Dúvida ip tables [RESOLVIDO]

kurtz01
(usa Debian)

Enviado em 30/11/2011 - 01:27h

Tudo bem pessoal queria a ajuda de vocês estou confuso sobre o meu iptables e o seguinte coloquei meu iptables no /etc/rc.local para ele já iniciar com o sistema ele está da seguinte maneira.



#Meu IPTABLES

# OBS: DROP Bloqueia a porta e ACCEPT Libera a porta

echo "1" > /proc/sys/net/ipv4/ip_forward

# Limpando as tabelas
iptables -F
iptables -t nat -F
iptables -t mangle -F

# Macarando conexões da rede
# se sua conexao estiver na interface ppp0 basta trocar o eth0 por ppp0
# a interface ppp0 é usada tb em dial-up, entao, neste caso, troque o eth0
# por ppp0

iptables -A PREROUTING -t nat -s 192.168.20.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 443 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 25430 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 55256 -j MASQUERADE

iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 10959 -j MASQUERADE

Mas se eu tirar o IP da linha que ele passa pelo squid não funciona

Eu queria deixar assim iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDRECT --to-port 3128
E tirar o MASQUERADE das outras linhas oque eu fiz de errado no meu iptables.
E onde está o --to-port o iptables da um erro.

saitam
(usa Slackware)

Enviado em 30/11/2011 - 08:39h

segue o início do script firewall, apenas adapte conforme sua rede(LAN) e interfaces em uso.
Também adicione abaixo suas regras liberando os serviços que precisa.
Espero que ajude!

#Função: Regras Iptables de configuração do Firewall

#eth0=internet e eth1=rede local

#no Slackware chmod +x /etc/rc.d/rc.fw e adicionar /etc/rc.d/rc.local para iniciar no boot do sistema

#Variáveis

ifaceExt=”eth0″; #acesso internet

ifaceInt=”eth1″; #acesso intranet(rede interna)

LAN=”192.168.1.0/24″; #rede local

#carrega módulos

/sbin/modprobe ip_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_queue

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_state

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_multiport

/sbin/modprobe ipt_mac

/sbin/modprobe ipt_string

start(){

echo “Firewall iniciando…………………………[OK]“;

#limpa as regras

iptables -F

iptables -X

iptables -Z

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z

iptables -t mangle -F

iptables -t mangle -X

iptables -t mangle -Z

#política padrão

iptables -P INPUT DROP

iptables -P FORWARD DROP

iptables -P OUTPUT ACCEPT

#Permite pacotes transmitidos através da interface de loopback(localhost)

iptables -A INPUT -i lo -j ACCEPT

#Compartilha a conexão, disponível na interface eth0:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE

echo “Compartilhamento da rede ativo………………….[OK]“;

 

juliansoares
(usa Debian)

Enviado em 30/11/2011 - 10:50h

aproveitando essa duvida, tambem tenho uma

uso proxy transparent, so que preciso que determinado ip fique fora do proxy, com acesso total, full

iptables -A FORWARD -i eth2(LAN) -o eth1(NET) -p tcp -d ip_liberado -s 10.0.0.0/16 -m multiport --dport , 21,22,443,80,8080 etc.. -j ACCEPT
iptables -A FORWARD -o eth1(NET) -i eth2(LAN) -p tcp -s ip_liberado -d 10.0.0.0/16 --state STABLISHED, RELATED -m multiport --dport , 21,22,443,80,8080 etc.. -j ACCEPT

ficaria desse jeito ?

lemrando que minhas chains ficam todas no DROP

removido
(usa Nenhuma)

Enviado em 30/11/2011 - 10:57h

Erro do --to-port se dá pela escrita errada, não é:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDRECT --to-port 3128

e sim

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128


retorna ai...

juliansoares
(usa Debian)

Enviado em 30/11/2011 - 13:43h

alguem pode me ajudar?

renato_pacheco
(usa Debian)

Enviado em 30/11/2011 - 21:54h

@jukinha,

Faça uma pergunta só pra vc, pq pode atrapalhar a dúvida do colega. Eu tenho a resposta para a sua pergunta, portanto eu t respondo no seu tópico, ok?

renato_pacheco
(usa Debian)

Enviado em 30/11/2011 - 22:00h

Não entendi muito bem a sua dúvida, mas deixa eu adivinhar: vc quer q tenha proxy transparente e mascarar a rede para todos? Se for isso, faça assim:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDRECT --to-port 3128

iptables -t nat -A POSTROUTING -s 192.168.20.0/24 -j MASQUERADE

 

Assim vc consegue mascarar só a sua rede e põe todos no modo transparente.

kurtz01
(usa Debian)

Enviado em 02/12/2011 - 00:30h

Então está ai a mensagem que me retorna


iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDRECT --to-port 3128

iptables v1.4.8: unknown option `--to-port'

Try `iptables -h' or 'iptables --help' for more information.

removido
(usa Nenhuma)

Enviado em 02/12/2011 - 09:40h

A regra deve ser digitada como está abaixo:

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

juliansoares
(usa Debian)

Enviado em 02/12/2011 - 11:38h

te mandei uma MP, se puder por gentileza responder por lpa.

kurtz01
(usa Debian)

Enviado em 05/12/2011 - 13:15h

Beleza pessoal vou fazer tudo de novo pra ver se da certo obrigado a todos.