Iptables + squid nao funciona...

mshonorato
(usa Debian)

Enviado em 05/03/2009 - 17:20h

Alguém poderia me ajudar...

Quando eu coloco a linha "$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128" no meu iptables, o ip que eu deixo totalmente liberado para de funcionar...

tipo assim:

Quero que todos os ips passem pelo proxy menos 1 que é o 10.1.0.10 por exemplo, mas quando eu coloco a regra acima esse ip para tb...

vajam:

#!/bin/bash

IPTABLES=/usr/sbin/iptables

#----INTERFACE DE REDE----
WAN="eth0" #Internet Speedy
LAN="eth1" #Placa Rede Interna
REDE="10.1.0.0/24" #Rede Interna

function stop_firewall()
{
echo "Desativando as regras de Firewall..."
$IPTABLES -X
$IPTABLES -F
$IPTABLES -Z
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT

$IPTABLES -t nat -X
$IPTABLES -t nat -F
$IPTABLES -t nat -Z
echo "Regras de Firewall Desativadas!!"
}

function start_firewall()
{

echo "Ativando as regras de Firewall..."

#----MODULOS-----
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_tables
modprobe ipt_MASQUERADE
modprobe ipt_state
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ip_gre

#----SETA POLITICAS-----
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT

#----IMPEDE ALTERAÇÃO DE ROTAS-----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

#----PROTEGE CONTRA RESPONSES BOGUS-----
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#----PROTEGE CONTRA SYN-FOOD------
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

#----CONTRA TRACEROUTE-----
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

#----CONTRA IP SPOOFING----
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

#----INPUT-----
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A INPUT -s $REDE -j ACCEPT
$IPTABLES -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

#----FORWARD-----
$IPTABLES -A FORWARD -s $10.1.0.10 -j ACCEPT
$IPTABLES -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#----NAT------
$IPTABLES -t nat -A POSTROUTING -o $WAN -j MASQUERADE
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

#----ROTEAMENTO----
echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Regras de Firewall Ativadas com Sucesso!!"

}

case $1 in
"start")
start_firewall
;;
"stop")
stop_firewall
;;
"restart")
stop_firewall
start_firewall
;;
*)
echo "Use: $0 {start|stop|restart}"
esac

richardandrade
(usa Debian)

Enviado em 05/03/2009 - 21:43h

acima da regra de redirecionado da porta 80 para a porta 3128, você coloca uma regra de RETURN

#iptables -t nat -A PREROUTING -p tcp --dport 80 -s ip_de_origem -j RETURN

valeu e abraço.

mshonorato
(usa Debian)

Enviado em 06/03/2009 - 09:21h

E qual seria esse ip de retorno?

Poderia me explicar melhor por favor?

Obrigado!

richardandrade
(usa Debian)

Enviado em 06/03/2009 - 14:48h

nao é ip de retorno amigo, o RETURN é para passar fora das regras, logo passaria fora do proxy = exceção.


valeu e abraço.