- Este tópico contém 14 respostas, 4 vozes e foi atualizado pela última vez 11 anos, 2 meses atrás por
.
-
Posts
-
-
Bom Pessoal, estou acompanhando alguns cases e outros tópicos de vocês, e essa é a primeira vez que vou usar o Endian. Vou explicá-los meu cenário e sugerir um case diferente, quero implantar e vou postar em tempo real os resultados. Meu cenário é o seguinte: Fui contratado por um escritório de contabilidade. São aproximadamento 60 usuários. Eu já tenho algum conhecimento em ISA 2006 e TMG 2010, e aqui na contabilidade o firewall usado atualmente é o BRFirewal, outra distribuição open. Só que esse firewall está todo desconfigurado, com regras redundantes, configurações mal-feitas e outras por fazer. Eu preciso instalar um firewall novo e verificar se “conversa” com conectividade, e outros sites do governo, se bloqueia, se autentica com AD essas coisas que todos nós queremos né. E fiquei em dúvida entre a nova versão do BrazilFirewall ou o Endian, e acabei optando por ele. Vou usar a versão mais nova que eu tenho, a 2.5.1. Ela está sendo o meu gateway secundário, o firewall antigo está sendo o gateway primário da rede, assim eu posso configurar esse firewall aqui dentro da mesma rede como se fosse uma situação real, só que as máquinas que vão passar por ele são escolhidas a dedo para os testes. Estou usando o link de backup. A ideia é que após a configuração do firewall estar concluída, que ele tenha dual-link, e possivelmente algumas comunicações exclusivas só em um link. Vamos começar então.
Wireguard_webadmin
Sistema gratuito (Open Source) para gestão de VPN's WireGuard com uma Web interface intuitiva e fácil de usar.
Principais funcionalidades:
- Sistema de Firewall completo e flexível.
- Encaminhamento de portas
- Suporte a multi usuário com níveis diferentes de acesso
- Múltiplas instâncias do Wireguard
- Crypto key routing para configuração de VPN site-to-site
O projeto é Open Source, fácil de instalar e está disponível em wireguard_webadmin
-
Meu primeiro problema hoje foi com a definição das senhas. Eu configurei as senhas e apertei enter. Ele pulou para a próxima etapada da configuração mas não salvou as senhas. Depois que eu apliquei as configurações pediu senha para acessar o web e a senha que eu coloquei não funcionou. Assim eu cheguei à conclusão de que há senhas default, e que ao apertar a tecla enter na tela de configuração de senhas ele não configura as senhas que digitou. Como eu não sei as senhas default eu reinstalei e comecei denovo.
-
Acabei de conseguir configurar o DNS Dinâmico. Na parte da manhã tentei configurar o DNS usando o no-ip. Tentei de todas as formas (Pela interface apenas) e não consegui fazer o no-ip funcionar. Resolvi usar o Dyndns, porém quando criei a conta no dyndns ele me pediu dados de cartão de crédito e blá e blá e blá e como eu vi que não ia dar em nada…. conectei nele com uma conta antiga que eu tenho, e com essa conta eu consegui criar a conta dyndns e na configuração do firewall funcionou de primeira. Só um detalhe do dyndns que pode servir para alguns. Quando eu fui escolher o domínio no dyndns, eu escolhi dyndns-office.com e passou numa boa, mas na segunda tentativa eu escolhi dyndns.org e ele pediu os dados do cartão do mesmo jeito, aí eu apaguei essa solicitação e fiquei com a primeira mesmo.
-
Eu esqueci de falar aqui, antes de configurar o DNS eu já havia configurado a conexão PPPoE para discagem pelo Oi Velox. Meu modem é daqueles modens Thompson da GVT. Na primeira vez que eu fui configurar o firewall para discar por PPPoE (há algumas semanas atrás) ele não discava, para resolver isso eu precisei primeiro acessar a interface desse modem da GVT que por padrão é roteado e desativar o roteamento dela, configurando o modem como Bridge PPPoE, dessa forma a discagem do firewall pôde passar por ele sem problema e estabelecer a conexão.
-
Me desculpem por escrever alguns posts fora de ordem, eu vou colocando na medida que eu vou lembrando. Nesse caso aqui eu esqueci de falar sobre o hardware do meu firewall. É uma máquina montada com processador Dual Core 2160 (se não me engano) HD sata de 80 GB e 2 GB de memória ram. Por hora ela tem 2 NIC, mas quando eu terminar isso tudo vou adicionar mais uma.
-
-
Monitoramento de tráfego foi ativado.
Dessa forma minha configuração de serviços está feita. Agora vou para a configuração de Firewall e Proxy. Meu objetivo é criar um proxy autenticado. Quero autenticar esse proxy no meu active directory, e não pretendo usar as blacklists pré-definida do dansguardian.
-
Com um pouco de dificuldade eu consegui compreender a ordem das regras e fazer funcionar. Não vou ter muito trabalho para fazê-las funcionar porque o meu ambiente é simples, mas se eu tiver, eu sei que é nó cego meu, porque funcionar funciona. Sobre a Autenticação integrada ao AD, eu fiz da seguinte forma.
Fui lá no nome do host e configurei ele com o nome de minha preferência .nomedomeudominio (Netbios). Fui na rede e adicionei os hosts que são os meus servidores AD. No proxy eu configurei a autenticação da seguinte maneira:
Domíno de autenticação:meudomino.com.br
número de processos, número de IP´s e os TTL´s eu deixei como está.
nome de domínio do servidor AD: meudominio.com.br
Nome do servidor primario do AD: meuservidor
IP do servidor primario do AD: IP do meu servidor
Nome do servidor secundario do AD: meuservidor
IP do servidor secundario do AD: ip do servdidor
Salvei e fui adicionar no AD. Usei usuário e senha de uma conta de administrador do AD e funcionou beleza… Só que, eu tive problemas, muitos, e preciso informar que eu estou tentando adicionar no AD desde quarta-feira passada. Eu tenho um tópico pronto, que eu discuti todos os meus problemas relacionado ao ingredo no AD com outro usuário, os problemas a soluções foram relatados nesse tópico. http://endian.eth0.com.br/topic/erro-ao-tentar-entrar-no-dominio-no-windows-server-2008-nao-e-r2
-
Cara, segue meu blog que la explico em um video de como integrar com o AD e Autenticação local do Proxy
http://eduardojonck.blogspot.com.br/
Qualquer duvida estamos ai, abraço!!!
-
Pois é Eduardo, eu já consegui fazer a integração, e eu também já havia visitado o seu blog ontem. Só que pelo jeito que você fez no seu vídeo é bem fácil. O meu foi um pouco mais trabalhoso, como eu disse no link acima, meu domínio não é “padrão” foi aí que pegou toda a dor de cabeça. Mas já está resolvido, obrigado pela atenção.
-
Ontem eu fechei as portas 80 e 443 do firewall, e fiz a liberação do conectividade social, foi mais fácil do que eu pensei. Como eu havia falado antes e se não falei tô falando agora, eu uso o IE e o Firefox, o IE eu uso para fazer a navegação pelo proxy, o Firefox eu uso para fazer a navegação fora dele, assim eu consigo fazer testes mais consistentes. Para acessar o conectividade social eu precisava fazer pelo IE, então eu desativei o proxy dele e tentei fazer os acessos ao site cmt.caixa.gov.br e não funcionou (já era esperado), depois eu tentei fazer o acesso ao cmt.caixa.gov.br/cse e não funcionou (já era esperado), aí então eu tentei no cmt.caixa.gov.br/nova (Tinha uma esperança de que funcionasse mas não funcionou), tudo isso com o navegador IE sem proxy e as portas 80 e 443 do firewall liberadas. Fiz um nslookup no cmt.caixa.gov.br e recebi de volta o IP 200.201.173.68, mas não era esse que eu queria. Eu tenho aqui um programa chamado Cports da nirsoft que mostra as portas que estão abertas e qual aplicação que está usando a porta (a mesma coisa que o netstat só que em interface). Eu abri então esse programa, e, sabendo que o Conectividade usa o Java e o navegador que eu estava usando era o IE eu criei um filtro para mostrar apenas as conexões feitas pelo Java e pelo IE. Aí eu acessei o cmt.caixa.gov.br e vi que o IE chama o java e o java tenta abrir a porta 2631.
Oque eu fiz foi ir no firewall e criar uma regra no tráfego de saída que permite o acesso se origem “qualquer” para destino “qualquer” utilizando o protocolo “TCP” na porta 2631. Apliquei, fechei o navegador e acessei o endereço cmt.caixa.gov.br/cse. Nesse endereço funcionou de primeira. Eu vi que após autenticar o java faz 2 conexões com a porta 2631 e uma com uma outra porta do IE que eu não sei se é Aleatória ou não. A ordem parece ser a seguinte:
– O IE acessa o Conectividade e chama o java. Os dois ficam de quebradinha esperando o usuário autenticar;
– Autenticou! O java cria uma comunicação pela 2631 no IP 200.201.174.207 (esse cara eu não descobri quem é);
– Em seguida parece que o java abre a porta 2631 para conexão local e fica escutando nela. O IE estabelece uma comunicação localhost com essa porta 2631 do java. Dessa forma, o IE manda as informações para o Java (que é tipo um “proxy” do conectividade) que envia as informações para o 200.201.174.207 e ao receber as informações ele envia para o IE e chega na tela pra gente. Meio louco isso tudo, mas acho que é assim.
Bom, funcinou! Depois disso configurei o IE para passar pelo proxy, refiz os testes e funcionou do mesmo jeito. testei, retestei e testei de novo para não ter dúvidas. Depois que eu fiz vários testes com o proxy ativo e vi que não daria problema eu fui lá no firewall e fechei fechei as portas 80 e 443. Eu estava com receio de fechar essas portas e o conectividade parar de funcionar mas não aconteceu, ele continuou funcionando sem problemas. Eu usei mais um bocado, e depois eu refinei a regra. Refinei de duas maneiras. Uma delas deu erro a outra não. Antes o Destino era “qualquer” e a origem também era “qualquer”. Meu ajuste foi aqui. Eu defini a origem como zona verde e o destino como o IP 200.201.173.68 a porta é a mesma. NÃO FUNCIONOU. Não funcionou porque o o java conecta nessa porta no IP 200.201.174.207. Eu adicionei esse IP na regra também e FUNCIONOU. Aí eu removi o IP 200.201.173.68 da regra e CONTINUOU FUNCIONANDO. E cheguei a seguinte conclusão sobre o conectividade social, que sempre me assutou muito, mas agora que entendi como funciona, ficou parecendo um bebê: Não importa se você usa proxy transparente ou proxy autenticado, nenhum dos dois vai impedi-lo de acessar o conectividade social, Porque o site cmt.caixa.gov.br é apenas uma tela de autenticação que usa HTTP comum, basta que o proxy tenha acesso a essa página e pronto. E a porta 2631 também não deve estar aberta apontando para o ip 200.201.173.68 ou para o cmt.caixa.gov.br, ela deve estar aberta apontando para o IP 200.201.174.207, pois esse é o IP que o java faz conexão e todo o trabalho, o navegador não faz nada a não ser se comunicar com o java em localhost, então ele nem passa pelo firewall, uma vez autenticado o java faz todo o resto sozinho e precisa dessa porta 2631 pra comunicar com o servidor de lá. Acho que é isso
-
Quanto as portas 80 e 443 do firewall, vou mantê-las fechadas a partir de agora e vou utilizar exclusivamente o meu proxy na porta 3128 que já está autenticando no AD (Não tenho regras de bloqueio ainda). Se surgir alguma necessidade de liberação das portas no futuro eu não sei, mas acho que o proxy vai dar conta do recado numa boa, pelo menos assim eu espero. Eu já ia me esquecendo, ontem também eu configurei o PING externo e o acesso externo à interface web do firewall, e também configurei o acesso RDP a dois servidores utilizando as portas externas 3389 e 3390, ambas encaminhand para as portas 3389 dos servidores internos. Ahhh, ativei também o acesso externo ao servidor de câmeras da Geovision. Funcinou, só não deu vídeo. Como isso não é prioridade não vou olhar agora, mesmo por que parece que o servidor não tá legal e talvez seja necessário refazê-lo.
-
-
-
Mbard consegui bloquear aqui na empresa o acesso ao facebook e youtube pelo https. é facil… vc precisa user o commando nslookup ex no prompt digite nslookup facebook.com, ai aparecerá as redes usadas pelo facebook. crie uma regra na firewall saida apontando estes ip´s de rede seguido da mascara xxx.xxx.xxx.xxx/16 por ex. Aqui ta funcionando perfeito. abs
-
- O tópico ‘Iniciando com o Endian Firewall’ está fechado para novas respostas.