Não consigo liberar portas [RESOLVIDO]

kakashi963
(usa Debian)

Enviado em 24/02/2011 - 19:36h

Boa noite.
Tenho configurado aqui o squid + iptables. Não consigo acessar o endereço 186.195.37.91:9001 de forma alguma. Quando faço o scanner no site http://www.gwebtools.com.br/scanner-porta as portas que eu liberei não funcionam...

A configuração dos dois é bem básica, abaixo tenho o squid.conf

http_port 3128 transparent
visible_hostname servidorTemp

cache_mem 350 MB
maximum_object_size_in_memory 200 KB
maximum_object_size 100 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 901 # swat
acl Safe_ports port 25 # email
acl Safe_ports port 1025-65535 # portas altas
acl purge method PURGE
acl CONNECT method CONNECT
acl palavrasBloqueadas dstdom_regex "/etc/squid/palavrasBloqueadas"
acl sitesLiberados url_regex -i "/etc/squid/sitesLiberados"
acl ipsLiberados src "/etc/squid/ipsLiberados"
acl ipsLiberadosRestritos src "/etc/squid/ipsLiberadosRestritos"
acl extban url_regex -i \.avi\.exe\.mp3\.torrent
http_access deny extban

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.0.0/24
http_access allow ipsLiberados
http_access deny palavrasBloqueadas
http_access allow ipsLiberadosRestritos
http_access allow sitesLiberados
http_access allow localhost
http_access deny all

e agora a configuração do Iptables

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i $iflocal -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -p tcp --dport 9000 -j ACCEPT
iptables -A INPUT -p tcp --dport 9001 -j ACCEPT
iptables -A INPUT -p tcp --dport 9000 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

renato_pacheco
(usa Debian)

Enviado em 24/02/2011 - 23:20h

Libere o forward tb:

iptables -A FORWARD -p tcp --dport 9000 -j ACCEPT

kakashi963
(usa Debian)

Enviado em 25/02/2011 - 00:34h

cara vlw mesmo pela ajuda. Mas e quanto as outras portas que continuam bloqueadas? como a 443?

kakashi963
(usa Debian)

Enviado em 25/02/2011 - 08:40h

Outra coisa, como faço pra liberar tudo que sai da minha rede? liberar todo o OUTPUT? no iptables

renato_pacheco
(usa Debian)

Enviado em 25/02/2011 - 09:26h

Se vc quiser criar políticas, vc pode fazer assim:

iptables -P FORWARD -j ACCEPT
iptables -P OUTPUT -j ACCEPT
iptables -P INPUT -j DROP

Dessa forma, a política está liberando tudo pra FORWARD e OUTPUT e bloqueando tudo pra INPUT. Insira essas linhas no começo das regras do firewall.

kakashi963
(usa Debian)

Enviado em 25/02/2011 - 10:55h

Não funcionou.

Pode ser dns? o que uso é 201.10.128.3 da brasil telecom

renato_pacheco
(usa Debian)

Enviado em 25/02/2011 - 11:09h

Kra, tudo depende d como está interligada a sua rede, bem como restrições nos modems e roteadores. Se vc não souber disso, vai ser complicado em t ajudar.

kakashi963
(usa Debian)

Enviado em 25/02/2011 - 11:17h

Certo.

Tenho contrato de velo 512 dedicada da brasil telecom. Dns 201.10.128.3 e 201.10.120.3

Tenho o meu servidor, ligado ao cisco 800 na eth2 e ligado a rede na eth1.

Tenho squid com proxy transparente, não utilizo squidguard e etc.

renato_pacheco
(usa Debian)

Enviado em 25/02/2011 - 12:03h

Esse roteador cisco tem alguma restrição d portas? Como ele está configurado?

samu007
(usa Outra)

Enviado em 25/02/2011 - 13:56h

Boa tarde galera. To com algumas duvidas e gostaria da ajuda de vcs, minhas duvida:

1- Já configurei o Squid. Tenho apenas uma placa de rede nesse servidor. A internet que
chega é compartilhada por um roteador, qual comando do iptables eu aplico para pegar
a conexão do roteador e mandar para o servidor?

renato_pacheco
(usa Debian)

Enviado em 25/02/2011 - 16:06h

Sugiro vc abrir outro tópico, por seguintes motivos:

- Organização;
- A criação d um novo tópico dá mais chances d ser visto do q postar em um tópico já criado;
- Facilita a ajuda.

Obrigado!

kakashi963
(usa Debian)

Enviado em 25/02/2011 - 20:32h

Boa noite.
gente liguei meu notebook direto no roteador da Brasil telecom, e depois de configurar os ips continuou sem funcionar o endereço. Dessa forma, acredito que o problema é alguma rota ou o dns configurados no roteador da brasil telecom.

Amanham o responsavel técnico pelo meu frame relay vai dar uma olhada, e ai posto oq ele me disser.

Obrigado