Respostas no Fórum
-
Posts
-
Pois é pessoal. Está instalado e funcionando perfeitamente. Até hoje não deu um problema sequer que eu não pudesse ou não tenha conseguido resolver de forma rápida. Está do jeito que eu queria, na medida do possível. É isso aí.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
Você tem que mudar na opção de firewall. Na versão 2.5.1 que é a que eu uso eu vou em firewall/trafego de saída e lá tem duas regras: allow HTTP e allow HTTPS, que são respectivamente as regras que deixam as portas 80 e 443 abertas no firewall. Essas regras precisam ser desativadas para que as portas sejam fechadas, e ninguém navegue fora do proxy. Procura alguma coisa parecido com esse caminho se a sua versão for anterior a 2.5.1
Seu proxy provavelmente está configurado como proxy transparente (Não precisa de estar com a configuração de proxy no navegador configurada), e as portas 80 e 443 do firewall estão abertas. Para isso não funcionar mais você vai ter que configurar o seu proxy como não transparente ou autenticado, consequentemente todos terão que ter a configuração no navegador para funcionar. Aí você fecha as portas 80 e 443 do firewall, que os espertinhos que não configurarem o navegador não vão conseguir passar porque a porta vai estar fechada.
Kra, vc é doido! Eu já nem lembro mais como faz essas configurações nesse modem ai de tão antigo! mas para deixar o Endian discar, primeiro você tem que desativar o roteamento do modem. Depois você vai no endian e configura ele como PPPoE (Esse modem é da Oi, certo?) e informa os dados de discagem, usuário e senha e boa, o firewall começa a discar e o modem vai fazer o papel de ponte. Aí todas as regras começam a ser controladas pelo firewall, mel na chupeta, fica muito mais fácil.
Fiquei sabendo que alguns modens roteados não aceitam a comunicação com os DVR´s. Não faz 5 minutos que eu liberei o acesso externo ao meu servidor de câmeras, e funcionou de primeira. Só que na minha infra meu modem não é roteado e quem faz a discagem pra internet é o Endian. No seu caso eu acho que você vai ter que fazer o seguinte:
– Primeiro você vai criar uma regra de redirecionamento externo no modem redirecionando tudo que entra na rede por essa porta e apontando para o Endian.
– Depois você vai lá no Endian, na guia Firewall e na opção Redirecionamento de porta /NAT você cria uma regra:
Entrada pela conexão Main, serviço definido pelo usuário, protocolo tcp+udp na porta 8200, traduzir para o IP do seu servidor de câmeras, Permitir com NAT, acesso a partir da conexão MAIN. Acho que vai funcionar blz.
O meu endian aqui é o 2.5.1. Instalei ele usando um link oi de 2 MB. Ele está em teste e só suportou 3 clientes nele até hoje e não deu lentidão, ao contrário, posso dizer que o meu link principal que é de 10 MB com o firewall antigo não é tão rápido quanto o meu Link de 2 MB com o Endian. É um dual core 2160 com hd sata de 80 GB, 2 GB ram e placa-mãe gigabyte. Oque eu tenho rodando nele é o proxy, o cron, o servidor web, ssh, syslog, e proxy DNS. Está com as portas 80 e 443 fechadas, e é autenticado no AD. Até agora não deu um problema de lentidão ou performace que seja. Dos 2 GB de memória eu deixei 1 GB pra cache de RAM e 2 GB pra cache de disco.
Simples, crie um filtro que libere as URL´s do MSN e do e-mail no mesmo filtro, ou um filtro que libere as URL`s do MSN e outro que libere as URL´s do E-mail. Abaixo desse filtro crie um que bloqueie tudo. Quando o sistema tentar acessar a URL do MSN e/ou do e-mail ele vai ler os dois filtros de cima, se o acesso for para outro site que não está nesse filtro ele vai ler o filtro de bloqueio e bloquear.
Cara, workgroup tem que ser configurado com o nome netbios do seu domínio. O nome FQDN do seu domínio é coflexcred.com.br certo? E o nome Netbios do seu dominio é coflexcred? Se não, informe qual é o nome do seu domínio pra gente poder analisar melhor aqui.
Sobre a sua primeira dúvida, os horários que estão fora desses horários não vi haver navegação, a não ser que haja uma regra abaixo deles liberando uma navegação, se não há uma regra liberando navegação ou uma regra abaixo dessas regras de horário então não ter acesso nenhum fora deles. Se não estiver certo disso, você pode criar uma regra que bloqueia tudo e deixá-la como última regra, assim, se nenhuma das regras de cima bater, o sistema bloqueia tudo como padrão. Agora para fazer funcionar na hora do almoço você está certo, apenas crie uma regra de permissão dentro desse horário que você quer e coloque acima das outras duas, que ela vai funcionar beleza.
Quanto as portas 80 e 443 do firewall, vou mantê-las fechadas a partir de agora e vou utilizar exclusivamente o meu proxy na porta 3128 que já está autenticando no AD (Não tenho regras de bloqueio ainda). Se surgir alguma necessidade de liberação das portas no futuro eu não sei, mas acho que o proxy vai dar conta do recado numa boa, pelo menos assim eu espero. Eu já ia me esquecendo, ontem também eu configurei o PING externo e o acesso externo à interface web do firewall, e também configurei o acesso RDP a dois servidores utilizando as portas externas 3389 e 3390, ambas encaminhand para as portas 3389 dos servidores internos. Ahhh, ativei também o acesso externo ao servidor de câmeras da Geovision. Funcinou, só não deu vídeo. Como isso não é prioridade não vou olhar agora, mesmo por que parece que o servidor não tá legal e talvez seja necessário refazê-lo.
Ontem eu fechei as portas 80 e 443 do firewall, e fiz a liberação do conectividade social, foi mais fácil do que eu pensei. Como eu havia falado antes e se não falei tô falando agora, eu uso o IE e o Firefox, o IE eu uso para fazer a navegação pelo proxy, o Firefox eu uso para fazer a navegação fora dele, assim eu consigo fazer testes mais consistentes. Para acessar o conectividade social eu precisava fazer pelo IE, então eu desativei o proxy dele e tentei fazer os acessos ao site cmt.caixa.gov.br e não funcionou (já era esperado), depois eu tentei fazer o acesso ao cmt.caixa.gov.br/cse e não funcionou (já era esperado), aí então eu tentei no cmt.caixa.gov.br/nova (Tinha uma esperança de que funcionasse mas não funcionou), tudo isso com o navegador IE sem proxy e as portas 80 e 443 do firewall liberadas. Fiz um nslookup no cmt.caixa.gov.br e recebi de volta o IP 200.201.173.68, mas não era esse que eu queria. Eu tenho aqui um programa chamado Cports da nirsoft que mostra as portas que estão abertas e qual aplicação que está usando a porta (a mesma coisa que o netstat só que em interface). Eu abri então esse programa, e, sabendo que o Conectividade usa o Java e o navegador que eu estava usando era o IE eu criei um filtro para mostrar apenas as conexões feitas pelo Java e pelo IE. Aí eu acessei o cmt.caixa.gov.br e vi que o IE chama o java e o java tenta abrir a porta 2631.
Oque eu fiz foi ir no firewall e criar uma regra no tráfego de saída que permite o acesso se origem “qualquer” para destino “qualquer” utilizando o protocolo “TCP” na porta 2631. Apliquei, fechei o navegador e acessei o endereço cmt.caixa.gov.br/cse. Nesse endereço funcionou de primeira. Eu vi que após autenticar o java faz 2 conexões com a porta 2631 e uma com uma outra porta do IE que eu não sei se é Aleatória ou não. A ordem parece ser a seguinte:
– O IE acessa o Conectividade e chama o java. Os dois ficam de quebradinha esperando o usuário autenticar;
– Autenticou! O java cria uma comunicação pela 2631 no IP 200.201.174.207 (esse cara eu não descobri quem é);
– Em seguida parece que o java abre a porta 2631 para conexão local e fica escutando nela. O IE estabelece uma comunicação localhost com essa porta 2631 do java. Dessa forma, o IE manda as informações para o Java (que é tipo um “proxy” do conectividade) que envia as informações para o 200.201.174.207 e ao receber as informações ele envia para o IE e chega na tela pra gente. Meio louco isso tudo, mas acho que é assim.
Bom, funcinou! Depois disso configurei o IE para passar pelo proxy, refiz os testes e funcionou do mesmo jeito. testei, retestei e testei de novo para não ter dúvidas. Depois que eu fiz vários testes com o proxy ativo e vi que não daria problema eu fui lá no firewall e fechei fechei as portas 80 e 443. Eu estava com receio de fechar essas portas e o conectividade parar de funcionar mas não aconteceu, ele continuou funcionando sem problemas. Eu usei mais um bocado, e depois eu refinei a regra. Refinei de duas maneiras. Uma delas deu erro a outra não. Antes o Destino era “qualquer” e a origem também era “qualquer”. Meu ajuste foi aqui. Eu defini a origem como zona verde e o destino como o IP 200.201.173.68 a porta é a mesma. NÃO FUNCIONOU. Não funcionou porque o o java conecta nessa porta no IP 200.201.174.207. Eu adicionei esse IP na regra também e FUNCIONOU. Aí eu removi o IP 200.201.173.68 da regra e CONTINUOU FUNCIONANDO. E cheguei a seguinte conclusão sobre o conectividade social, que sempre me assutou muito, mas agora que entendi como funciona, ficou parecendo um bebê: Não importa se você usa proxy transparente ou proxy autenticado, nenhum dos dois vai impedi-lo de acessar o conectividade social, Porque o site cmt.caixa.gov.br é apenas uma tela de autenticação que usa HTTP comum, basta que o proxy tenha acesso a essa página e pronto. E a porta 2631 também não deve estar aberta apontando para o ip 200.201.173.68 ou para o cmt.caixa.gov.br, ela deve estar aberta apontando para o IP 200.201.174.207, pois esse é o IP que o java faz conexão e todo o trabalho, o navegador não faz nada a não ser se comunicar com o java em localhost, então ele nem passa pelo firewall, uma vez autenticado o java faz todo o resto sozinho e precisa dessa porta 2631 pra comunicar com o servidor de lá. Acho que é isso
Pois é Eduardo, eu já consegui fazer a integração, e eu também já havia visitado o seu blog ontem. Só que pelo jeito que você fez no seu vídeo é bem fácil. O meu foi um pouco mais trabalhoso, como eu disse no link acima, meu domínio não é “padrão” foi aí que pegou toda a dor de cabeça. Mas já está resolvido, obrigado pela atenção.
Acho que não funcionaria. O proxy é transparente e o IP tá bypassando. Se ele adicionasse o host a uma regra que libere tudo, e acima dessa regra ele criasse uma regra que bloqueia os sites para aquele host específico talvez funcionasse, porém quando ele tentar navegar em sites com portas diferentes da 80…. provavelmente teria problemas.
