Desabafo + dúvida iptables [RESOLVIDO]

raschadeck
(usa Ubuntu)

Enviado em 24/05/2011 - 09:12h

Primeiro queria desabafar da dificuldade que tenho para configurar meu Iptables.

Acabei de ler um artigo onde falava sobre essa questão da difícil interpretação dos tutoriais para alguém que está iniciando na área.


Já aprendi bastante, mas se estivesse em casa "brincando" nao estaria reclamando... mas estou na empresa e preciso mostrar resultados


Enfim... aqui vão minhas duvidas...


Tenho o seguinte firewall.sh:

"
### Ativando compartilhamento de internet
echo "Ativando compartilhamento de internet"
echo 1 > /proc/sys/net/ipv4/ip_forward
echo "Compartilhamento ativado"
######################
### Interfaces de rede
INT=eth1
EXT=eth0
### Mensagem de inicialização do Firewall
echo "Ativando Regras do Firewall"

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

iptables -F
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p ALL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -j ACCEPT
#iptables -t nat -A PREROUTING -i $INT -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp -m tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.173.68 --dport 80 -j ACCEPT

iptables -t nat -I PREROUTING -i $INT -m tcp -p tcp -d 200.201.173.68 --dport 80 -j ACCEPT

iptables -t nat -A POSTROUTING -o $EXT -j MASQUERADE
iptables -A FORWARD -p TCP --dport 3389 -j ACCEPT
iptables -A INPUT -p TCP --dport 3389 -j ACCEPT
iptables -A OUTPUT -p TCP --dport 3389 -j ACCEPT

iptables -t filter -A INPUT -p icmp -j DROP

echo "Regras do Firewall ativadas!!!"

"


Para explicar agora, comentei a linha do prerouting pq estou comalguns problemas...
Seguinte, tenho alguns serviços rodando aqui na empresa que usam a porta 80 (PRA QUE???????)
Logo, são redirecionados para a 3128 e o squid trava eles, simplesmente nao da acesso...

Nao queria ter que alterar o meu squid...

Queria alguma chain,table, sei la que [*****] (desculpem a forma de escrever) para dizer que aqueles ips, aquelas requisiçoes possam passar normalmente sem ser pela 3128...


Sei que tem uma ordem especial de prioridade no iptables, algo como, regras simples antes das mais específicas...

Aí vai o pedido, será que alguém consegue me ajudar a deixar a ordem certinho nesse meu .sh e ainda adicionar os comandos para liberar o ip 200.201.173.68 80 ????


Grato, Rafael Schadeck

eritonalmeida
(usa Debian)

Enviado em 24/05/2011 - 12:10h

a única explicação para esse problema é as placas estarem ao contrário.
já tentou inverter?
INT=eth0
EXT=eth1

GustavinhoO
(usa Debian)

Enviado em 24/05/2011 - 12:16h

amigo faltou liberar a porta 3128 do squid

e tbm verificar suas interfaces de rede...

fora isso verifica o squid tbm e posta aqui qualquer duvida

raschadeck
(usa Ubuntu)

Enviado em 25/05/2011 - 08:47h

minhas placas sao assim

a eth0 é a ligada ao modem e a eth1 é ligada ao switch

ta errado a ordem???????

imaginei que naoimportava qual delas fosse qual desde que configurada adequadamente.


enfim, com o que ta aí, nao roda o que preciso...

o que preciso? Rodar aplicações da porta 80 FORA do squid
queria que o ip xxx.xxx.xxx.xxx pasasse direto sem direcionar para a 3128


alguem me ajuda ai galera

VALEU

d3stiny
(usa Red Hat)

Enviado em 25/05/2011 - 09:25h

ja tentou fazer um NAT para as maquinas que rodam esses serviços??

maneuzinho
(usa Debian)

Enviado em 25/05/2011 - 09:31h

Tenta assim "iptables -t nat -A PREROUTING -s xxxx.xxxx.xxxx.xxxx -d 0/0 -p tcp --dport 80 -j ACCEPT" isso ai vai liberar 1 determinado IP da sua rede para passar direto pela porta 80, e ignorar a restrição do squid, só que com isso esse IP estará liberado total para qualquer coisa na net, seria interessante que vc tentasse descobrir qual a porta que a aplicação está utilizando assim vc só liberaria ela.

raschadeck
(usa Ubuntu)

Enviado em 25/05/2011 - 11:58h

justamente é esse o problema.

a porta é a 80!!!

e o ip eu tenho ele aqui tbm


queria uma regra para liberar tada minha rede interna para passar direto pela 80 quando for com esse ip

sacas?

algo como: (portugol)

iptables forward protocolo tcp do ip (todos da minha rede) para o ip xxx.xxx.xxx.xxx na porta 8 ACEITAR

maneuzinho
(usa Debian)

Enviado em 25/05/2011 - 13:20h

Então faz assim "iptables -A FORWARD -d 200.201.173.68 --dport 80 -j ACCEPT" acredito que vai dar certo.