Redirecionamento parou [RESOLVIDO]

diawd
(usa Ubuntu)

Enviado em 13/12/2010 - 11:33h

Boa tarde pessoal,

O que acontesse é o seguinte. Tenho um servidor rodando iptables e squid transparente. Só que na sexta feira eu percebí que o a internet estava toda liberada. Comecei a fazer uns testes e percebí que se eu configurar o proxy no browser o controle começa a funcionar, se eu tiro a internet volta a ficar toda liberada.
A unica coisa que eu consegui pensar é que o redirecionamento do iptables não está funcionando. Mas nem sei se isso é possível. Alguém saberia o que pode estar acontessendo?

Desde já muito obrigado.

laguna
(usa Ubuntu)

Enviado em 13/12/2010 - 13:01h

diawd vc ja verificou se o teu script de redirecionamento esta sendo executado qnd a maquina é iniciada?

de um
$iptables -t nat -L

e cola o resultado aqui para dar uma olhada

diawd
(usa Ubuntu)

Enviado em 13/12/2010 - 13:19h

O script inicia quando a máquina é ligada sim. Estava funcionando normalmente, derepende parou ... :/ ... aparentemente está tudo certo.

Eu executei o comando e apareceu isso.

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- anywere anywere tcp dpt:www redir 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- anywere anywere


Não tenho muita experiência com linux, mas pelo que eu conheço está correto não é?



Desde já muito obrigado pela ajuda!!! :)

renato_pacheco
(usa Debian)

Enviado em 13/12/2010 - 13:38h

Tente bloquear o FORWARD pra porta 80:

# iptables -I FORWARD -p tcp --dport 80 -j DROP

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 09:25h

Ae pessoal, bom dia,

Eu fiz o teste com a porta 80 fechada, daí não navega. Mas se eu configurar o proxy no browser navega normalmente. Estranho não é?

Se quiserem ver o meu script iptables eu posto aqui.

renato_pacheco
(usa Debian)

Enviado em 14/12/2010 - 09:33h

O q vc quer dizer com "porta fechada"? O regra q passei não fecha a porta, só impede d encaminhar os pacotes destinados à porta 80 trafeguem pela rede. Como está sendo tudo redirecionado pra porta 3128, não há como impedir o tráfego pelo proxy.

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 09:47h

Opa, desculpa, eu me expressei de forma errada. Foi isso mesmo q eu fiz, mas parou de navegar. Se eu colocar o proxy no browser navega normalmente.

renato_pacheco
(usa Debian)

Enviado em 14/12/2010 - 09:51h

Pode ser q a ordem em q está inserido a regra tá errada. Troque o -I do comando por -A e veja se modifica alguma coisa.

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 10:22h

então, eu troquei o I por A e parou de funcionar também. Mas desta vez, mesmo colocando o proxy manualmente não navega.

renato_pacheco
(usa Debian)

Enviado em 14/12/2010 - 10:46h

Então eu tou errando... tente mudar o comando, colocando assim:

# iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP

Assim ele só rejeitará pacotes q entram na interface d rede local (no exemplo, a eth1), não rejeitando a outra interface.

diawd
(usa Ubuntu)

Enviado em 14/12/2010 - 11:09h

eu fiz e também não navegou. Estou colocando o meu script abaixo se quiser dar uma olhada.

E muito obrigado pela ajuda viu :)








case "$1" in


start)


iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT





########### Limpa Regras do Iptables ##########


iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z





############## Carregando Modulos ########


modprobe ip_tables
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp





############## Redirecionamento de porta do Proxy ###########


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE



############ Liberando Portas ##########


# Stateful


iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


# SSH


iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT


# Terminsl Service


iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
iptables -A FORWARD -p tcp --dport 3389 -j ACCEPT


# Email


iptables -A FORWARD -p tcp --sport 25 -j ACCEPT # SMTP
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT # POP3

iptables -A FORWARD -p tcp --dport 25 -j ACCEPT # SMTP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT # POP3


# ftp



iptables -A FORWARD -p tcp --dport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 20 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --sport 21 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT


# DNS


iptables -A FORWARD -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -p tcp --sport 53 -j ACCEPT
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT



# Internet


iptables -A FORWARD -i eth1 -p tcp --dport 80 -j DROP

#iptables -A FORWARD -p tcp --dport 80 -j ACCEPT

#iptables -A FORWARD -p tcp --sport 80 -j ACCEPT


iptables -A FORWARD -p tcp --sport 443 -j ACCEPT
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT


iptables -A FORWARD -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp --sport 8080 -j ACCEPT


iptables -A INPUT -p tcp -i lo -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT


# MySQL


iptables -A FORWARD -p tcp --dport 3306 -j ACCEPT
iptables -A FORWARD -p tcp --sport 3306 -j ACCEPT



iptables -A INPUT -p icmp -j ACCEPT


iptables -A FORWARD -p icmp -j ACCEPT



iptables -A INPUT -p icmp -j DROP


;;

stop)

iptables -F

;;

status)

echo ""
echo "Tabela Filter"
echo ""
iptables -L -n
echo ""
echo "Tabela NAT"
echo ""
iptables -t nat -L -n
echo ""
echo "Tabela Mangle"
echo ""
iptables -t mangle -L -n

;;

restart)
$0 stop
$0 start

;;

*)

echo $"Usar: $0 {start|stop|status|restart|}"

exit 1
;;

esac

exit $?

renato_pacheco
(usa Debian)

Enviado em 14/12/2010 - 11:18h

Poxa, kra, agora q vc avisa q tem um script rodando?? huiahiauhaih! Então aquelas regras q eu t passei caem por terra, pq suas políticas estão como DROP pra INPUT e FORWARD. Então o lance é só liberar o FORWARD pra porta 3128, ok?

iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT