Bloquear portas e liberar apenas algumas

Stefan
(usa Debian)

Enviado em 11/04/2011 - 14:36h

Boa tarde pessoal, estou com um problema aqui... Gostaria de bloquear todas as portas e liberar somente algumas, alem de direcionar a porta 80 para o squid. Bom a porta 80 para o squid já direcionei, e a principio cosegui bloquear todas as portas (já que o navegador n carregava mais os sites) o problema é que gostaria de abrir esta como a 443 e outras portas relacionada a alguns serviços.

Postarei o meu conf de iptables

#!/bin/bash
#
# /etc/etc/init.d/iptables.conf
#
# Limpa e inicializa os modulos
#******************************
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (Redireciona para o squid) - eth1 -> Placa de rede da intranet
#********************************************************
#

#iptables -I FORWARD -s 192.168.1.0/24 -j DROP tranca tudo

#iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT libera 80

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT --to-port 3128
#
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
#
# Compartilha Internet - eth0 -> Placa de rede da internet
#********************************************************
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#

Stefan
(usa Debian)

Enviado em 11/04/2011 - 14:50h

Só para constar, comentei as seguintes linhas para a internet voltar a funcionar


#iptables -I FORWARD -s 192.168.1.0/24 -j DROP tranca tudo

#iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 80 -j ACCEPT libera 80

rodrigom
(usa Debian)

Enviado em 11/04/2011 - 15:00h

Stefan, eu vi ai que você limpa os módulos, mas e você os carrega aonde ?

Pelo que eu sei, o squid nao suporta a porta 443/1863, entao vc direcioná-la para o squid, nao adianta.

Me corrijam se eu estiver errado.

abraço.

Stefan
(usa Debian)

Enviado em 11/04/2011 - 15:05h

não não, isso foi só um teste com as duas portas. A unica linha que efetivamente esta funcionado ali para baixo é a que direciona a porta 80 para 3128

stefan
(usa Debian)

Enviado em 12/04/2011 - 23:01h

e ai alguem sabe o que pode estar errado nessa configuração? pq de fato com o primeiro comando (iptables -I FORWARD -s 192.168.1.0/24 -j DROP) ele tranca tudo, mas no segundo deveria liberar a porta 80 certo? e depois direciona-la para o squid... manjo bemmm pouca coisa de iptables, ainda to pegando a logica... mas isso vi numa dica aqui e n funfo aqui rssrsr Help!! hehehe

clayton.sousa
(usa Debian)

Enviado em 12/04/2011 - 23:55h

Cara pelo o que estou vendo seu squid não esta carregando nenhum site correto?

Se isso for correto acontece o seguinte o squid.conf pode estar com alguma linha errada e ele na hora do restart não acusa que esta com erro, isso pode ocorre com algum espaço no squid.conf.


#Bloqueando tudo - Cuidado isso bloqueia tudo.

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Liberacao da porta

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Stefan
(usa Debian)

Enviado em 13/04/2011 - 08:17h

isso mesmo, ele não carrega e nem da erro, como se não estivesse mais passando pelo squid. Vou fazer o teste com esses comandos, muito obrigado.

Stefan
(usa Debian)

Enviado em 13/04/2011 - 08:33h

bahh rapaz, tbm n foi com essas tbm não.

clayton.sousa
(usa Debian)

Enviado em 13/04/2011 - 10:15h

Lembro que meu squid estava com erro em uma ACL mais não apresentava nenhum erro quando dava restart.

Tenta deixar assim o iptables e da uma olhada no squid.

#!/bin/bash
#
# /etc/etc/init.d/iptables.conf
#
# Limpa e inicializa os modulos
#******************************
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
#
# Proxy transparente (Redireciona para o squid) - eth1 -> Placa de rede da intranet
#********************************************************
#
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#
# Compartilha Internet - eth0 -> Placa de rede da internet
#********************************************************
#
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Stefan
(usa Debian)

Enviado em 13/04/2011 - 13:22h

opa amigo, estou trabalhando com ele assim, e funciona 100%. Mas quando coloca as regras que eu citei ou que o outro amigo citou, n carrega nada, como se ele n estivesse jogando a porta 80 para o squid.

clayton.sousa
(usa Debian)

Enviado em 15/04/2011 - 11:11h

da para postar seu squid aqui?