Problemas com iptables/squid sites seguros

serjo.ueda
(usa Debian)

Enviado em 03/02/2011 - 12:53h

Galera, Por favor me deem um help, tenho um firewall que vou postar abaixo com 3 placas de rede, 2 redes internas e outra wan, só que o grande problema é que nao navega em sites seguros, o que pode ser ?


/bin/bash
# Firewall

# Programas
IPT=/sbin/iptables
MODP=/sbin/modprobe

# Configuracao Rede
SITE=10.0.0.24
IFWAN=eth1
IFLAN=eth0
IFLAN2=eth2
IPWAN=201.90.59.82
LAN=10.0.0.0/255.0.0.0
LAN2=192.168.0.0/255.255.255.0
IFINT=10.0.0.1/8
ANY=0/0
CAIXA="200.252.47.0/24 200.201.160.0/20"
IPCAT="200.152.32.148/24"
:
# IPS Liberados para NET
IPS="10.0.0.208 10.0.0.194"
ip=10.0.0.194
# Portas LIBERADAS (INPUT TCP/UDP)
INPUT_TCP="22 4020 9022 3389 993 995 993 587 465 110 8443 60004 143 25 2095 1723 2086 5017 5900 5901 55000"
INPUT_UDP="22 4020 53 67 2095 993 587 143 465 1723 2086 8443 60004 5017 5900 5901 55000"

# PORTAS LIBERADAS (FORWARD)
FORWARD_TCP="20 9080 4020 22 21 25 47 53 993 587 143 465 443 995 465 110 8443 81 1437 1438 1723 27220 60004 27500 3456 3389 3390 3391 3456 5024 5900 5901 9022 8017 2095 1723 8080 55000"
FORWARD_UDP="20 4020 22 21 25 47 53 993 587 143 465 443 995 465 8443 81 1723 1437 1438 27220 27500 60004 3456 3389 5024 5900 5901 2095 1723 8080 55000"

# MODULOS A CARREGAR
for module in ip_tables ipt_REDIRECT ipt_MASQUERADE ipt_MARK ipt_REJECT \
ipt_TOS ipt_LOG iptable_mangle iptable_filter iptable_nat ip_nat_ftp \
ip_conntrack ip_conntrack_ftp ip_conntrack_irc \
ip_nat_irc ipt_mac ipt_state ipt_mark; do
$MODP $module
done

# ATIVANDO MASCARAMENTO NO KERNEL
echo 1 > /proc/sys/net/ipv4/ip_forward

# Protecao de ICMP e Spoofing
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

# Inicio das Regras
echo "Iniciando o Firewall "
echo .
# Limpando as Regras
echo -n "Limpando as Regras "
echo .
$IPT -F
$IPT -Z
$IPT -X
$IPT -t nat -F
$IPT -t nat -X
$IPT -t nat -Z
echo -n "Ativando Compartilhamento "
echo .
# Compartilhamento
$IPT -t nat -A POSTROUTING -s $LAN -d $ANY -p ALL -o $IFWAN -j MASQUERADE
$IPT -t nat -A POSTROUTING -s $LAN2 -d $ANY -p ALL -o $IFWAN -j MASQUERADE

echo -n "Configurando Chain INPUT"
echo .
# LoopBack Livre
$IPT -A INPUT -i lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A OUTPUT -o lo -s 0/0 -d 0/0 -j ACCEPT
$IPT -A INPUT -i $IFLAN -m state --state NEW -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

# INPUT LIBERADAS
for servico in $INPUT_TCP; do
$IPT -A INPUT -p tcp --dport $servico -j ACCEPT
done

for servico in $INPUT_UDP; do
$IPT -A INPUT -p udp --dport $servico -j ACCEPT
done

#Block yahoo
#$IPT -A FORWARD -s $LAN -d cs.yahoo.com -j DROP
$IPT -A FORWARD -d scsa.yahoo.com -j REJECT

# BLoqueando msn

echo -n "Bloqueando msn"
$IPT -A FORWARD -s 10.0.0.18 -p tcp -j ACCEPT
$IPT -A FORWARD -s 10.0.0.22 -p tcp --dport 1863 -j ACCEPT
$IPT -A FORWARD -s 10.0.0.208 -p tcp --dport 1863 -j ACCEPT
$IPT -A FORWARD -s 10.0.0.21 -p tcp --dport 1863 -j ACCEPT
#$IPT -A FORWARD -s 10.0.0.21 -p tcp --dport 1863 -j ACCEPT
#$IPT -A FORWARD -s 10.0.0.8 -p tcp --dport 1863 -j ACCEPT
$IPT -A FORWARD -s $LAN -p tcp --dport 1863 -j REJECT
$IPT -A FORWARD -s $LAN2 -p tcp --dport 1863 -j REJECT

echo -n "Configurando Chain FORWARD"

echo .
# Estacao para Internet
for FORWARD in $FORWARD_TCP; do
$IPT -A FORWARD -p tcp --dport $FORWARD -j ACCEPT
done

for FORWARD in $FORWARD_UDP; do
$IPT -A FORWARD -p udp --dport $FORWARD -j ACCEPT
done

# Liberando Suporte
#for ALLOW_FORWARDS in $IPS_ALLOW; do
#$IPT -A FORWARD -s $ALLOW_FORWARDS -j ACCEPT
#done

# Redirecionamento do Proxy
$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $IFLAN2 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $IFWAN -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPT -t nat -A OUTPUT -s 10.0.0.18 -p tcp --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -i $IFLAN2 -p tcp --dport 80 -j REDIRECT --to-port 3128

echo -n "Ativando Seguran"
echo .

# Bloqueando PINGS, Spoofings
$IPT -A INPUT -p icmp --icmp-type time-exceeded -j DROP
$IPT -A FORWARD -p icmp --icmp-type time-exceeded -j DROP

# Fechando o RESTO
$IPT -A INPUT -i $IFWAN -j DROP

$IPT -A FORWARD -s $LAN -j DROP
$IPT -A FORWARD -s $LAN2 -j DROP
echo " [ OK ]"


Ah estou usando debian 5.0.7 e proxy transparente.

Obrigado desde já .

renato_pacheco
(usa Debian)

Enviado em 03/02/2011 - 13:19h

Inclua, nas variáveis INPUT_TCP e INPUT_UDP a porta 443. Veja se funciona assim.

serjo.ueda
(usa Debian)

Enviado em 03/02/2011 - 14:23h

Renato,

Nada ainda !! Fazendo testes percebi que quando seleciono um proxy fixo no navegador funciona.

ricardoolonca
(usa Debian)

Enviado em 03/02/2011 - 15:00h

Falta a porta 443 na sua tabela de nat, chain PREROUTING. Inclua o seguinte:

$IPT -t nat -A PREROUTING -i $IFLAN -p tcp --dport 443 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $IFLAN2 -p tcp --dport 443 -j REDIRECT --to-port 3128
$IPT -t nat -A PREROUTING -i $IFWAN -p tcp --dport 443 -j REDIRECT --to-port 3128

serjo.ueda
(usa Debian)

Enviado em 03/02/2011 - 15:13h

Nada feito ainda !!!