Iptables + Squid duvidas bloqueis

Buckminster
(usa Debian)

Enviado em 01/09/2013 - 23:56h

Bom, como você está dizendo que as estações estão navegando na internet, deve ter alguma coisa errada, vejamos:

# Interface da rede INTERNA
IF_INTERNA="eth0";

# Interface da rede EXTERNA
IF_EXTERNA="eth1";

# Definição da rede interna
REDE_INTERNA="10.1.1.0"

Aí em cima você definiu 3 variáveis, porém, na regra abaixo que faz o mascaramento e o compartilhamento

# Libera a conexao para a rede interna
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

você colocou a eth0 (rede interna) para fazer o compartilhamento. Acredito que a definição da variável está errada, senão as estações não estariam navegando. O compartilhamento é feito na placa de rede que recebe a internet, ou seja, a placa de rede conectada no modem/roteador ou similar, que segundo a definição das tuas variáveis é a eth1.

Quanto às estações que não pingam IPs externos, comente as duas linhas abaixo no teu script, reinicie o Iptables e teste o ping:

echo 0 > /proc/sys/net/ipv4/ip_forward
echo 0 > /proc/sys/net/ipv4/ip_dynaddr

Quanto à porta 7000 acrescente as linhas abaixo na tua lista de portas liberadas, reinicie o Iptables e teste:

iptables -A INPUT -p udp --dport 7000 -i $REDE_INTERNA -j ACCEPT
iptables -A INPUT -p tcp --dport 7000 -i $REDE_INTERNA -j ACCEPT
iptables -A FORWARD -p udp --dport 7000 -i $REDE_INTERNA -j ACCEPT
iptables -A FORWARD -p tcp --dport 7000 -i $REDE_INTERNA -j ACCEPT

Mas veja bem, verifique as tuas placas de rede se é isso mesmo que você colocou no script.

E veja isto:
http://www.vivaolinux.com.br/artigo/Manual-do-IPtables-Comentarios-e-sugestoes-de-regras?pagina=4

tcorte
(usa CentOS)

Enviado em 02/09/2013 - 07:37h

Caro Buckminster

Vou realizar os testes que você comentou, porem vale lembrar que se eu limpar o iptables, nao deixar nenhuma regra, continuo navegando nas estações, sem ping das estações pra fora, porem ping do servidor está ok. E qualquer tipo de regra q eu libere no Iptables seja porta 7000 porta de email, o mesmo não libera.

Buckminster
(usa Debian)

Enviado em 02/09/2013 - 08:24h

Opa, se você limpa o Iptables e as estações continuam navegando na internet então a tua rede está POSSUÍDA PELO DEMÔNIO!!!

VADE RETRO SATANÁS!!!!!!


Chama um Padre e faça um exorcismo nas máquinas... ou então me fala como é a estrutura física da tua rede... esse servidor com Iptables está conectado no modem/roteador por uma placa de rede e a outra está conectada em um 'chuitches' que distribui para as estações... é isso?

tcorte
(usa CentOS)

Enviado em 02/09/2013 - 08:42h

Hahahahahhaa
Eh bem isso mesmo que voce descreveu...

Modem(192.168.0.1) -> proxy(placa)-> ProxyRede(10.1.1.1) -> switch(10.1.1.0/24)

Buckminster
(usa Debian)

Enviado em 02/09/2013 - 11:23h

Sugestão:
eth0 deixe como placa de entrada da internet/dados com IP dinâmico "pegando" IP do DHCP do modem;
eth1 deixe como placa da rede interna com IP fixo, lógico.

Coloque somente essas regras no script:

#!/bin/bash
modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables –t nat –A POSTROUTING –o eth0 –j MASQUERADE

Reinicie o Iptables e teste ping, teste portas, tes tetudo. Uma 'progunta': você deu permissão de execução para o script do Iptables?

tcorte
(usa CentOS)

Enviado em 20/09/2013 - 15:20h

Mesmo com estes testes que voce me pediu para realizar continuo sem ping externo e nem acesso as portas.

Obs.: meu squid esta "startado" o acesso a internet esta funcionando perfeitamente inclusive regras de bloqueio liberação...

dei sim permissao de execuçao no arquivo do firewall chmod 755 meu firewall


o que pode ser isso....

grato pela ajuda, preciso solucionar o mais rapido possivel

tcorte
(usa CentOS)

Enviado em 20/09/2013 - 21:30h

Pessoal alguém que pode me ajudar ????

Buckminster
(usa Debian)

Enviado em 22/09/2013 - 16:45h

As máquinas pingam o servidor?

O servidor pinga o modem/roteador?

O servidor pinga um IP externo?

Você verificou se o modem/roteador não está bloqueando o ping externo?

tcorte
(usa CentOS)

Enviado em 22/09/2013 - 17:04h

O modem conectado direto no meu note faço todos os procedimentos

Buckminster
(usa Debian)

Enviado em 22/09/2013 - 17:15h

Verifique as configurações de segurança do teu servidor, no Squid, nos arquivos do kernel e nos outros serviços que você tem instalado nele, pois com certeza é ele que está bloqueando o ping.

Comente essas linhas abaixo no Iptables, reinicie o servidor e teste:

iptables -A BLOCK -p icmp --icmp-type echo-request -j DROP
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

Porém, reinicie o servidor. Provavelmente antes você não reiniciou.
Se mesmo assim ele continuar bloqueando o ping, verifique dentro dos arquivos se não foi setado diretamente neles, por exemplo, entre no arquivo /proc/sys/net/ipv4/icmp_echo_ignore_all e verifique se ali está 0 ou 1... entendeu?

Ou dê um
# cat /proc/sys/net/ipv4/icmp_echo_ignore_all