Proxy Transparente+Firewall+DHCP [RESOLVIDO]

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 13:52h

então coloquei a regra nada de funcionar...

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 14:08h

colocou ela encima de todas as acls?

entao seu redirecionamento no firewall nao está funcionando.
um jeito para ter certeza é desativando o squid e tentar navegar
se navegar significa que a regra no firewall nao está funcionando

posta ai o resultado

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 14:11h

Isso mesmo Magno acho que matou a charada to postando com o squid parado, to navegando normal... agora onde eu arrumo no firewall o redirecionamento????

estou com o script dentro do /etc/init.d/firewall.sh....

será que ele não tá rodando ou é as regras que não funcionam??

obrigado

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 16:09h

vc colocou essa regra aqui?

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 16:25h

olá então..


Já coloquei diversas vezes essa regra aí não funciona.....

Quer dar uma olhada no firewall?

att

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 16:28h

manda ai para analisarmos novamente

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 16:30h

segue



#!/bin/sh
# Start/stop/restart the iptables.

# Start firewall:
firewall_start() {
echo "Starting iptables"

## CARREGAR MODULOS DE FIREWALL ##

modprobe ip_nat_ftp
modprobe ip_tables


##COMPARTILHANDO A INTERNET

echo 0 > /proc/sys/net/ipv4/conf/all/log_martians
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/ip_dynaddr

## LIMPANDO TABELAS ##

/sbin/iptables -t filter -F INPUT
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F OUTPUT

/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT

/sbin/iptables -t mangle -F PREROUTING
/sbin/iptables -t mangle -F INPUT
/sbin/iptables -t mangle -F FORWARD
/sbin/iptables -t mangle -F OUTPUT
/sbin/iptables -t mangle -F POSTROUTING


## DEFININDO POLITICA PADRÃO ##

/sbin/iptables -t filter -P INPUT DROP
/sbin/iptables -t filter -P FORWARD DROP
/sbin/iptables -t filter -P OUTPUT ACCEPT

/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT

/sbin/iptables -t mangle -P PREROUTING ACCEPT
/sbin/iptables -t mangle -P INPUT ACCEPT
/sbin/iptables -t mangle -P FORWARD ACCEPT
/sbin/iptables -t mangle -P OUTPUT ACCEPT
/sbin/iptables -t mangle -P POSTROUTING ACCEPT

# REGRAS ##

IPTABLES="/sbin/iptables"

IFNET="eth0"
IFLAN="eth1"
#IFVPN="tun0"


# Manter conexoes jah estabelecidas para nao parar

$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT


## LIBERA LOOPBACK ##

$IPTABLES -t filter -A INPUT -j ACCEPT -i lo


## PROTEÇÕES

#PROTEGE CONTRA OS "PING OF DEATH"

$IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT
$IPTABLES -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 20/m -j ACCEPT


# Protege contra port scanners avançados (Ex.: nmap)

$IPTABLES -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 20/m -j ACCEPT

# Bloqueando tracertroute
$IPTABLES -A INPUT -p udp -s 0/0 -i eth0 --dport 33435:33525 -j REJECT

# Protecoes contra ataques
$IPTABLES -A INPUT -m state --state INVALID -j REJECT



## LIBERA RETORNO DE PACOTES ##

$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFNET -m state --state ESTABLISHED,RELATED
$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFLAN -m state --state ESTABLISHED,RELATED
$IPTABLES -t filter -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED

## LIBERA PARA LAN O ENVIO DE PING PARA WAN ##

$IPTABLES -t filter -A FORWARD -j ACCEPT -i $IFLAN -o $IFNET -p icmp

##REDIRECIONA AS REQUISIÇÕES PARA PROXY


$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE

## LIBERA ACESSO AO DNS SERVER PARA LAN##

$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFLAN -s 192.168.1.0/24 -d 8.8.8.8 -p udp --dport 53
$IPTABLES -t filter -A INPUT -j ACCEPT -i $IFLAN -s 192.168.1.0/24 -d 8.8.4.4 -p udp --dport 53


# LIBERA O ACESSO A CLIENTES DE EMAIL,POP E SMTP
$IPTABLES -A FORWARD -p tcp -m multiport --dports 25,110,143,993,995 -j ACCEPT

# LIBERA O ACESSO AO http https FTP
$IPTABLES -A FORWARD -p tcp -m multiport --dports 21,80,443,80 -j ACCEPT




}
# Stop firewall:
firewall_stop() {
/sbin/iptables -t filter -F INPUT
/sbin/iptables -t filter -F FORWARD
/sbin/iptables -t filter -F OUTPUT
/sbin/iptables -t nat -F PREROUTING
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -t nat -F OUTPUT

/sbin/iptables -t filter -P INPUT ACCEPT
/sbin/iptables -t filter -P FORWARD ACCEPT
/sbin/iptables -t filter -P OUTPUT ACCEPT

/sbin/iptables -t nat -P PREROUTING ACCEPT
/sbin/iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -t nat -P OUTPUT ACCEPT
}

# Restart firewall:
firewall_restart() {
firewall_stop
sleep 1
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
*)
echo "usage $0 start|stop|restart"
esac



obrigado

magno moura
(usa Ubuntu)

Enviado em 04/10/2013 - 16:55h

Nessa regra tira a porta 80

$IPTABLES -A FORWARD -p tcp -m multiport --dports 21,80,443,80 -j ACCEPT

px
(usa Debian)

Enviado em 04/10/2013 - 17:17h

veja:

# LIBERA O ACESSO A CLIENTES DE EMAIL,POP E SMTP
$IPTABLES -A FORWARD -p tcp -m multiport --dports 25,110,143,993,995 -j ACCEPT

# LIBERA O ACESSO AO http https FTP
$IPTABLES -A FORWARD -p tcp -m multiport --dports 21,80,443,80 -j ACCEPT

isso ta tudo passando por fora do squid...

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 17:23h

ok já tirei as regras o fato é que o firewall não esta redirecionando as requisições para o squid to postando aqui com o squid parado...

px
(usa Debian)

Enviado em 04/10/2013 - 17:27h

agora deixe isto:

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

assim:

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

xlinux
(usa Ubuntu)

Enviado em 04/10/2013 - 17:40h

Cara fiz do jeito que postou mas continua passando....