sei lá, eu gostaria de experimentar outras alternativas.
>>
>> []´s a todos.
>>
>>
>>
>> Links:
>> --
>> [1] http://caixa.gov.br
>>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/**38e33f90fccf5ed4005d3f87a7f718**
> 6...@logicus.com.br<http://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br>
>
>

Re: Proxy transparente similar a um acesso iptables, existe?

[Gustavo]

Hamacker,

a flag --log-prefix não permite trabalhar com logs? /var/log/messages?

Gustavo





Em 2013-08-15 14:06, hamacker escreveu:

Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
performance usando proxy squid e sem proxy squid (apenas iptables), a
diferença de performance é muito maior usando apenas iptables. O
problema com iptables é que não há autenticação e nem logs para saber
como está sendo usado este acesso.

Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante
ao iptables+gateway, mas que contenha logs de acesso e autenticação?

O squid aqui tá bem balanceado, mas para funcionar adequadamente tem
que ajustar regras iptables+regras squid por causa de aplicações como
caixa.gov.br [1], receita federal, etc... e sinceramente é um saco,
além é claro na queda de performance que isso dá.

Talvez voces saibam um jeito melhor de lidar com isso ou usam outro
proxy, sei lá, eu gostaria de experimentar outras alternativas.

[]´s a todos.



Links:
--
[1] http://caixa.gov.br



--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/38e33f90fccf5ed4005d3f87a7f71...@logicus.com.br

Proxy transparente similar a um acesso iptables, existe?

[hamacker]

Pessoal, eu tô montando um novo servidor de internet e ao mostrar a
performance usando proxy squid e sem proxy squid (apenas iptables), a
diferença de performance é muito maior usando apenas iptables. O problema
com iptables é que não há autenticação e nem logs para saber como está
sendo usado este acesso.

Eu acho que não, mas não custa perguntar:

Existe algo que permita o acesso transparente a internet, semelhante ao
iptables+gateway, mas que contenha logs de acesso e autenticação?

O squid aqui tá bem balanceado, mas para funcionar adequadamente tem que
ajustar regras iptables+regras squid por causa de aplicações como
caixa.gov.br, receita federal, etc... e sinceramente é um saco, além é
claro na queda de performance que isso dá.

Talvez voces saibam um jeito melhor de lidar com isso ou usam outro proxy,
sei lá, eu gostaria de experimentar outras alternativas.

[]´s a todos.

RE: Iptables & Squid - Preciso Bloquear o WhatsApp

[CássioElias .]

E aí?  O que deu essa pergunta?
O criador da pergunta adotou qual meio?Só uma curiosidade..

From: tobiase...@gmail.com
Date: Fri, 2 Aug 2013 17:21:51 -0300
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
To: he...@loureiro.eng.br
CC: debian-user-portuguese@lists.debian.org

De graça?! Até cd do windows vista!Att,

Tobias
http://gnu.eti.br
-BEGIN GEEK CODE BLOCK-


Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@ W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
--END GEEK CODE BLOCK--






Em 2 de agosto de 2013 17:13, Helio Loureiro  escreveu:


Quer que eu envie uma raquete elétrica pra esse momento?  Posso mandar 
autografada.
Abs,
Helio Loureiro
http://helio.loureiro.eng.br




http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro







Em 2 de agosto de 2013 16:34, Tobias Sette  escreveu:




Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um 
tempo, quando os aspectos tecnologicos estiverem melhores.Att,

Tobias






http://gnu.eti.br
-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@ W+++






!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+ r-- y?
--END GEEK CODE BLOCK--




Em 29 de julho de 2013 00:10, Helio Loureiro  escreveu:




Valeu pela parte que me toca sobre ser escroto. 

Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre como 
usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de "vantagem 
competitiva".  Eu e vc somos concorrentes na venda de serviços de instalação de 
servidores Debian,  por exemplo.  O que eu posso extrair dos ambientes 
computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? 
Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API 
pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. 








Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem 
estar caminhando pra uma falência mascarada.  Então aprendi sobre métricas e 
governança.  E seu uso. 

Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa 
trazer?  Vai aumentar as vendas pelos funcionários estarem mais focados ou vai 
criar um atrito onde todos vão fazer o mínimo possível pois, se  empresa tem 
tal mentalidade,  os funcionários não serão diferentes?  Estatisticamente, o 
segundo caso. A receita pro sucesso é ter o funcionário feliz.  Isso o motiva. 








Se sua empresa faz isso,  e seu concorrente não, logo os funcionários terão 
interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará 
sua empresa, pela perda de capacitação.  É um ciclo que não tem muita 
longevidade.  Empresas assim caminham rapidamente pro fracasso. 








E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago 
mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é o 
mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema, então 
deve ser monitorado e colcado num QoS menor.  Isso é estratégia de TI. 








Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou outras 
aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um telefone capaz 
de usar Internet de 50 centavos por dia,  e provavelmente o fará.  Então qual 
foi o ganho com essa política da empresa? 








Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.  Minha 
dica? Fuja o quanto antes. 

Abs, 

Helio Loureiro 

http://helio.loureiro.eng.br 

http://br.linkedin.com/in/helioloureiro 

http://twitter.com/helioloureiro 

http://gplus.to/helioloureiro

- sent via Android -

Em 28/07/2013 18:10, "P. J."  escreveu:







Opa,



Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",

mas tipo se é a empresa que banca a infra, tipo não seria ela quem

poderia definir como utilizar os seus recursos? Não quero entrar no

mérito disso ser positivo ou não para a produção, mas estamos num país

de terceiro mundo e será que vc sendo dono de uma empresa que não

precise de acesso a conteudo na internet para trabalhar iria gostar de

seus funcionários deixassem de alcançar metas diminuindo o seu lucro?

Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim

espero que não seja mal interpretado.



Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até

parecem que são parentes...rs! Mas naquela thread eu broquei

contigo...;-* apelar para o meu currículo é a tipica de falta de

argumento num debate... mas vou tomar vergonha na cara e contribuir

financeiramente com o debian



Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser

desde ubuntu com kde e todos os frufus que tiver direito até o do tio

BILL...K



Abraços

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Tobias Sette]

De graça?! Até cd do windows vista!

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 2 de agosto de 2013 17:13, Helio Loureiro escreveu:

> Quer que eu envie uma raquete elétrica pra esse momento?  Posso mandar
> autografada.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
>
>
> Em 2 de agosto de 2013 16:34, Tobias Sette escreveu:
>
> Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um
>> tempo, quando os aspectos tecnologicos estiverem melhores.
>>
>> Att,
>>
>> Tobias
>>  http://gnu.eti.br
>>
>> -BEGIN GEEK CODE BLOCK-
>> Version: 3.12
>> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
>> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e-
>> h+ r-- y?
>> --END GEEK CODE BLOCK--
>>
>>
>>
>> Em 29 de julho de 2013 00:10, Helio Loureiro escreveu:
>>
>> Valeu pela parte que me toca sobre ser escroto.
>>>
>>> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
>>> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
>>> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
>>> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
>>> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
>>> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
>>> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
>>> me diferenciar.
>>>
>>> Essa diferença, através da TI, é o que estudei e as maneiras de fazer
>>> isso sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
>>> métricas e governança.  E seu uso.
>>>
>>> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
>>> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
>>> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
>>> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
>>> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
>>> feliz.  Isso o motiva.
>>>
>>> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
>>> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
>>> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
>>> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>>>
>>> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
>>> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
>>> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
>>> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
>>> TI.
>>>
>>> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
>>> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
>>> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
>>> fará.  Então qual foi o ganho com essa política da empresa?
>>>
>>> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
>>> Minha dica? Fuja o quanto antes.
>>>
>>> Abs,
>>> Helio Loureiro
>>> http://helio.loureiro.eng.br
>>> http://br.linkedin.com/in/helioloureiro
>>> http://twitter.com/helioloureiro
>>> http://gplus.to/helioloureiro
>>> - sent via Android -
>>> Em 28/07/2013 18:10, "P. J."  escreveu:
>>>
>>> Opa,

 Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
 mas tipo se é a empresa que banca a infra, tipo não seria ela quem
 poderia definir como utilizar os seus recursos? Não quero entrar no
 mérito disso ser positivo ou não para a produção, mas estamos num país
 de terceiro mundo e será que vc sendo dono de uma empresa que não
 precise de acesso a conteudo na internet para trabalhar iria gostar de
 seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
 Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
 espero que não seja mal interpretado.

 Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
 parecem que são parentes...rs! Mas naquela thread eu broquei
 contigo...;-* apelar para o meu currículo é a tipica de falta de
 argumento num debate... mas vou tomar vergonha na cara e contribuir
 financeiramente com o debian

 Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
 desde ubuntu com kde e todos os frufus que tiver direito até o do tio
 BILL...K

 Abraços

 --
 |  .''`.   A fé não dá respostas. Só impede perguntas.
 | : :'  :
 | `. `'`
 |   `-   Je vois tout

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Quer que eu envie uma raquete elétrica pra esse momento?  Posso mandar
autografada.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 2 de agosto de 2013 16:34, Tobias Sette  escreveu:

> Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um
> tempo, quando os aspectos tecnologicos estiverem melhores.
>
> Att,
>
> Tobias
>  http://gnu.eti.br
>
> -BEGIN GEEK CODE BLOCK-
> Version: 3.12
> GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
> !N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
> r-- y?
> --END GEEK CODE BLOCK--
>
>
>
> Em 29 de julho de 2013 00:10, Helio Loureiro escreveu:
>
> Valeu pela parte que me toca sobre ser escroto.
>>
>> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
>> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
>> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
>> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
>> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
>> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
>> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
>> me diferenciar.
>>
>> Essa diferença, através da TI, é o que estudei e as maneiras de fazer
>> isso sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
>> métricas e governança.  E seu uso.
>>
>> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
>> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
>> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
>> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
>> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
>> feliz.  Isso o motiva.
>>
>> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
>> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
>> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
>> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>>
>> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
>> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
>> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
>> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
>> TI.
>>
>> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
>> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
>> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
>> fará.  Então qual foi o ganho com essa política da empresa?
>>
>> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
>> Minha dica? Fuja o quanto antes.
>>
>> Abs,
>> Helio Loureiro
>> http://helio.loureiro.eng.br
>> http://br.linkedin.com/in/helioloureiro
>> http://twitter.com/helioloureiro
>> http://gplus.to/helioloureiro
>> - sent via Android -
>> Em 28/07/2013 18:10, "P. J."  escreveu:
>>
>> Opa,
>>>
>>> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
>>> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
>>> poderia definir como utilizar os seus recursos? Não quero entrar no
>>> mérito disso ser positivo ou não para a produção, mas estamos num país
>>> de terceiro mundo e será que vc sendo dono de uma empresa que não
>>> precise de acesso a conteudo na internet para trabalhar iria gostar de
>>> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
>>> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
>>> espero que não seja mal interpretado.
>>>
>>> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
>>> parecem que são parentes...rs! Mas naquela thread eu broquei
>>> contigo...;-* apelar para o meu currículo é a tipica de falta de
>>> argumento num debate... mas vou tomar vergonha na cara e contribuir
>>> financeiramente com o debian
>>>
>>> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
>>> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
>>> BILL...K
>>>
>>> Abraços
>>>
>>> --
>>> |  .''`.   A fé não dá respostas. Só impede perguntas.
>>> | : :'  :
>>> | `. `'`
>>> |   `-   Je vois tout
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmas...@lists.debian.org
>>> Archive:
>>> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>>>
>>>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Tobias Sette]

Vou usar esse mesmo texto com a gerência aqui do trabalho, mas daqui a um
tempo, quando os aspectos tecnologicos estiverem melhores.

Att,

Tobias
http://gnu.eti.br

-BEGIN GEEK CODE BLOCK-
Version: 3.12
GCS/CM/G/H/IT/L/SS d?(--) s++:+ a-- C+++> UL++> P+ L+++>+ !E@W+++
!N o? K- w !O !M@ !V@ PS PE-- !Y@ PGP t+ 5? X? R+ !tv b+ DI>+ !D@ G e- h+
r-- y?
--END GEEK CODE BLOCK--



Em 29 de julho de 2013 00:10, Helio Loureiro escreveu:

> Valeu pela parte que me toca sobre ser escroto.
>
> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
> me diferenciar.
>
> Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso
> sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
> métricas e governança.  E seu uso.
>
> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
> feliz.  Isso o motiva.
>
> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>
> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
> TI.
>
> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
> fará.  Então qual foi o ganho com essa política da empresa?
>
> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
> Minha dica? Fuja o quanto antes.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
> - sent via Android -
> Em 28/07/2013 18:10, "P. J."  escreveu:
>
> Opa,
>>
>> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
>> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
>> poderia definir como utilizar os seus recursos? Não quero entrar no
>> mérito disso ser positivo ou não para a produção, mas estamos num país
>> de terceiro mundo e será que vc sendo dono de uma empresa que não
>> precise de acesso a conteudo na internet para trabalhar iria gostar de
>> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
>> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
>> espero que não seja mal interpretado.
>>
>> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
>> parecem que são parentes...rs! Mas naquela thread eu broquei
>> contigo...;-* apelar para o meu currículo é a tipica de falta de
>> argumento num debate... mas vou tomar vergonha na cara e contribuir
>> financeiramente com o debian
>>
>> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
>> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
>> BILL...K
>>
>> Abraços
>>
>> --
>> |  .''`.   A fé não dá respostas. Só impede perguntas.
>> | : :'  :
>> | `. `'`
>> |   `-   Je vois tout
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive:
>> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>>
>>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Rodolfo]

Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
Minha dica? Fuja o quanto antes.

Concordo com o Helio, porque eu tive esta experiencia de ter um gestor
estupido, e o filho da mae ganhava fama nas minhas costas, eu fazia tudo,
consertava tudo, mas descobri que na reuniao da cupula da fabrica, ele
dizia que era ele quem fazia as coisas ¬¬, simplesmente sai da empresa, ela
veio atraz de mim oferecendo varias coisas, mesmo assim eu me neguei a
trabalhar com aquele cara, eu ate estava precisando do emprego, mas nao
consigo trabalhar com gente mal carater desse tipo, eu me lasquei todo mas
dei a volta por cima, MAS NAO ACEITEI a proposta de trabalhar com aquele,
desculpe a expressao, vagab. que na verdade depois de um tempo foi
mandado embora porque descobriram (que merda, eu sempre avisei) que ele
alem de nao saber merda nenhuma do que fazia, so fez gastar grana a toa.


Em 28 de julho de 2013 23:10, Helio Loureiro escreveu:

> Valeu pela parte que me toca sobre ser escroto.
>
> Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
> como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
> "vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
> instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
> ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
> invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
> desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
> me diferenciar.
>
> Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso
> sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
> métricas e governança.  E seu uso.
>
> Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
> coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
> focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
> se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
> Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
> feliz.  Isso o motiva.
>
> Se sua empresa faz isso,  e seu concorrente não, logo os funcionários
> terão interesse em mudar pra lá, justamente por ter regras melhores. E isso
> afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
> muita longevidade.  Empresas assim caminham rapidamente pro fracasso.
>
> E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
> mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
> o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
> então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
> TI.
>
> Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
> outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
> telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
> fará.  Então qual foi o ganho com essa política da empresa?
>
> Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
> Minha dica? Fuja o quanto antes.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
> - sent via Android -
> Em 28/07/2013 18:10, "P. J."  escreveu:
>
> Opa,
>>
>> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
>> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
>> poderia definir como utilizar os seus recursos? Não quero entrar no
>> mérito disso ser positivo ou não para a produção, mas estamos num país
>> de terceiro mundo e será que vc sendo dono de uma empresa que não
>> precise de acesso a conteudo na internet para trabalhar iria gostar de
>> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
>> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
>> espero que não seja mal interpretado.
>>
>> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
>> parecem que são parentes...rs! Mas naquela thread eu broquei
>> contigo...;-* apelar para o meu currículo é a tipica de falta de
>> argumento num debate... mas vou tomar vergonha na cara e contribuir
>> financeiramente com o debian
>>
>> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
>> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
>> BILL...K
>>
>> Abraços
>>
>> --
>> |  .''`.   A fé não dá respostas. Só impede perguntas.
>> | : :'  :
>> | `. `'`
>> |   `-   Je vois tout
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive:
>> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>>
>>

RE: Iptables & Squid - Preciso Bloquear o WhatsApp

[CássioElias .]

Umm...acho que o pessoal já está começando a brigar. Cada um buscando mais 
poder que o outro.
Eu vejo as coisas assim. Bloqueie esse aplicativo ou site pela string lá no 
iptables. Você não vai bloquear o dia todo. Libere ele por exemplo no horário 
de almoço e depois do expediente. Com isso você deixa a opção de o usuário usar 
se quiser ou não. É claro para que ele use terá que dispor de algum tempo de 
seu horário de almoço ou ficar depois do expediente.
O pessoal está se perdendo numa simples pergunta.

Date: Mon, 29 Jul 2013 00:10:42 -0300
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
From: he...@loureiro.eng.br
To: pjotam...@gmail.com
CC: debian-user-portuguese@lists.debian.org

Valeu pela parte que me toca sobre ser escroto. 

Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre como 
usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de "vantagem 
competitiva".  Eu e vc somos concorrentes na venda de serviços de instalação de 
servidores Debian,  por exemplo.  O que eu posso extrair dos ambientes 
computacionais pra garantir que eu seja escolhido pro serviço ao invés de vc? 
Pode ser preço mais baixo, ou interface melhor, ou desenvolvimento de uma API 
pra iPad, mas alguma coisa eu vou tentar ter pra me diferenciar. 


Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso sem 
estar caminhando pra uma falência mascarada.  Então aprendi sobre métricas e 
governança.  E seu uso. 

Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de coisa 
trazer?  Vai aumentar as vendas pelos funcionários estarem mais focados ou vai 
criar um atrito onde todos vão fazer o mínimo possível pois, se  empresa tem 
tal mentalidade,  os funcionários não serão diferentes?  Estatisticamente, o 
segundo caso. A receita pro sucesso é ter o funcionário feliz.  Isso o motiva. 


Se sua empresa faz isso,  e seu concorrente não, logo os funcionários terão 
interesse em mudar pra lá, justamente por ter regras melhores. E isso afetará 
sua empresa, pela perda de capacitação.  É um ciclo que não tem muita 
longevidade.  Empresas assim caminham rapidamente pro fracasso. 


E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago 
mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é o 
mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema, então 
deve ser monitorado e colcado num QoS menor.  Isso é estratégia de TI. 


Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou outras 
aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um telefone capaz 
de usar Internet de 50 centavos por dia,  e provavelmente o fará.  Então qual 
foi o ganho com essa política da empresa? 


Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.  Minha 
dica? Fuja o quanto antes. 

Abs, 

Helio Loureiro 

http://helio.loureiro.eng.br 

http://br.linkedin.com/in/helioloureiro 

http://twitter.com/helioloureiro 

http://gplus.to/helioloureiro

- sent via Android -

Em 28/07/2013 18:10, "P. J."  escreveu:

Opa,



Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",

mas tipo se é a empresa que banca a infra, tipo não seria ela quem

poderia definir como utilizar os seus recursos? Não quero entrar no

mérito disso ser positivo ou não para a produção, mas estamos num país

de terceiro mundo e será que vc sendo dono de uma empresa que não

precise de acesso a conteudo na internet para trabalhar iria gostar de

seus funcionários deixassem de alcançar metas diminuindo o seu lucro?

Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim

espero que não seja mal interpretado.



Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até

parecem que são parentes...rs! Mas naquela thread eu broquei

contigo...;-* apelar para o meu currículo é a tipica de falta de

argumento num debate... mas vou tomar vergonha na cara e contribuir

financeiramente com o debian



Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser

desde ubuntu com kde e todos os frufus que tiver direito até o do tio

BILL...K



Abraços



--

|  .''`.   A fé não dá respostas. Só impede perguntas.

| : :'  :

| `. `'`

|   `-   Je vois tout





--

To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org

with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org

Archive: 
http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com




  

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Valeu pela parte que me toca sobre ser escroto.

Meu MBA é em gestão estratégica da TI.  Traduzindo rapidamente,  é sobre
como usar TI pra ganhar dos seus concorrentes.  Isso é  chamado de
"vantagem competitiva".  Eu e vc somos concorrentes na venda de serviços de
instalação de servidores Debian,  por exemplo.  O que eu posso extrair dos
ambientes computacionais pra garantir que eu seja escolhido pro serviço ao
invés de vc? Pode ser preço mais baixo, ou interface melhor, ou
desenvolvimento de uma API pra iPad, mas alguma coisa eu vou tentar ter pra
me diferenciar.

Essa diferença, através da TI, é o que estudei e as maneiras de fazer isso
sem estar caminhando pra uma falência mascarada.  Então aprendi sobre
métricas e governança.  E seu uso.

Numa empresa dessa (ou qualquer outra), que vantagem pode esse tipo de
coisa trazer?  Vai aumentar as vendas pelos funcionários estarem mais
focados ou vai criar um atrito onde todos vão fazer o mínimo possível pois,
se  empresa tem tal mentalidade,  os funcionários não serão diferentes?
Estatisticamente, o segundo caso. A receita pro sucesso é ter o funcionário
feliz.  Isso o motiva.

Se sua empresa faz isso,  e seu concorrente não, logo os funcionários terão
interesse em mudar pra lá, justamente por ter regras melhores. E isso
afetará sua empresa, pela perda de capacitação.  É um ciclo que não tem
muita longevidade.  Empresas assim caminham rapidamente pro fracasso.

E quanto aos custos?  Bem, o link de Internet já está lá, e sendo pago
mensalmente.  Cortando ou não serviço de whatsapp, o custo mensal do link é
o mesmo.  Mas e o consumo de banda?  Esse,  se é limitado e é um problema,
então deve ser monitorado e colcado num QoS menor.  Isso é estratégia de
TI.

Em ambientes fabris, realmente isso não importa,  de liberar whatsapp ou
outras aplicações. Mas hoje em dia,  quem usa whatsapp em geral tem um
telefone capaz de usar Internet de 50 centavos por dia,  e provavelmente o
fará.  Então qual foi o ganho com essa política da empresa?

Sim,  gerentes e diretores estúpidos de TI é o que mais se vê por aí.
Minha dica? Fuja o quanto antes.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro
- sent via Android -
Em 28/07/2013 18:10, "P. J."  escreveu:

> Opa,
>
> Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
> mas tipo se é a empresa que banca a infra, tipo não seria ela quem
> poderia definir como utilizar os seus recursos? Não quero entrar no
> mérito disso ser positivo ou não para a produção, mas estamos num país
> de terceiro mundo e será que vc sendo dono de uma empresa que não
> precise de acesso a conteudo na internet para trabalhar iria gostar de
> seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
> Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
> espero que não seja mal interpretado.
>
> Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
> parecem que são parentes...rs! Mas naquela thread eu broquei
> contigo...;-* apelar para o meu currículo é a tipica de falta de
> argumento num debate... mas vou tomar vergonha na cara e contribuir
> financeiramente com o debian
>
> Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
> desde ubuntu com kde e todos os frufus que tiver direito até o do tio
> BILL...K
>
> Abraços
>
> --
> |  .''`.   A fé não dá respostas. Só impede perguntas.
> | : :'  :
> | `. `'`
> |   `-   Je vois tout
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive:
> http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com
>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[P. J.]

Opa,

Hélio, nada pessoal e sem ressentimento, mas eu tb sou "pau mandado",
mas tipo se é a empresa que banca a infra, tipo não seria ela quem
poderia definir como utilizar os seus recursos? Não quero entrar no
mérito disso ser positivo ou não para a produção, mas estamos num país
de terceiro mundo e será que vc sendo dono de uma empresa que não
precise de acesso a conteudo na internet para trabalhar iria gostar de
seus funcionários deixassem de alcançar metas diminuindo o seu lucro?
Pergunto a TI pq vc é um cara mais calejado com essas coisas... em fim
espero que não seja mal interpretado.

Gosto do seu estilo tenho um amigo debiano mais escroto que vc, até
parecem que são parentes...rs! Mas naquela thread eu broquei
contigo...;-* apelar para o meu currículo é a tipica de falta de
argumento num debate... mas vou tomar vergonha na cara e contribuir
financeiramente com o debian

Sou promiscuo se o meu chefe paga em dia instalo o que ele quiser
desde ubuntu com kde e todos os frufus que tiver direito até o do tio
BILL...K

Abraços

-- 
|  .''`.   A fé não dá respostas. Só impede perguntas.
| : :'  :
| `. `'`
|   `-   Je vois tout


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: 
http://lists.debian.org/cacnf0pheklpkntcgq4of7s4wztu41-em5pvqeeczsh+tazw...@mail.gmail.com

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Julio]

Identifica os ips e hosts acessados e bloqueia eles no foward

Em 24-07-2013 22:00, CássioElias . escreveu:

Tenta bloquear a string "whatsapp" pelo IPtables.
Quero ver alguém passar. ^^"


Date: Wed, 24 Jul 2013 17:58:13 -0700
From: walbersan...@yahoo.com.br
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; 
debian-user-portuguese@lists.debian.org


Corrigindo

tcpdump

abç


*De:* Walber Santos 
*Para:* Henrique Fagundes ; 
"debian-user-portuguese@lists.debian.org" 


*Enviadas:* Quarta-feira, 24 de Julho de 2013 21:45
*Assunto:* Re: Iptables & Squid - Preciso Bloquear o WhatsApp

Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de destino.


abç



*De:* Henrique Fagundes 
*Para:* debian-user-portuguese@lists.debian.org
*Enviadas:* Quarta-feira, 24 de Julho de 2013 19:20
*Assunto:* Iptables & Squid - Preciso Bloquear o WhatsApp

Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste 
aplicativo. Eo pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao 
acesso, mas até agora não achei nada relevante.


Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br <mailto:magnat...@yahoo.com.br>
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com <http://listas.aprendendolinux.com/>

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com 
<mailto:aprendendolinux-subscr...@listas.aprendendolinux.com>




--
To UNSUBSCRIBE, email to 
debian-user-portuguese-requ...@lists.debian.org 
<mailto:debian-user-portuguese-requ...@lists.debian.org>
with a subject of "unsubscribe". Trouble? Contact 
listmas...@lists.debian.org <mailto:listmas...@lists.debian.org>
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br 
<http://lists.debian.org/51F0531E.9000804%40yahoo.com.br>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[PaulinhoLinux]

Olá Henrique,

Imagino bem a sua situação, trabalhei por um bom tempo como LinuxAdmin em uma 
unidade militar e a idéia de cumprimento de ordens se torna um pouco complicada 
de ser realmente entendida por algumas pessoas que não vivenciam situações 
assim.

Tenho certeza que o Hélio, tentou apresentar o ponto de vista dele, referente 
ao assunto, da melhor forma possível. Através das palavras dele e possível 
identificar a revolta por atitudes iguais a estas. Sei que é errado, mas por 
muitas vezes estas decisões não passam nem mesmo pela TI.

Mesmo não concordando com as políticas da empresa de bloquear o whatsapp 
considero uma atitude infantil virar as costas para uma pessoa que está pedindo 
ajuda. 

O problema dele é equivalente a inúmeras perguntas que surgem diariamente na 
lista, por exemplo como bloquear o facebook, youtube, etc... E nem por isso 
falamos pra pessoa, não te ajudo porque não concordo com a política da sua 
empresa.

O importante é que o problema está resolvido e foi divulgada a solução para 
futuros problemas semelhantes.

Até mais!

Enviado do Yahoo! Mail no Android

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Elegante é tratar os funcionário como gado.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 13:44, Henrique Fagundes
escreveu:

> Amigos,
>  Eu acho que alguns da lista ainda não entenderam o seguinte:
> Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
> Apenas cumpro ordens.
> A função de definir a politica da empresa não é minha.
>
> Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso
> fazer esse bloqueio.
> Mesmo sendo contra isso.
>
> Outra coisa.
> Já resolvi o problema bloqueando as portas 5222 e 5223 no firewall e
> bloqueando o domínio whatsapp.net no DNS.
>
> Ao HELIO LOUREIRO que nôs acompanha na íntegra, achei sua consideração
> sobre esse tópico como desnecessária e deselegante.
>
>
> Pronto, falei!
>
> Atenciosamente,
>
> Henrique Fagundes
> magnat...@yahoo.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.**com/ 
> http://www.facebook.com/**PortalAprendendoLinux
> http://youtube.com/**aprendendolinux/
> http://twitter.com/**aprendendolinux/
> __**__**__
> Participe do Grupo Aprendendo Linux BR
> http://listas.aprendendolinux.**com 
>
> Ou envie um e-mail para:
> aprendendolinux-subscribe@**listas.aprendendolinux.com
>
> Helio Loureiro escreveu:
>
>> Claro que entendo.  Por isso estou recomendando o uso da raquete.
>>
>> E certeza que a ordem de algo absurdo vem de alguém de cima, e que não
>> tem a menor idéia do que fazer, nem na parte técnica, e provavelmente nem
>> na parte de negócios da empresa.
>>
>> Mas vou ser bondoso e ajudar.
>>
>> Posso fazer a configuração como serviço de consultoria.  Cobro apenas R$
>> 500,00.  Por pessoa bloqueada.  E por mês.  De brinde, ainda forneço uma
>> raquete elétrica de matar mosquitos, que é super eficaz em fazer
>> funcionários manterem o foco.  Forneço gráficos de KPI para eventuais
>> auditorias de processos de governança, em estilo barra, pizza, linha ou
>> raquete de matar pernilongo.
>>
>> Abs,
>> Helio Loureiro
>> http://helio.loureiro.eng.br
>> http://br.linkedin.com/in/**helioloureiro
>> http://twitter.com/**helioloureiro 
>> http://gplus.to/helioloureiro
>>
>>
>> Em 25 de julho de 2013 12:24, Henrique Fagundes 
>> > magnat...@yahoo.com.br**>> escreveu:
>>
>>
>> Amigos,
>>
>> Eu acho que alguns da lista ainda não entenderam o seguinte:
>> Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
>> Apenas cumpro ordens.
>> A função de definir a politica da empresa não é minha.
>>
>> Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu
>> preciso fazer esse bloqueio.
>> Mesmo sendo contra isso.
>>
>> Pronto, falei!
>>
>>
>> Atenciosamente,
>>
>> Henrique Fagundes
>> magnat...@yahoo.com.br 
>>
>> Skype: magnata-br-rj
>> Linux User: 475399
>>
>> http://www.aprendendolinux.__**com/ > com/ >
>> 
>> http://www.facebook.com/__**PortalAprendendoLinux<
>> http://www.facebook.com/**PortalAprendendoLinux
>> >
>> 
>> http://youtube.com/__**aprendendolinux/<
>> http://youtube.com/**aprendendolinux/
>> >
>> 
>> http://twitter.com/__**aprendendolinux/<
>> http://twitter.com/**aprendendolinux/
>> >
>> __**__**
>> __
>>
>> Participe do Grupo Aprendendo Linux BR
>> http://listas.aprendendolinux.**__com > aprendendolinux.com >
>>
>>
>> Ou envie um e-mail para:
>> 
>> aprendendolinux-subscribe@__li**stas.aprendendolinux.com> aprendendolinux-**subscribe@listas.**aprendendolinux.com
>> >
>>
>>
>> Linux - Junior Polegato escreveu:
>>
>> Em 25-07-2013 00:45, Helio Loureiro escreveu:
>>
>>
>> Que catzo de produtividade ou vantagem competitiva a empresa
>> vai ter com essa atitude?  Aliás, atitude não, espírito de porco?  Vai
>> aumentar produtividade através da desmotivação dos funcionários?
>>
>>
>> Olha só, aqui aumentamos a produtividade e ainda economizamos com
>> isso, tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber,
>> WhatsApp, e outros, para contatos pessoais e profissionais, não ligam
>> ("telefonam") mais para famíli

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

MBA em gestão de TI.  Conhecimento profundo em práticas de gestão e
práticas idiotas.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 13:02, Humberto A. Sousa
escreveu:

>  Desculpa Helio, mas você é especialista em TI, administração de empresas
> ou psicologia?
>
> Na boa, a política da empresa dele não deve nos impossibilitar de
> colaborar tecnicamente com o rapaz. Uma coisa não tem nada a ver com a
> outra...
>
>
> Saudações,
>
>
> Humberto Araujo de sousahumbe...@dontec.com.br
>
> Em 25/07/2013 00:45, Helio Loureiro escreveu:
>
> Dá pra fazer no Linux, mas não vou ensinar isso.
>
> Estamos na era do conhecimento.  Trabalhamos baseados em "entrega",  não
> no modelo fordista,  onde cada um tem de produzir tantas peças por hora.
> Horário comercial e horas rígidas de trabalho não fazem mais sentido.
>
> Mas tem empresas que gostam de viver em eras medievais. Gerentes que ficam
> monitorando funcionários.
>
> Que catzo de produtividade ou vantagem competitiva a empresa vai ter com
> essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar
> produtividade através da desmotivação dos funcionários?
>
> Empresas de call center agem assim,  e é algo que beira a criminalidade
> pelas péssimas condições de trabalho. Só não é escravidão porque escravos
> têm condições mais descentes de trabalho.
>
> Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete.
>
> Abs,
> Helio Loureiro
> http://helio.loureiro.eng.br
> http://br.linkedin.com/in/helioloureiro
> http://twitter.com/helioloureiro
> http://gplus.to/helioloureiro
> - sent via Android -
> Em 25/07/2013 00:07, "Fabricio Cannini"  escreveu:
>
>> Em 24-07-2013 22:46, Helio Loureiro escreveu:
>>
>>> "pois pessoas estão deixando de trabalhar para ficar de bate papo
>>> através deste aplicativo. E o pior... Usando a internet da empresa."
>>>
>>> Isso não é uma empresa, é um campo de concentração.
>>>
>>> Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
>>> choque nas pessoas que estão usando celular.  É o que parece mais de
>>> acordo com as políticas da empresa.
>>>
>>
>>
>> HAHHAAHHAA , Hélio, tu é foda !
>>
>>
>> Mas falando sério, isso não é um problema de TI, e não vai ser resolvido
>> adequadamente usando TI .
>>
>> [ ]'s
>>
>>
>> --
>> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: http://lists.debian.org/51f09679.9050...@gmail.com
>>
>>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Henrique Fagundes]

Amigos,
 
Eu acho que alguns da lista ainda não entenderam o seguinte:

Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
Apenas cumpro ordens.
A função de definir a politica da empresa não é minha.

Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer 
esse bloqueio.
Mesmo sendo contra isso.

Outra coisa.
Já resolvi o problema bloqueando as portas 5222 e 5223 no firewall e bloqueando 
o domínio whatsapp.net no DNS.

Ao HELIO LOUREIRO que nôs acompanha na íntegra, achei sua consideração sobre 
esse tópico como desnecessária e deselegante.

Pronto, falei!

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com

Helio Loureiro escreveu:

Claro que entendo.  Por isso estou recomendando o uso da raquete.

E certeza que a ordem de algo absurdo vem de alguém de cima, e que não tem a 
menor idéia do que fazer, nem na parte técnica, e provavelmente nem na parte de 
negócios da empresa.

Mas vou ser bondoso e ajudar.

Posso fazer a configuração como serviço de consultoria.  Cobro apenas R$ 
500,00.  Por pessoa bloqueada.  E por mês.  De brinde, ainda forneço uma 
raquete elétrica de matar mosquitos, que é super eficaz em fazer funcionários 
manterem o foco.  Forneço gráficos de KPI para eventuais auditorias de 
processos de governança, em estilo barra, pizza, linha ou raquete de matar 
pernilongo.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 12:24, Henrique Fagundes mailto:magnat...@yahoo.com.br>> escreveu:

Amigos,

Eu acho que alguns da lista ainda não entenderam o seguinte:
Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
Apenas cumpro ordens.
A função de definir a politica da empresa não é minha.

Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso 
fazer esse bloqueio.
Mesmo sendo contra isso.

Pronto, falei!


Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br 
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.__com/ 
http://www.facebook.com/__PortalAprendendoLinux 

http://youtube.com/__aprendendolinux/ 
http://twitter.com/__aprendendolinux/ 
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.__com 

Ou envie um e-mail para:
aprendendolinux-subscribe@__listas.aprendendolinux.com 


Linux - Junior Polegato escreveu:

Em 25-07-2013 00:45, Helio Loureiro escreveu:


Que catzo de produtividade ou vantagem competitiva a empresa vai 
ter com essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar 
produtividade através da desmotivação dos funcionários?


Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, 
estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e 
profissionais, não ligam ("telefonam") mais para família, usam esses recursos, conversam 
por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz 
com clientes e fornecedores de todo mundo, além de uma alternativa mais "tempo real" ao o 
e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a 
diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os 
usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar 
essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às 
vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para 
manter contato com a família e com a empr

esa em

tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa 
otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não 
é fácil!

Bom, em vez de bloquear, tira proveito disso!

PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois 
tive que desbloquear (rsrsrs) a pedido da diretoria

[]'s
   Junior Polegato




--
To UNSUBSCRIBE, email to debian-user-portuguese-_

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Claro que entendo.  Por isso estou recomendando o uso da raquete.

E certeza que a ordem de algo absurdo vem de alguém de cima, e que não tem
a menor idéia do que fazer, nem na parte técnica, e provavelmente nem na
parte de negócios da empresa.

Mas vou ser bondoso e ajudar.

Posso fazer a configuração como serviço de consultoria.  Cobro apenas R$
500,00.  Por pessoa bloqueada.  E por mês.  De brinde, ainda forneço uma
raquete elétrica de matar mosquitos, que é super eficaz em fazer
funcionários manterem o foco.  Forneço gráficos de KPI para eventuais
auditorias de processos de governança, em estilo barra, pizza, linha ou
raquete de matar pernilongo.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 25 de julho de 2013 12:24, Henrique Fagundes
escreveu:

> Amigos,
>
> Eu acho que alguns da lista ainda não entenderam o seguinte:
> Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
> Apenas cumpro ordens.
> A função de definir a politica da empresa não é minha.
>
> Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso
> fazer esse bloqueio.
> Mesmo sendo contra isso.
>
> Pronto, falei!
>
>
> Atenciosamente,
>
> Henrique Fagundes
> magnat...@yahoo.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.**com/ 
> http://www.facebook.com/**PortalAprendendoLinux
> http://youtube.com/**aprendendolinux/
> http://twitter.com/**aprendendolinux/
> __**__**__
> Participe do Grupo Aprendendo Linux BR
> http://listas.aprendendolinux.**com 
>
> Ou envie um e-mail para:
> aprendendolinux-subscribe@**listas.aprendendolinux.com
>
> Linux - Junior Polegato escreveu:
>
>  Em 25-07-2013 00:45, Helio Loureiro escreveu:
>>
>>>
>>> Que catzo de produtividade ou vantagem competitiva a empresa vai ter com
>>> essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar
>>> produtividade através da desmotivação dos funcionários?
>>>
>>>
>> Olha só, aqui aumentamos a produtividade e ainda economizamos com isso,
>> tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e
>> outros, para contatos pessoais e profissionais, não ligam ("telefonam")
>> mais para família, usam esses recursos, conversam por escrito com amigos
>> sem deixar de atender pelo telefone e ainda conversam por escrito e por voz
>> com clientes e fornecedores de todo mundo, além de uma alternativa mais
>> "tempo real" ao o e-mail para troca de arquivos (vídeos, fotos, rascunhos,
>> orçamentos), investi (convencia a diretoria) em melhoria de velocidade e
>> qualidade de internet e uma parte da banda livre para os usuários de
>> tablets e smartphones no horário de almoço. Todos felizes e procurando
>> aprender a usar essas novas tecnologias. Colocamos tablets Android na mão
>> do pessoal técnico que fazem viagens, às vezes por idas, e estão felizes da
>> vida com a portabilidade e usabilidade, principalmente para manter contato
>> com a família e com a empresa em
>> tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa
>> otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos
>> não é fácil!
>>
>> Bom, em vez de bloquear, tira proveito disso!
>>
>> PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois
>> tive que desbloquear (rsrsrs) a pedido da diretoria
>>
>> []'s
>>   Junior Polegato
>>
>>
>>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**51f1431a.1070...@yahoo.com.br
>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Humberto A. Sousa]

Desculpa Helio, mas você é especialista em TI, administração de empresas 
ou psicologia?


Na boa, a política da empresa dele não deve nos impossibilitar de 
colaborar tecnicamente com o rapaz. Uma coisa não tem nada a ver com a 
outra...



Saudações,


Humberto Araujo de Sousa
humbe...@dontec.com.br

Em 25/07/2013 00:45, Helio Loureiro escreveu:


Dá pra fazer no Linux, mas não vou ensinar isso.

Estamos na era do conhecimento.  Trabalhamos baseados em "entrega",  
não no modelo fordista,  onde cada um tem de produzir tantas peças por 
hora.  Horário comercial e horas rígidas de trabalho não fazem mais 
sentido.


Mas tem empresas que gostam de viver em eras medievais. Gerentes que 
ficam monitorando funcionários.


Que catzo de produtividade ou vantagem competitiva a empresa vai ter 
com essa atitude?  Aliás, atitude não, espírito de porco?  Vai 
aumentar produtividade através da desmotivação dos funcionários?


Empresas de call center agem assim,  e é algo que beira a 
criminalidade pelas péssimas condições de trabalho. Só não é 
escravidão porque escravos têm condições mais descentes de trabalho.


Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro
- sent via Android -

Em 25/07/2013 00:07, "Fabricio Cannini" > escreveu:


Em 24-07-2013 22:46, Helio Loureiro escreveu:

"pois pessoas estão deixando de trabalhar para ficar de bate papo
através deste aplicativo. E o pior... Usando a internet da
empresa."

Isso não é uma empresa, é um campo de concentração.

Compre uma raquete elétrica, daquelas pra matar pernilogos, e
saia dando
choque nas pessoas que estão usando celular.  É o que parece
mais de
acordo com as políticas da empresa.



HAHHAAHHAA , Hélio, tu é foda !


Mas falando sério, isso não é um problema de TI, e não vai ser
resolvido adequadamente usando TI .

[ ]'s


-- 
To UNSUBSCRIBE, email to

debian-user-portuguese-requ...@lists.debian.org

with a subject of "unsubscribe". Trouble? Contact
listmas...@lists.debian.org 
Archive: http://lists.debian.org/51f09679.9050...@gmail.com

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Henrique Fagundes]

Amigos,

Eu acho que alguns da lista ainda não entenderam o seguinte:
Eu sou um mero colaborador de TI. Apenas um LinuxAdmin.
Apenas cumpro ordens.
A função de definir a politica da empresa não é minha.

Se a diretoria me mandou bloquear, mesmo sendo contra isso, eu preciso fazer 
esse bloqueio.
Mesmo sendo contra isso.

Pronto, falei!

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com

Linux - Junior Polegato escreveu:

Em 25-07-2013 00:45, Helio Loureiro escreveu:


Que catzo de produtividade ou vantagem competitiva a empresa vai ter com essa 
atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar produtividade 
através da desmotivação dos funcionários?



Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, tempo e dinheiro, 
estimulamos ao pessoal ter Skype, MSN, Viber, WhatsApp, e outros, para contatos pessoais e 
profissionais, não ligam ("telefonam") mais para família, usam esses recursos, conversam 
por escrito com amigos sem deixar de atender pelo telefone e ainda conversam por escrito e por voz 
com clientes e fornecedores de todo mundo, além de uma alternativa mais "tempo real" ao o 
e-mail para troca de arquivos (vídeos, fotos, rascunhos, orçamentos), investi (convencia a 
diretoria) em melhoria de velocidade e qualidade de internet e uma parte da banda livre para os 
usuários de tablets e smartphones no horário de almoço. Todos felizes e procurando aprender a usar 
essas novas tecnologias. Colocamos tablets Android na mão do pessoal técnico que fazem viagens, às 
vezes por idas, e estão felizes da vida com a portabilidade e usabilidade, principalmente para 
manter contato com a família e com a empresa em
tempo de atendimento a custo ínfimo. Falta agora um App/Site da empresa 
otimizado para Android, pois usar 2G entre 2 e 30 kbps na maioria dos casos não 
é fácil!

Bom, em vez de bloquear, tira proveito disso!

PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois tive que 
desbloquear (rsrsrs) a pedido da diretoria

[]'s
  Junior Polegato





--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f1431a.1070...@yahoo.com.br

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Linux - Junior Polegato]

Em 25-07-2013 00:45, Helio Loureiro escreveu:


Que catzo de produtividade ou vantagem competitiva a empresa vai ter 
com essa atitude?  Aliás, atitude não, espírito de porco?  Vai 
aumentar produtividade através da desmotivação dos funcionários?




Olha só, aqui aumentamos a produtividade e ainda economizamos com isso, 
tempo e dinheiro, estimulamos ao pessoal ter Skype, MSN, Viber, 
WhatsApp, e outros, para contatos pessoais e profissionais, não ligam 
("telefonam") mais para família, usam esses recursos, conversam por 
escrito com amigos sem deixar de atender pelo telefone e ainda conversam 
por escrito e por voz com clientes e fornecedores de todo mundo, além de 
uma alternativa mais "tempo real" ao o e-mail para troca de arquivos 
(vídeos, fotos, rascunhos, orçamentos), investi (convencia a diretoria) 
em melhoria de velocidade e qualidade de internet e uma parte da banda 
livre para os usuários de tablets e smartphones no horário de almoço. 
Todos felizes e procurando aprender a usar essas novas tecnologias. 
Colocamos tablets Android na mão do pessoal técnico que fazem viagens, 
às vezes por idas, e estão felizes da vida com a portabilidade e 
usabilidade, principalmente para manter contato com a família e com a 
empresa em tempo de atendimento a custo ínfimo. Falta agora um App/Site 
da empresa otimizado para Android, pois usar 2G entre 2 e 30 kbps na 
maioria dos casos não é fácil!


Bom, em vez de bloquear, tira proveito disso!

PS: tive que bloquear Facebook/Orkut a pedido da diretoria, mas depois 
tive que desbloquear (rsrsrs) a pedido da diretoria


[]'s
 Junior Polegato


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f113b0.5000...@juniorpolegato.com.br

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

Dá pra fazer no Linux, mas não vou ensinar isso.

Estamos na era do conhecimento.  Trabalhamos baseados em "entrega",  não no
modelo fordista,  onde cada um tem de produzir tantas peças por hora.
Horário comercial e horas rígidas de trabalho não fazem mais sentido.

Mas tem empresas que gostam de viver em eras medievais. Gerentes que ficam
monitorando funcionários.

Que catzo de produtividade ou vantagem competitiva a empresa vai ter com
essa atitude?  Aliás, atitude não, espírito de porco?  Vai aumentar
produtividade através da desmotivação dos funcionários?

Empresas de call center agem assim,  e é algo que beira a criminalidade
pelas péssimas condições de trabalho. Só não é escravidão porque escravos
têm condições mais descentes de trabalho.

Com certeza eu não vou ajudar algo assim. Eles que façam uso da raquete.

Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro
- sent via Android -
Em 25/07/2013 00:07, "Fabricio Cannini"  escreveu:

> Em 24-07-2013 22:46, Helio Loureiro escreveu:
>
>> "pois pessoas estão deixando de trabalhar para ficar de bate papo
>> através deste aplicativo. E o pior... Usando a internet da empresa."
>>
>> Isso não é uma empresa, é um campo de concentração.
>>
>> Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
>> choque nas pessoas que estão usando celular.  É o que parece mais de
>> acordo com as políticas da empresa.
>>
>
>
> HAHHAAHHAA , Hélio, tu é foda !
>
>
> Mas falando sério, isso não é um problema de TI, e não vai ser resolvido
> adequadamente usando TI .
>
> [ ]'s
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-user-portuguese-**requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**51f09679.9050...@gmail.com
>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Fabricio Cannini]

Em 24-07-2013 22:46, Helio Loureiro escreveu:

"pois pessoas estão deixando de trabalhar para ficar de bate papo
através deste aplicativo. E o pior... Usando a internet da empresa."

Isso não é uma empresa, é um campo de concentração.

Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
choque nas pessoas que estão usando celular.  É o que parece mais de
acordo com as políticas da empresa.



HAHHAAHHAA , Hélio, tu é foda !


Mas falando sério, isso não é um problema de TI, e não vai ser resolvido 
adequadamente usando TI .


[ ]'s


--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f09679.9050...@gmail.com

Iptables & Squid - Preciso Bloquear o WhatsApp

[PaulinhoLinux]

Hahaha estou rindo muito por aqui!
A galera mais experiente pode te ajudar mais do que eu, mas se fosse eu, o 
comandante do campo, tentaria bloquear pelo SQUID. Sei 
que vc pediu a solução para o iptables, mas é apenas uma sugestão!
Boa sorte!

Enviado do Yahoo! Mail no Android

---

PaulinhoLinux


e-mail paulinholinux arroba yahoo ponto com ponto br
skype paulinholinux 


"Ter problemas na vida é inevitável,
ser derrotado por eles é opcional."
---

 




 From:  Helio Loureiro ; 
To:  CássioElias . ; 
Cc:  debian-user-portuguese@lists.debian.org 
; 
Subject:  Re: Iptables & Squid - Preciso Bloquear o WhatsApp 
Sent:  Thu, Jul 25, 2013 1:46:45 AM 


"pois pessoas estão deixando de trabalhar para ficar de bate papo através 
deste aplicativo. E o pior... Usando a internet da empresa."

Isso não é uma empresa, é um campo de concentração.

Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando choque 
nas pessoas que estão usando celular.  É o que parece mais de acordo com as 
políticas da empresa.




Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro



Em 24 de julho de 2013 22:00, CássioElias .  escreveu:

Tenta bloquear a string "whatsapp" pelo IPtables.
>Quero ver alguém passar. ^^"
>
>
>
>
>Date: Wed, 24 Jul 2013 17:58:13 -0700
>From: walbersan...@yahoo.com.br
>Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
>To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; 
>debian-user-portuguese@lists.debian.org
>
>
>
>Corrigindo
>
>
>tcpdump
>
>
>abç
>
>
>
>
> De: Walber Santos 
>Para: Henrique Fagundes ; 
>"debian-user-portuguese@lists.debian.org" 
> 
>Enviadas: Quarta-feira, 24 de Julho de 2013 21:45
>Assunto: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
> 
>
>
>Kra
>
>Roda um tcpdumo e conecta do seu cel e faz o teste.
>
>
>Dai vc bloqueia a rede de
 destino.
>
>
>abç
>
>
>
>
>
>
>
> De: Henrique Fagundes 
>Para: debian-user-portuguese@lists.debian.org 
>Enviadas: Quarta-feira, 24 de Julho de 2013 19:20
>Assunto: Iptables & Squid - Preciso Bloquear o WhatsApp
> 
>
>Prezados Colegas,
>
>Saudações pinguianas a todos.
>
>Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
>estãodeixando de trabalhar para ficar de batepapo através deste
 aplicativo. Eo pior... Usando a internet da empresa.
>Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
>mas até agora não achei nada relevante.
>
>Alguém sabe como eu posso proceder?
>
>Atenciosamente,
>
>Henrique Fagundes
>magnat...@yahoo.com.br
>Skype: magnata-br-rj
>Linux User: 475399
>
>http://www.aprendendolinux.com/
>http://www.facebook.com/PortalAprendendoLinux
>http://youtube.com/aprendendolinux/
>http://twitter.com/aprendendolinux/
>__
>Participe do Grupo Aprendendo Linux BR
>http://listas.aprendendolinux.com
>
>Ou envie um e-mail para:
>aprendendolinux-subscr...@listas.aprendendolinux.com
>
>
>
>-- 
>To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
>with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
>Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
>
>
>
>
>
>

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Helio Loureiro]

"pois pessoas estão deixando de trabalhar para ficar de bate papo através
deste aplicativo. E o pior... Usando a internet da empresa."

Isso não é uma empresa, é um campo de concentração.

Compre uma raquete elétrica, daquelas pra matar pernilogos, e saia dando
choque nas pessoas que estão usando celular.  É o que parece mais de acordo
com as políticas da empresa.


Abs,
Helio Loureiro
http://helio.loureiro.eng.br
http://br.linkedin.com/in/helioloureiro
http://twitter.com/helioloureiro
http://gplus.to/helioloureiro


Em 24 de julho de 2013 22:00, CássioElias . escreveu:

> Tenta bloquear a string "whatsapp" pelo IPtables.
> Quero ver alguém passar. ^^"
>
> --
> Date: Wed, 24 Jul 2013 17:58:13 -0700
> From: walbersan...@yahoo.com.br
> Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
> To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br;
> debian-user-portuguese@lists.debian.org
>
>
> Corrigindo
>
> tcpdump
>
> abç
>
>   --
>  *De:* Walber Santos 
> *Para:* Henrique Fagundes ; "
> debian-user-portuguese@lists.debian.org" <
> debian-user-portuguese@lists.debian.org>
> *Enviadas:* Quarta-feira, 24 de Julho de 2013 21:45
> *Assunto:* Re: Iptables & Squid - Preciso Bloquear o WhatsApp
>
> Kra
>
> Roda um tcpdumo e conecta do seu cel e faz o teste.
>
>
> Dai vc bloqueia a rede de destino.
>
>
> abç
>
>
>   --
>  *De:* Henrique Fagundes 
> *Para:* debian-user-portuguese@lists.debian.org
> *Enviadas:* Quarta-feira, 24 de Julho de 2013 19:20
> *Assunto:* Iptables & Squid - Preciso Bloquear o WhatsApp
>
> Prezados Colegas,
>
> Saudações pinguianas a todos.
>
> Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas
> estãodeixando de trabalhar para ficar de batepapo através deste aplicativo.
> Eo pior... Usando a internet da empresa.
> Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao
> acesso, mas até agora não achei nada relevante.
>
> Alguém sabe como eu posso proceder?
>
> Atenciosamente,
>
> Henrique Fagundes
> magnat...@yahoo.com.br
> Skype: magnata-br-rj
> Linux User: 475399
>
> http://www.aprendendolinux.com/
> http://www.facebook.com/PortalAprendendoLinux
> http://youtube.com/aprendendolinux/
> http://twitter.com/aprendendolinux/
> __
> Participe do Grupo Aprendendo Linux BR
> http://listas.aprendendolinux.com
>
> Ou envie um e-mail para:
> aprendendolinux-subscr...@listas.aprendendolinux.com
>
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br
>
>
>
>
>
>

RE: Iptables & Squid - Preciso Bloquear o WhatsApp

[CássioElias .]

Tenta bloquear a string "whatsapp" pelo IPtables.Quero ver alguém passar. ^^"

Date: Wed, 24 Jul 2013 17:58:13 -0700
From: walbersan...@yahoo.com.br
Subject: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
To: walbersan...@yahoo.com.br; magnat...@yahoo.com.br; 
debian-user-portuguese@lists.debian.org

Corrigindo
tcpdump
abç
De: Walber Santos 
 Para: Henrique Fagundes ; 
"debian-user-portuguese@lists.debian.org" 
 
 Enviadas: Quarta-feira, 24 de Julho de 2013 21:45
 Assunto: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
   
Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de
 destino.


abç


De: Henrique Fagundes 
 Para: debian-user-portuguese@lists.debian.org 
 Enviadas: Quarta-feira, 24 de Julho de 2013 19:20
 Assunto: Iptables & Squid - Preciso Bloquear o WhatsApp
   
Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste
 aplicativo. Eo pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
mas até agora não achei nada relevante.

Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br





  

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Walber Santos]

Corrigindo

tcpdump

abç




 De: Walber Santos 
Para: Henrique Fagundes ; 
"debian-user-portuguese@lists.debian.org" 
 
Enviadas: Quarta-feira, 24 de Julho de 2013 21:45
Assunto: Re: Iptables & Squid - Preciso Bloquear o WhatsApp
 


Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de destino.


abç





 De: Henrique Fagundes 
Para: debian-user-portuguese@lists.debian.org 
Enviadas: Quarta-feira, 24 de Julho de 2013 19:20
Assunto: Iptables & Squid - Preciso Bloquear o WhatsApp
 

Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo 
pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
mas até agora não achei nada relevante.

Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br

Re: Iptables & Squid - Preciso Bloquear o WhatsApp

[Walber Santos]

Kra

Roda um tcpdumo e conecta do seu cel e faz o teste.


Dai vc bloqueia a rede de destino.


abç





 De: Henrique Fagundes 
Para: debian-user-portuguese@lists.debian.org 
Enviadas: Quarta-feira, 24 de Julho de 2013 19:20
Assunto: Iptables & Squid - Preciso Bloquear o WhatsApp
 

Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo 
pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
mas até agora não achei nada relevante.

Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com



-- 
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br

Iptables & Squid - Preciso Bloquear o WhatsApp

[Henrique Fagundes]

Prezados Colegas,

Saudações pinguianas a todos.

Surgiu a necessidade de bloquear o acesso ao whatsapp, pois pessoas 
estãodeixando de trabalhar para ficar de batepapo através deste aplicativo. Eo 
pior... Usando a internet da empresa.
Estou buscando aqui na Internet alguma maneira de fazer o bloquei ao acesso, 
mas até agora não achei nada relevante.

Alguém sabe como eu posso proceder?

Atenciosamente,

Henrique Fagundes
magnat...@yahoo.com.br
Skype: magnata-br-rj
Linux User: 475399

http://www.aprendendolinux.com/
http://www.facebook.com/PortalAprendendoLinux
http://youtube.com/aprendendolinux/
http://twitter.com/aprendendolinux/
__
Participe do Grupo Aprendendo Linux BR
http://listas.aprendendolinux.com

Ou envie um e-mail para:
aprendendolinux-subscr...@listas.aprendendolinux.com



--
To UNSUBSCRIBE, email to debian-user-portuguese-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/51f0531e.9000...@yahoo.com.br

Re: Regra IPTables Para Mascaramento

[paulo bruck]

Em 23 de julho de 2013 12:54, Leandro de Lima Camargo <
lean...@axtelecom.com.br> escreveu:

> Fagner,
> Você não precisa colocar a notação CIDR. Se não quiser mascarar estes IPs,
> apenas coloque ele sem máscara.
> Pois o firewall irá imaginar que é uma rede e irá tentar realizar a regra
> nos IPs dentro dela.
> Apenas coloque o IP e veja.
>
>
>
> Atenciosamente
> Leandro de Lima Camargo
>
> On 23/07/2013, at 11:45, Fagner Patricio 
> wrote:
>
> hum, vejam só, eu tinha mais duas regras depois dessas, pois tenho DMZs:
>
> -A POSTROUTING ! -s 200.199.79.80/28 -o eth1 -j MASQUERADE
> -A POSTROUTING ! -s 200.199.79.71/29 -o eth1 -j MASQUERADE
> -A POSTROUTING ! -s 200.199.79.68/30 -o eth1 -j MASQUERADE
>
> Quando eu tirei as duas ultimas deu certo, mas dai da a entender que ele
> executa todas as 3 regras, como eu faço para esse cenário da certo?
>
>
> Em 23 de julho de 2013 11:38, Leandro de Lima Camargo <
> lean...@axtelecom.com.br> escreveu:
>
>> Certeza que não têm um MASQUERADE geral antes?
>> Colocou essa regra como primeira?
>>
>>
>>
>>
>> Atenciosamente
>> Leandro de Lima Camargo
>>
>>
>> On 23/07/2013, at 11:11, Fagner Patricio 
>> wrote:
>>
>> Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo
>>
>> iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE
>>
>> DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse
>> 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo
>> rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66
>> que é a minha saída de internet do firewall, alguma idéia?
>>
>>
>> Em 23 de julho de 2013 11:07, Leandro de Lima Camargo <
>> lean...@axtelecom.com.br> escreveu:
>>
>>>
>>> iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE
>>>
>>>
>>> Mas olha…
>>> Os demais IPs são válidos também?
>>>
>>>
>>>
>>> Atenciosamente
>>> Leandro de Lima Camargo
>>>
>>>
>>> On 23/07/2013, at 11:00, Fagner Patricio 
>>> wrote:
>>>
>>> Olá Pessoal!!
>>>
>>> Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não
>>> quero que hava mascaramento para esse único IP e para todos os demais, como
>>> seria a regra do Iptables?
>>>
>>> --
>>> Fagner Patrício
>>> João Pessoa - PB
>>> Brasil
>>>
>>>
>>>
>>
>>
>> --
>> Fagner Patrício
>> João Pessoa - PB
>> Brasil
>>
>>
>>
>
>
> --
> Fagner Patrício
> João Pessoa - PB
> Brasil
>
>
>
imagine este cenario:

internet  eth1---firewall  eth0 rede local
  |
  | DMZ eth2
   ser email 172.16.0.2


# aqui vc redireciona tudo que entra do 200.199.79.91 para seu email
iptables -t nat -A PREROUTING -d 200.199.79.91 -j SNAT --to 172.16.0.2

# aqui a  regra de postrouting forçando seu email para sair com o ip que o
mundo conheçe..
iptables -t nat -A POSTROUTING -s 172.16.0.2 -j SNAT --to 200.199.79.91

# aqui a regra para o resto
iptables -t nat -A POSTROUTING -s "rede local" -j SNAT --to 200.199.79.66



OBS MASQUERADE é usado para ips dinamicos. pode ser usado para ip fixos mas
não é aconselhavel

[]s

Paulo Ricardo Bruck
consultor
tel 011 3596-4881/4882  011 98140-9184 (TIM)
http://www.contatogs.com.br
http://www.protejasuarede.com.br

Re: Regra IPTables Para Mascaramento

[Leandro de Lima Camargo]

Fagner,
Você não precisa colocar a notação CIDR. Se não quiser mascarar estes IPs, 
apenas coloque ele sem máscara.
Pois o firewall irá imaginar que é uma rede e irá tentar realizar a regra nos 
IPs dentro dela.
Apenas coloque o IP e veja.



Atenciosamente
Leandro de Lima Camargo

On 23/07/2013, at 11:45, Fagner Patricio  wrote:

> hum, vejam só, eu tinha mais duas regras depois dessas, pois tenho DMZs:
> 
> -A POSTROUTING ! -s 200.199.79.80/28 -o eth1 -j MASQUERADE
> -A POSTROUTING ! -s 200.199.79.71/29 -o eth1 -j MASQUERADE
> -A POSTROUTING ! -s 200.199.79.68/30 -o eth1 -j MASQUERADE
> 
> Quando eu tirei as duas ultimas deu certo, mas dai da a entender que ele 
> executa todas as 3 regras, como eu faço para esse cenário da certo?
> 
> 
> Em 23 de julho de 2013 11:38, Leandro de Lima Camargo 
>  escreveu:
> Certeza que não têm um MASQUERADE geral antes?
> Colocou essa regra como primeira?
> 
> 
> 
> 
> Atenciosamente
> Leandro de Lima Camargo
> 
> 
> On 23/07/2013, at 11:11, Fagner Patricio  wrote:
> 
>> Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo
>> 
>> iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE
>> 
>> DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse 
>> 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo 
>> rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66 
>> que é a minha saída de internet do firewall, alguma idéia?
>> 
>> 
>> Em 23 de julho de 2013 11:07, Leandro de Lima Camargo 
>>  escreveu:
>> 
>> iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE
>> 
>> 
>> Mas olha…
>> Os demais IPs são válidos também?
>> 
>> 
>> 
>> Atenciosamente
>> Leandro de Lima Camargo
>> 
>> 
>> On 23/07/2013, at 11:00, Fagner Patricio  wrote:
>> 
>>> Olá Pessoal!!
>>> 
>>> Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não 
>>> quero que hava mascaramento para esse único IP e para todos os demais, como 
>>> seria a regra do Iptables?
>>> 
>>> -- 
>>> Fagner Patrício
>>> João Pessoa - PB
>>> Brasil
>> 
>> 
>> 
>> 
>> -- 
>> Fagner Patrício
>> João Pessoa - PB
>> Brasil
> 
> 
> 
> 
> -- 
> Fagner Patrício
> João Pessoa - PB
> Brasil

Re: Regra IPTables Para Mascaramento

[Linux - Junior Polegato]

Em 23-07-2013 11:23, Fagner Patricio escreveu:

Aqui vai um cabeçalho:
[...]
Received: fromwebmail.cnpg.org.br  <http://webmail.cnpg.org.br>  
([200.199.79.66])
 bymx.google.com  <http://mx.google.com>  with ESMTP id 
f27si3423371yhl.134.2013.07.23.07.21.18
 formailto:fagner.patri...@gmail.com>>;
 Tue, 23 Jul 2013 07:21:19 -0700 (PDT)
Received-SPF: fail (google.com  <http://google.com>: domain ofsupo...@cnpg.org.br  
<mailto:supo...@cnpg.org.br>  does not designate 200.199.79.66 as permitted sender) 
client-ip=200.199.79.66;
Authentication-Results:mx.google.com  <http://mx.google.com>;
spf=hardfail (google.com  <http://google.com>: domain ofsupo...@cnpg.org.br  
<mailto:supo...@cnpg.org.br>  does not designate 200.199.79.66 as permitted sender) 
smtp.mail=supo...@cnpg.org.br  <mailto:supo...@cnpg.org.br>


Olá!

Quem está fazendo o mascaramento é o firewall que está no IP 
200.199.79.66. Neste, você deve colocar uma regra para aceitar o pacote 
sem modificações vindo do seu IP acima de todas as outras do POSTROUTING:


iptables -t nat -I POSTROUTING -o ethX -s 200.199.79.91 -j ACCEPT

[]'s
   Junior Polegato

Re: Regra IPTables Para Mascaramento

[Fagner Patricio]

Aqui vai um cabeçalho:

Delivered-To: fagner.patri...@gmail.com
Received: by 10.114.38.135 with SMTP id g7csp28062ldk;
Tue, 23 Jul 2013 07:21:20 -0700 (PDT)
X-Received: by 10.236.121.175 with SMTP id r35mr15105054yhh.50.1374589279379;
Tue, 23 Jul 2013 07:21:19 -0700 (PDT)
Return-Path: 
Received: from webmail.cnpg.org.br ([200.199.79.66])
by mx.google.com with ESMTP id f27si3423371yhl.134.2013.07.23.07.21.18
for ;
Tue, 23 Jul 2013 07:21:19 -0700 (PDT)
Received-SPF: fail (google.com: domain of supo...@cnpg.org.br does not
designate 200.199.79.66 as permitted sender) client-ip=200.199.79.66;
Authentication-Results: mx.google.com;
   spf=hardfail (google.com: domain of supo...@cnpg.org.br does
not designate 200.199.79.66 as permitted sender)
smtp.mail=supo...@cnpg.org.br
Received: from localhost (localhost [127.0.0.1])
by webmail.cnpg.org.br (Postfix) with ESMTP id 6CC682EE186
for ; Tue, 23 Jul 2013 11:21:16 -0300 (BRT)
X-Virus-Scanned: amavisd-new at cnpg.org.br
Received: from webmail.cnpg.org.br ([127.0.0.1])
by localhost (webmail.cnpg.org.br [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id 8BAdIm0tHaiF for ;
Tue, 23 Jul 2013 11:21:16 -0300 (BRT)
Received: from webmail.cnpg.org.br (webmail.cnpg.org.br [200.199.79.91])
by webmail.cnpg.org.br (Postfix) with ESMTP id 0F9162EE181
for ; Tue, 23 Jul 2013 11:21:16 -0300 (BRT)
Date: Tue, 23 Jul 2013 11:21:15 -0300 (BRT)
From: supo...@cnpg.org.br
To: fagner.patri...@gmail.com
Message-ID: <1026454534.101.1374589275917.javamail.r...@cnpg.org.br>
Subject: teste
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 7bit
X-Originating-IP: [10.128.4.2]
X-Mailer: Zimbra 7.2.1_GA_2790 (ZimbraWebClient - FF3.0 (Linux)/7.2.1_GA_2790)

ok




Em 23 de julho de 2013 11:11, Fagner Patricio
escreveu:

> Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo
>
> iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE
>
> DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse
> 200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo
> rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66
> que é a minha saída de internet do firewall, alguma idéia?
>
>
> Em 23 de julho de 2013 11:07, Leandro de Lima Camargo <
> lean...@axtelecom.com.br> escreveu:
>
>
>> iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE
>>
>>
>> Mas olha…
>> Os demais IPs são válidos também?
>>
>>
>>
>> Atenciosamente
>> Leandro de Lima Camargo
>>
>>
>> On 23/07/2013, at 11:00, Fagner Patricio 
>> wrote:
>>
>> Olá Pessoal!!
>>
>> Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não
>> quero que hava mascaramento para esse único IP e para todos os demais, como
>> seria a regra do Iptables?
>>
>> --
>> Fagner Patrício
>> João Pessoa - PB
>> Brasil
>>
>>
>>
>
>
> --
> Fagner Patrício
> João Pessoa - PB
> Brasil
>



-- 
Fagner Patrício
João Pessoa - PB
Brasil

Re: Regra IPTables Para Mascaramento

[Fagner Patricio]

Ok, minha regra já está assim mesmo, no caso uma faixa mesmo, tipo

iptables -t nat -A POSTROUTING ! -s 200.199.79.80/28 -j MASQUERADE

DEixa eu detalhar meu problema, eu tenho um servidor de e-mail, esse
200.199.79.91, mas quando eu mando e-mail minhas mensagens estão sendo
rejeitadas porque lá no destino aparece que quem mandou foi o 200.199.79.66
que é a minha saída de internet do firewall, alguma idéia?


Em 23 de julho de 2013 11:07, Leandro de Lima Camargo <
lean...@axtelecom.com.br> escreveu:

>
> iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE
>
>
> Mas olha…
> Os demais IPs são válidos também?
>
>
>
> Atenciosamente
> Leandro de Lima Camargo
>
>
> On 23/07/2013, at 11:00, Fagner Patricio 
> wrote:
>
> Olá Pessoal!!
>
> Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não
> quero que hava mascaramento para esse único IP e para todos os demais, como
> seria a regra do Iptables?
>
> --
> Fagner Patrício
> João Pessoa - PB
> Brasil
>
>
>


-- 
Fagner Patrício
João Pessoa - PB
Brasil

Re: Regra IPTables Para Mascaramento

[Leandro de Lima Camargo]

iptables -t nat -A POSTROUTING ! -s 200.199.79.91 -j MASQUERADE


Mas olha…
Os demais IPs são válidos também?



Atenciosamente
Leandro de Lima Camargo


On 23/07/2013, at 11:00, Fagner Patricio  wrote:

> Olá Pessoal!!
> 
> Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não 
> quero que hava mascaramento para esse único IP e para todos os demais, como 
> seria a regra do Iptables?
> 
> -- 
> Fagner Patrício
> João Pessoa - PB
> Brasil

Regra IPTables Para Mascaramento

[Fagner Patricio]

Olá Pessoal!!

Eu tenho um ip externo aqui, o 200.199.79.91 que está na minha DMZ e não
quero que hava mascaramento para esse único IP e para todos os demais, como
seria a regra do Iptables?

-- 
Fagner Patrício
João Pessoa - PB
Brasil