Erro de INPUT

joao.claudio
(usa Debian)

Enviado em 08/08/2007 - 15:27h

Galera tenho o seguinte problema em meu script de firewall, se configuro o script com:

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -p tcp -s (Rede Interna) -d (Internet) --destination-port 3128 -j ACCEPT # SQUID
iptables -A INPUT -p tcp -s (Rede Interna) -d (Internet) --destination-port 3128 -j ACCEPT # SQUID

/sbin/modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -j ACCEPT

#Definindo proxy transparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

A internet não funciona, então só tenho duas soluções, ou faço:

iptables -P INPUT ACCEPT (Onde fica tudo aberto)

ou comento a linha de redirect

#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

E fico sem squid.

Como faço para deixar o input DROP funcionando juntamente com o squid?

ricardoolonca
(usa Debian)

Enviado em 08/08/2007 - 22:24h

Caro,

dê uma olhada neste exemplo
http://www.vivaolinux.com.br/conf/verConf.php?codigo=642

juno
(usa Linux Mint)

Enviado em 09/08/2007 - 00:46h

Cara,
Coloca a sua rede em allow dentro do squid.
Falou!

joao.claudio
(usa Debian)

Enviado em 09/08/2007 - 15:26h

Obrigado, mas nenhuma das dicas resolveu meu problema

juno
(usa Linux Mint)

Enviado em 09/08/2007 - 15:37h

Cara
Faz um teste :
Para o squid e coloca tua rede no nat e vê se tudo funciona.

Para agilizar, posta tuas regras e seu conf do squid aqui .
Falou!

andrentfs
(usa Debian)

Enviado em 09/08/2007 - 15:44h

Faça isto:

#Alterando regra para Aceitar tudo.
iptables -P ACCEPT
#Suas regras do seu Firewall.
iptables -A INPUT -p tcp -s (Rede Interna) -d (Internet) --destination-port 3128 -j ACCEPT # SQUID
iptables -A INPUT -p tcp -s (Rede Interna) -d (Internet) --destination-port 3128 -j ACCEPT # SQUID
#Aqui você nega todo o resto, ou sejá volta a negar tudo o que não deseja, meu firewall sempre roda assim.(hehehe)
iptables -A INPUT -p DROP

aferreirasilva
(usa Outra)

Enviado em 16/11/2009 - 10:17h

João Claúdio,

Boa tarde , essa é a a minha primeira resposta em um site na tentativa de encontrar alguma solução, aqui na empresa me deparei com o mesmo problema ao qual você referiu, passei um final de semana tentando resolver isso, as minhas regras estavam exatamente igual a sua, experimenta colocar a seguinte regra na tabela INPUT antes da regra que bloqueia os demais pacotes.

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

A partir do momento que coloquei essa regra, o meu problema com squid e com a segurança da minha rede foi resolvido.

Atenciosamente

Alberto