Ajuda com liberação de porta Firewall

PatrickPfP
(usa CentOS)

Enviado em 11/10/2012 - 09:57h

Bom Dia pessoal. Sou novo membro aqui no Viva ao Linux e estou começando a estudar sobre firewall. Estou usando o Slackware vs 12.2 e iptables 1.3.1 com squid . Como estou iniciando estou filtrando algumas coisas. Criei uma regra básica no squid para bloquear determinados sites e bloquiei todas as portas do firewall. Liberei a porta 22 para acessar via SSH e está funcionando. Mas ao tentar liberar as portas 80 e 443 para navegação estou sendo infeliz e não conseguindo. Vou postar aqui minhas regras de iptables para ver se a comunidade poça me ajudar.

#!/bin/sh

IPTABLES="/usr/sbin/iptables"

echo "1" > /proc/sys/net/ipv4/ip_forward

modprobe ip_tables

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#$IPTABLES -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

$IPTABLES -A FORWARD -i eth1 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

$IPTABLES -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128


Desde jah agradeço a coloboração do pessoal!!!!

renato_pacheco
(usa Debian)

Enviado em 11/10/2012 - 11:21h

Apague as regras abaixo:

$IPTABLES -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT

$IPTABLES -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT

$IPTABLES -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT

 

E insira as regras abaixo:

$IPTABLES -A FORWARD -s REDE_INTERNA -p tcp --dport 80 -j ACCEPT

$IPTABLES -A FORWARD -s REDE_INTERNA -p tcp --dport 443 -j ACCEPT

$IPTABLES -A FORWARD -s REDE_INTERNA -p udp --dport 53 -j ACCEPT

 

PatrickPfP
(usa CentOS)

Enviado em 11/10/2012 - 11:32h

Modifiquei e nada. Só uma dúvida, as linhas de código q fazem o mascaramento e o redirecionamento da porta 8 para 3128 devem ficar antes ou depois da liberação das portas?

E eu preciso fazer uma acl no squid para determinar os ips q podem acessar a internet ou está serve como teste?

acl lab src 10.1.1.20 10.1.1.120

acl bloqueios url_regex -i "/etc/squid/regras/bloqueios"

http_access allow lab !bloqueios

saitam
(usa Slackware)

Enviado em 11/10/2012 - 11:39h

segue how-to sobre iptables e squid (proxy autenticado)
http://mundodacomputacaointegral.blogspot.com.br/2012/05/entendendo-o-funcionamento-de-um.html

http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

PatrickPfP
(usa CentOS)

Enviado em 11/10/2012 - 13:33h

Tah complicado de fazer esse trem funcionar. Alguem poderia me dar outra luz?

PatrickPfP
(usa CentOS)

Enviado em 11/10/2012 - 14:31h

#!/bin/sh

IPTABLES="/usr/sbin/iptables"

echo "1" > /proc/sys/net/ipv4/ip_forward

modprobe ip_tables

$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP

$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE
#$IPTABLES -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

$IPTABLES -A FORWARD -i eth1 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -j ACCEPT

$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT
$IPTABLES -A OUTPUT -p tcp --sport 22 -j ACCEPT


# Manter conexoes jah estabelecidas para nao parar
#$IPTABLES -A INPUT -i eth1 -m state --state ! ESTABILISHED,RELATED -j DROP

#$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# Liberando Porta 80 (http)
$IPTABLES -A FORWARD -s 10.1.1.0/24 -p tcp --dport 80 -j ACCEPT

# Liberando Porta 443
$IPTABLES -A FORWARD -s 10.1.1.0/24 -p tcp --dport 443 -j ACCEPT

# Liberando porta 53 (DNS)
$IPTABLES -A FORWARD -s 10.1.1.0/24 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -s 10.1.1.0/24 -p udp --dport 53 -j ACCEPT

$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

$IPTABLES -t nat -A PREROUTING -s 10.1.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128


Fiz mais umas alterações mas nada ainda.

PatrickPfP
(usa CentOS)

Enviado em 15/10/2012 - 14:26h

Seguinte consegui fazer funcionar. Mas só para esclareçer. Eu estou usando uma placa de rede só. O q fiz foi redirecionar as portas 80 e 443 para port 3128. Depois disso funcionou. Isso está correto?