Liberar url firewall

1. Liberar url firewall

Beatrix_Kiddo
(usa Outra)

Enviado em 26/02/2014 - 14:47h

Olá!

Estou utilizando as regras abaixo e preciso que uma url específica não passe pelo squid. quando adiciono a regra iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADEiptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT ele bloqueia o acesso a rede interna.

Aonde ficaria esta regra?
Ela está conflitando com alguma outra?



#!/bin/sh

EXT=eth1

INT=eth0 

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp 

echo "1" > /proc/sys/net/ipv4/ip_forward 

iptables -F

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -t nat -F

iptables -t nat -F POSTROUTING

iptables -t nat -F PREROUTING

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP 

####REGRA QUE TENHO DÚVIDA####

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADEiptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT

#####

iptables -t nat -A PREROUTING -i $INT -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 

iptables -t nat -A PREROUTING -i $INT -s 10.0.0.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 4550 -j ACCEPT

iptables -A INPUT -p tcp --dport 5550 -j ACCEPT

iptables -A INPUT -p tcp --dport 6550 -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -i $INT -p tcp --dport 3128 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -j ACCEPT

iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

iptables -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p icmp -j ACCEPT 

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p tcp -m multiport --dports 4550,5550,6550,25,53,110,3128,587,465,143 -j ACCEPT

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT

0 0

Quote

2. Re: Liberar url firewall

Beatrix_Kiddo
(usa Outra)

Enviado em 27/02/2014 - 15:43h

Nada?

0 0

Quote

3. Re: Liberar url firewall

Diego-Garcia
(usa Linux Mint)

Enviado em 27/02/2014 - 15:55h

Boa Tarde,

verifique esta linha



iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADEiptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT

Esta parte esta junta MASQUERADEiptables, não deveria ficar separado as duas palavras?

0 0

Quote

4. Re: Liberar url firewall

andrecanhadas
(usa Debian)

Enviado em 27/02/2014 - 16:00h

Diego-Garcia escreveu:

Boa Tarde,

verifique esta linha



iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADEiptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT

Esta parte esta junta MASQUERADEiptables, não deveria ficar separado as duas palavras?

Sim deve ficar em linhas separadas:



iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADE

iptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT

0 0

Quote

5. Re: Liberar url firewall

Beatrix_Kiddo
(usa Outra)

Enviado em 27/02/2014 - 16:00h

Saiu assim na hora de colar aqui.

iptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT

0 0

Quote

6. Re: Liberar url firewall

andrecanhadas
(usa Debian)

Enviado em 27/02/2014 - 16:03h

Porem prefiro utilizar o RETURN para desviar pro fora do proxy:



iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -d site.fora.do.squid.com.br -j RETURN

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -d site.fora.do.squid.com.br -j RETURN

O eth0 no caso é sua rede local e deve ser colocada antes da regra que direciona as portas 80 e 443 para a do squid

0 0

Quote

7. Re: Liberar url firewall

Beatrix_Kiddo
(usa Outra)

Enviado em 27/02/2014 - 16:21h

Quando adiciono a regra eu continuo perdendo o acesso a rede interna.

0 0

Quote

8. Re: Liberar url firewall

souzacarlos
(usa Outra)

Enviado em 04/03/2014 - 23:49h

Boa noite, vamos por partes!!!

1º iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADE ### Essa regra serve para MASCARAR o trafego "sainte" da tua rede local para a internet.

2º Com relação sua dúvida faria o seguinte:

NA CHAIN FORWARD: iptables -A FORWARD -d exemplo.com.br "LEMBRAR QUE SE EXISTE ALGUMA PORTA ESPECIFICA DECLARAR AQUI NA FORWARD -t tcp --dport alguma_coisa"

NA CHAIN PREROUTING: iptables -t nat -A PREROUTING -i $INT -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 ! -d exemplo.com.br

Só por curiosidade: porque vc não definiu tua POLICE DEFAULT OUTPUT COMO ACCEPT logo, vc acaba gerando + uma linha de código fazendo isso abaixo, favor também melhorar a organização deste script!!! para entendimento de todos, toda hora que achava um erro a correção estava + abaixo!!!!

Obs.: Eu faria um teste removendo essa regra que direciona a 443 para 3128 tbm!!!

Aguardo novidades,

Beatrix_Kiddo escreveu:

Olá!

Estou utilizando as regras abaixo e preciso que uma url específica não passe pelo squid. quando adiciono a regra iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADEiptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT ele bloqueia o acesso a rede interna.

Aonde ficaria esta regra?
Ela está conflitando com alguma outra?



#!/bin/sh

EXT=eth1

INT=eth0 

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_nat_ftp 

echo "1" > /proc/sys/net/ipv4/ip_forward 

iptables -F

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -t nat -F

iptables -t nat -F POSTROUTING

iptables -t nat -F PREROUTING

iptables -X

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

iptables -P FORWARD DROP 

####REGRA QUE TENHO DÚVIDA####

iptables -t nat -A POSTROUTING -s 10.0.0.0/24 -o $EXT -j MASQUERADEiptables -I FORWARD -p tcp -s 10.0.0.0/24 -d exemplo.com.br --dport 433 -j ACCEPT

#####

iptables -t nat -A PREROUTING -i $INT -s 10.0.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 

iptables -t nat -A PREROUTING -i $INT -s 10.0.0.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128 

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

iptables -A INPUT -p tcp --dport 4550 -j ACCEPT

iptables -A INPUT -p tcp --dport 5550 -j ACCEPT

iptables -A INPUT -p tcp --dport 6550 -j ACCEPT

iptables -A INPUT -p icmp -j ACCEPT

iptables -A INPUT -i $INT -p tcp --dport 3128 -j ACCEPT

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A OUTPUT -j ACCEPT

iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT

iptables -A OUTPUT -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT

iptables -A OUTPUT -p icmp -j ACCEPT 

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -p tcp -m multiport --dports 4550,5550,6550,25,53,110,3128,587,465,143 -j ACCEPT

iptables -A FORWARD -p udp --dport 53 -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT