Respostas no Fórum
-
AutorPosts
-
Eduardo SilvaParticipante
Camarada, o Endian não envia nada para a internet sem mais nem menos, você pode usar o ntop que já vem instalado com o endian para tentar identificar o que está trafegando, se você se sentir a vontade com o bash, pode usar o iftop para ver em tempo real o consumo de rede (precisa instalar). tcpdump também pode ajudar.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
dezembro 1, 2014 às 10:55 am em resposta a: Alterar regras de redirecionamento de portas com iptables #19744Eduardo SilvaParticipanteDando uma melhoradinha no script citado e combinando com as informações de regras personalizadas do endian:
#!/bin/bash hosts="riverraid.eth0.com.br enduro.eth0.com.br" proto=tcp port=3389 #ip do endian na interface RED efw_ip=192.168.123.123 internal_ip=192.16.1.10 IPT=/sbin/iptables # Limpa regras custom (se tiver outras regras inseridas nestas cadeias elas vao desaparecer!) $IPT -t nat -F CUSTOMPREROUTING $IPT -t filter -F CUSTOMFORWARD for ddns in $hosts do $IPT -t nat -A CUSTOMPREROUTING -s $ddns -d $efw_ip -p $proto --dport $port -j DNAT --to-dest ${internal_ip}:${port} $IPT -A CUSTOMFORWARD -s $ddns -d $internal_ip -p $proto --dport $port done
observar que:
- Escrevi rapidamente o script acima e não testei o código!! a princípio deveria funcionar
- Funciona de uma forma simples e ineficiente, seria interessante implementar uma rotina para verificar se o ip aplicado mudou, evitando reaplicar regras desnecessariamente
- Basta colocar este script no cron com as suas alterações para executar a cada 10 minutos
Uma maneira mais simples de jogar o ip do host em uma variável seria:
ip=$( host enduro.eth0.com.br |grep -o '[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}\.[0-9]\{1,3\}')
Observação importante:
A melhor forma de liberar acesso externo para um consultor, seria usando o serviço de VPN. Com o firewall do endian você ainda poderia definir de uma forma bem flexível, quais recursos que o consultor teria acesso.[]’s
Eduardo SilvaParticipanteObservar que o script de testes do shellshocker.net também pode ser usado em praticamente qualquer sistema que use bash
Eduardo SilvaParticipanteVinícius,
Nas configurações de rede do endian, ele sempre mostra o macaddress de cada placa. Se você souber os respectivos macs, fica fácil.
Outra forma interessante para identificar as placas de rede, é através de ssh ou via terminal mesmo, usar o aplicativo mii-tool.
O parâmetro -w fica monitorando as interfaces de rede, basta desconectar ou conectar um cabo de rede, que ele vai mostrar na tela qual placa que foi alterada.
ficaria: “mii-tool -w”
[]’s
Eduardo SilvaParticipantedá uma olhada em /var/log/messages e veja se encontra alguma mensagem que possa indicar algum problema
[]’s
Eduardo SilvaParticipanteBruno,
Se você estiver usando o proxy para bloquear o facebook, você pode editar manualmente as páginas de bloqueio do proxy, para redirecionar automaticamente para o dominio do pudim.
Você também pode editar a página de bloqueio do proxy para que ela pareça com o pudim 😛
março 6, 2014 às 11:53 am em resposta a: Configurar OPEN VPN e firewall quando ele esta em modo DHCP #18517Eduardo SilvaParticipanteWilliams,
Você precisa configurar o seu modem gvt para redirecionar as portas usadas pelo openvpn para o endian.
Provavelmente é isso que está faltando.[]’s
Eduardo SilvaParticipantehyggorh,
Isso é algo que você vai precisar garimpar por baixo com bastante atenção.
Dá para fazer, mas verificar todos os detalhes consome bastante tempo.
[]’s
Eduardo SilvaParticipanteThiago,
Uso Endian + Asterisk a anos sem problemas. Ambos funcionam muito bem juntos.
Para tirar as suas dúvidas faça o seguinte:
Logue no endian via ssh e como root digite:
iptables -I FORWARD -s <ip_do_servidor_asterisk> -j ACCEPT
depois veja se o seu asterisk registra e funciona como deveria.
Se funcionar: o problema está em algum lugar nas suas regras de firewall
Se não funcionar: o problema está na configuração do seu asterisk e/ou servidor remoto.[]’s
Eduardo SilvaParticipanteOpenVPN funciona também, você pode converter os certificados do pfsense para .pem
Eduardo SilvaParticipante2 placas vermelhas para 2 uplinks distintos correto? Sim, é suportado
2 placas na rede verde? Qual seria o objetivo? Dividir redes locais? Sim é possível, a forma mais adequada seria uma “cor” para cada placa. Ex: uma verde e uma azul.
[]’s
Eduardo SilvaParticipanteOpa,
Não entendi bem o que você está tentando fazer, mas pelo que eu percebi, você quer usar os mesmos certificados para a matriz e filiais para que os usuários possam conectar em qualquer unidade. seria isso?
Essa não me parece ser uma ideia muito boa. Porque não manter cada unidade com a sua respectiva chave?
[]’s
Eduardo SilvaParticipanteVocê vai precisar colocar o seu endian “no caminho” para poder realizar a filtragem. Pelo que eu entendi, o tráfego da sua rede não passa pelo endian. Eu tentaria reorganizar a rede.
A forma mais simples que eu vejo, seria separando o seu acesso a internet do router mpls. Mas isso iria exigir reconfiguração do roteador mpls.
Com o acesso a internet separado da rede mpls, eu faria da seguinte forma:
Internet ligando na RED do endian.
router MPLS ligando na rede GREEN do endian. Observar que a rede green seria apenas uma rede de interligação. Exemplos: endian – 10.10.10.10/30 roteador mpls 10.10.10.9/30No roteador mpls, faria a configuração de gateway padrão apontando para o ip do endian (10.10.10.10), com o source nat/masquerade desativado (assim o endian veria os ips originais das estações).
No endian criaria rotas estáticas para as redes 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 apontando para o ip 10.10.10.9
[]’s
Eduardo SilvaParticipanteSe você for usar um roteador para gerenciar múltiplas redes, você pode criar as rotas para subnets na web interface em Network \ Routing
[]’s
Eduardo SilvaParticipanteLucas, o proxy transparente realmente traz alguns problemas, prefiro sempre proxy não transparente mesmo que não use autenticação.
O que eu quis dizer no post anterior, é que provavelmente o computador que recebe dhcp está funcionando, porquê ele recebe a configuração de proxy via dhcp, e o navegador deve estar configurado para “detectar proxy automaticamente”.
Quando configurar a máquina manualmente, experimente ir no navegador e definir as configurações de proxy de forma manual.
[]’s
-
AutorPosts