Duvida Firewall!

GuilhermeTI
(usa Debian)

Enviado em 08/11/2012 - 15:34h

Pessoal!

tenho um firewall iptables+squid transparent, sendo que as chains do iptables tao politica DROP
as clientes nao estao navegando na internet.

vou posta os scripts!

script do firewall:

#carrega modulos, compartilhamento internet
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe iptable_nat
  
   
#limpando as regras
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
  
#politica drop all
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
 
#nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
 
#tratando da porta 80 e 443 protocolos tcp e udp para proxy transparent
iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p udp --dport 443 -j REDIRECT --to-port 3128

#a regra abaixo vai liberar protocolos udp, tcp e icmp para a rede 192.168.100.0/24;
iptables -A INPUT -p all -s 192.168.100.0/24 -j ACCEPT
iptables -A OUTPUT -p all -s 192.168.100.0/24 -j ACCEPT
iptables -A FORWARD -p all -s 192.168.100.0/24 -j ACCEPT
 
##A regra abaixo vai liberar o retorno dos pacotes para rede local 192.168.100/24
iptables -A FORWARD -s 192.168.100.0/24 -i eth1 -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT
 
#nmap local
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT

#consultar dns
iptables -A INPUT -p all --dport 53 -j ACCEPT
 

agora vou posta o arquivo do squid.conf

segue:

http_port 3128 transparent
cache_dir ufs /var/spool/squid3 100 16 256
cache_mem 100 MB
visible_hostname Proxy
  
   
#regras;
acl REDE01 src 192.168.100.0/24
acl LIBERAR url_regex "/etc/squid3/LIBERAR.txt"
acl NEGAR url_regex "/etc/squid3/NEGAR.txt"
 
#acl diretor src 192.168.100.7
#http_access allow all diretor
 
http_access allow all REDE01 LIBERAR
http_access deny all REDE01 NEGAR
 
acl REDELOCAL src 192.168.100.0/24
http_access allow REDELOCAL
 

então pessoal, aguardo uma ajuda!!!

vlw...

fiquem com deus.