Iptables + Squid duvidas bloqueis

tcorte
(usa CentOS)

Enviado em 31/08/2013 - 18:56h

Pessoal boa noite...

Estou em um cliente e preciso deixar funcionando ate segunda feira a rede do mesmo...
Pois bem tenho squid iptables sarg webmin funcionando perfeitamente.
Porem existe alguns detalhes que nao estou conseguindo resolver...

1- nao estou conseguindo dar ping das estacoes de trabalho para fora ex. ping 8.8.8.8
2- nao consigo liberar a porta 7000 para acessar um ip externo

Alguem pode me ajudar? Não tenho mta pratica com iptables.

segue o firewall

#!/bin/bash
# Local para o executavel do IPTables
# Interface da rede INTERNA
IF_INTERNA="eth0";

# Interface da rede EXTERNA
IF_EXTERNA="eth1";

# Definição da rede interna
REDE_INTERNA="10.1.1.0"

fw_start()
{

echo "Limpando Regras.....................................[OK]"
### Limpando regras iptables ###
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -X

echo "Ativando roteamento.................................[OK]"
#ativa o roteamento dinamico
echo 0 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/ip_dynaddr

iptables -A INPUT -p icmp -i eth0 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 3389 -s 0/0 -d 200.175.93.151 -j DNAT --to-destination 10.1.1.3:3389

# ================ POLITICAS PADRAO ===================
iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT

echo "Criando Regras de Seguranca.........................[OK]"
# Cria chain com regras de segurança
iptables -N BLOCK
iptables -A BLOCK -p icmp --icmp-type echo-request -j DROP
iptables -A BLOCK -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A BLOCK -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A BLOCK -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT
# iptables -A BLOCK -m unclean -j DROP
iptables -A BLOCK -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A BLOCK -j LOG --log-prefix "FW_ALERT: "
iptables -A BLOCK -j DROP
# iptables -A FORWARD -p tcp --dport 7000 -j ACCEPT

# Muda a prioridade dos pacotes (Type Of Service) para agilizar as coisas
iptables -t mangle -A OUTPUT -o $IF_EXTERNA -p tcp -m multiport --dports 21,22,80,6667,7000,445,587 -j TOS --set-tos 0x10
iptables -t filter -A OUTPUT -o $IF_EXTERNA -p tcp -m multiport --dports 21,22,80,6667,7000,445,587 -j ACCEPT

echo "Liberando Trafego local.............................[OK]"
# Libera todo o trafego local
iptables -t filter -A INPUT -i lo -j ACCEPT
iptables -t filter -A INPUT -i $IF_INTERNA -j ACCEPT
iptables -t filter -A FORWARD -i $IF_INTERNA -j ACCEPT
# Libera só FTP, SSH e WEB
iptables -A INPUT -p icmp --icmp-type 0 -i eth1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -i eth1 -j ACCEPT
iptables -t filter -A INPUT -i $IF_EXTERNA -p tcp -m multiport --dports 21,22,80,6667,7000,445 -j ACCEPT

# Libera a conexao para a rede interna
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Liberando portas squid, http e NTP. Estes serviços o firewall só irá responder se vierem da interface da rede interna.
iptables -A INPUT -p tcp --dport 3128 -i $REDE_INTERNA -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -i $REDE_INTERNA -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -i $REDE_INTERNA -j ACCEPT
iptables -A INPUT -p tcp --dport 123 -i $REDE_INTERNA -j ACCEPT
iptables -A INPUT -p udp --dport 123 -i $REDE_INTERNA -j ACCEPT
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
# Regras para evitar packet flood
iptables -A INPUT -j BLOCK
iptables -A FORWARD -j BLOCK

echo " "
echo ".................. FIREWALL NBRtec ATIVADO................."
echo " "
}

fw_stop()
{
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P POSTROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
iptables -t mangle -P INPUT ACCEPT
iptables -t mangle -P FORWARD ACCEPT
iptables -t filter -F
iptables -t nat -F
iptables -t mangle -F
iptables -t filter -X
iptables -t nat -X
iptables -t mangle -X
iptables -t filter -Z
iptables -t nat -Z
iptables -t mangle -Z
}

fw_usage()
{
echo
echo "$0 (start | stop | restart | clear)"
echo
echo "start - Ativa o firewall"
echo "stop - Desativa o firewall"
echo "restart - Reativa o firewall"
echo "clear - Limpa os contatores"
}

fw_clear()
{
iptables -t filter -Z
iptables -t nat -Z
iptables -t mangle -Z
}

case $1 in

start)
fw_start;
;;

stop)
fw_stop;
;;

restart)
fw_stop;
fw_start;
;;

clear)
fw_clear;
;;
*)
fw_usage;
exit;

;;

esac

tcorte
(usa CentOS)

Enviado em 31/08/2013 - 19:17h

Alguem para ajudar??

Ping para ips internos respondem perfeitamente, externamente NÃO


no aguardo

desde ja obrigado

asparion
(usa Ubuntu)

Enviado em 31/08/2013 - 20:32h

Boa Noite...




pelo que vi seu centos é o 6,3

Libere a porta no iptables

iptables -A INPUT -p tcp --dport 7000 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 7000 -j ACCEPT

iptables -A FORWARD -p tcp --dport 7000 -j ACCEPT

 

quanto a pingar fora verifica se seus dns e gateway esta correto
vim /etc/resolv.conf
vim /etc/sysconfig/network

faz um teste ai abraços

l0g1in
(usa FreeBSD)

Enviado em 31/08/2013 - 23:40h

Você só não consegue pingar das estações de trabalho ? Do servidor você conseguir pingar pra fora normal ?
as sua estações navegam normalmente quando você coloca o proxy pra eles ? dá uma verificada na configuração do DNS do servidor e das estações principalmente.

tcorte
(usa CentOS)

Enviado em 01/09/2013 - 14:08h

Sim utilizo Centos

Bom estou tentando alterar o resolv.conf e o mesmo retorna ao que esta antes...
O que pode estar errado que sempre que do um restart no network volta as configuraçoes anteriores!!!

aguardo retorno!

obrigado

tcorte
(usa CentOS)

Enviado em 01/09/2013 - 14:10h

Correto, não consigo dar ping das estaçoes pra fora... Do proxy esta dando o ping corretamente

tcorte
(usa CentOS)

Enviado em 01/09/2013 - 14:43h

Pessoal consegui alterar o resolv.conf

Porem ainda não consigo dar ping das estaçoes de trabalho pra fora...

O que pode ser???

l0g1in
(usa FreeBSD)

Enviado em 01/09/2013 - 14:58h

Hun tá tenso hen, mais vamos lá qual a estrutura da rede as estações são DHCP ou IP configurado manualmente, da estações pelo menos elas navegam ou o problema é só ping mesmo, quado resolver voltar as configurações tenta desse modo vi /etc/sysconfig/network-scripts/ifcfg-placa
DNS1=8.8.8.8
DNS2=208.67.222.222
reinicia a rede e vê se funciona.

asparion
(usa Ubuntu)

Enviado em 01/09/2013 - 15:02h

Boa tarde..






para voce pingar em ip fora da sua rede quer dizer que seu centos tem de estar com intenet
sendo asssim voce tem de verificar todas essas etapas

1° - o ip esta correto
segundo uma logica que meu gateway seje 192.168.0.1
vim /etc/sysconfig/network-scripts/ifcf-eth0

IPADDR=192.168.0.254

NETMASK=255.255.255.0

GATEWAY=192.168.0.1

NETWORK=192.168.0.0

BROADCAST=192.168.0.255

 

2°- o gateway esta correto
vim /etc/sysconfig/network

GATEWAY=192.168.0.1

 

3° - os dns estao corretos
vim /etc/resolv.conf

nameserver 192.168.0.1

nameserver 189.7.16.16 ou outro que use ai

nameserver 189.7.16.15 ou outro que use ai

 

feito isso seu centos ja vai pingar para fora
agora para as estaçoes de trabalho pingar voce tera de configurar seu dhcp squid
caso contrario nao ira funcionar

se voce nao fez isso ou nao sabe fazer passa seu email que te mando um passo a passo para fazer
porque se colocar aqui vai ficar muito extenço...

abraçosss

l0g1in
(usa FreeBSD)

Enviado em 01/09/2013 - 15:02h

As estações pegam IP via DHCP ? Ou você configura manualmente?

tcorte
(usa CentOS)

Enviado em 01/09/2013 - 15:26h

Caro root360

As maquinas tem DHCP (windows server).
A navegaçao na internet das estaçoes esta ocorrendo normalmente!
Eu to realizando os testes neste momento.
Meu problema esta no ping externo das estações e liberar as portas no firewall de dentro pra fora 7000 e email (587 e 143)

sinceramente não sei mais o que mexer.
Como disse anteriormente não sou expert em iptables e linux

Grato se puder me ajudar

tcorte
(usa CentOS)

Enviado em 01/09/2013 - 16:48h

Sem sugestões pessoal para me ajudar...

Todos os testes aqui postados foi realizado continuo com o mesmo problema

Sem Ping externo das estações, no servidor ping ok
Internet esta funcionando perfeitamente.
Não consigo sair pela porta 7000
Nao consigo configurar e-mail portas 587 e 143


Por favor alguem pode me ajudar!?