Liberações comuns em firewall
31 01 2008Quando se faz um servidor de firewall numa empresa, é óbvio que entre as melhores praticas está deixar o forward das estações fechado, e liberar só o que precisa.
Mas tem certos serviços que precisam ficar liberados, e em qualquer empresa mais cedo ou mais tarde vão pedir pro administrador liberar.
A idéia desse tópico é ir adicionando aqui gradativamente os serviços comuns e portas usadas pelos mesmos.
Receitanet
Porta 3456 tcp
Liberar saída pra internet com essa porta de destino. No iptables basta criar uma regra simples de forward:
iptables -A FORWARD -p tcp –dport 3456 -j ACCEPT
No isa tem que criar um protocolo com o nome receitanet, usando essa porta e depois a regra libando a saída de dados da rede local com destino a essa porta.
Conectividade social
Procedimentos a serem feitos no servidor de firewall para liberar software conectividade social para a rede interna:
Liberar conexão pela porta 80, 443 e 2631 para esse dois ranges IP
200.201.173.0/255.255.255.0
200.201.174.0/255.255.255.0
Googletalk
Para se conectar ao Google Talk e começar a enviar mensagens instantâneas, é necessário ativar as conexões TCP com talk.google.com na porta 5222 ou na porta 443.
fonte: http://www.google.com/support/talk/bin/answer.py?hl=br&answer=27930
mais alguns …
#Liberacao do Banco Santander
-A FORWARD -p tcp -m tcp –dport 7700 -j ACCEPT
#Liberacao da Caixa Economica Federal
-A FORWARD -p tcp -m tcp –dport 3005 -j ACCEPT
#Liberacao do Receita.Net
-A FORWARD -p tcp -m tcp –dport 3456 -j ACCEPT
#Liberacao do webupdate do ePO
-A FORWARD -p tcp -m tcp –dport 4080 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 4081 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 8081 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 8082 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 8083 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 8443 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 8444 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 8080 -j ACCEPT
#Liberacao do CAGED
-A FORWARD -p tcp -m tcp –dport 2500 -j ACCEPT
#Liberação do CAT
-A FORWARD -p tcp -m tcp –dport 5017 -j ACCEPT
-A FORWARD -p udp -m udp –dport 5017 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 1050 -j ACCEPT
-A FORWARD -p udp -m udp –dport 1050 -j ACCEPT
#Liberacao do Chat Clicrbs
-A FORWARD -p tcp -m tcp –dport 6543 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 6544 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 23161 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 443 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 4001 -j ACCEPT
#Liberacao da SEFIP
-A FORWARD -p tcp -m tcp –dport 1103 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 1105 -j ACCEPT
#Liberacao da Guia ICMS
-A FORWARD -p tcp -m tcp –dport 8017 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 3007 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 143 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 21 -j ACCEPT
-A FORWARD -p tcp -m tcp –dport 80 -j ACCEPT
-A FORWARD -p udp -m udp –dport 80 -j ACCEPT
Olá Vinicius,
Estou precisando da sua ajuda, é que estou acessando um site utilizando o internet explorer, mas pra meu azar uma mensagem de bloqueio da porta 5222 aparece.
O que posso fazer para desbloquear essa porta?
Desde já agradeço e gostaria de dá meus parabens pelo blog
Mykael
Olá Mykael, obrigado pela visita e comentário.
Cara, qual é esse site que vc está acessando e recebendo essa mensagem? Normalmente a porta 5222 não é utilizada por um site, e sim pelo jabber…
que é um protocolo de mensagens instantaneas.
abraço
[...] É comum pros administradores de rede a necessidade de liberar o acesso para estações com destino aos servidores da Conectividade Social, conforme já comentado aqui em posts anteriores. [...]
OI….precisoo de ajuda…o meo msn nao abre de jeito nenhum…da o erro 80072edf e diz q o firewall esta bloqueando o msn..mas eo voh lah no firewall e coloco o msn como excessao e nao adianta nada continua o erro…aih eo baxei otra vez o msn e continua nao dando certo…jha desativei o firewall e nada adiantou…oq eu faço???
por favor me ajude!!!!!!!! Paulo
Olá Paulo,
Verifique se o fuso horário do seu computador, e o horário do relógio do windows estão corretos. O kerberos, que faz a autenticação do msn, retorna erro se houver muita disparidade no horário…
Fora isso cara, são inúmeros fatores que podem causar o problema, eu precisaria acessar a máquina pra poder te ajudar …
Obrigado pela visita ao blog e boa sorte!
O horário está certo. Eu vou ter q levar em um técnico mesmo.
obrigado
Amigo, trabalho com uma rede e colocamos um Firewall ( ISA SERVER ), Preciso liberar o msn e ja bloqueie a internet, qual porta devo liberar para este serviço? desde ja agradeço. abraços
Olá Vinícius, estou tendo problemas para liberar a porta 8017 para o TED, mas o estranho que o problema é somente com o Estado do Espírito Santo, para os outros estados funciona bem, tentei usar sua dica e não funcionou no meu script, vc teria alguma idéia do que posso fazer? Obrigado.
Guerreiro,como vai…
Meu brother estou na pindaiba do desespero ois tenho instalado o gv800 em varios clientes e sigo o procedimento padrão libero as portas no firewall porem mesmo tendo liberado as benditas tento connectar sem exito,e apos teste de portas no guiadocftv aparecem como fechadas,desativei o firewall mesma mensagen
???????
Tem noção,se puder me auxiliar tanks se não tanks também
Parabéns por vossa iniciativa
jose luiz, o gv800 que vc se refere é o geovision? qual o sistema de firewall vc está liberando as portas?
se for o geovision tem um post aqui a respeito, segue o link:
http://vini.homeip.net:81/index.php/2009/02/13/publicar-sistema-geovision-no-firewall/
att