Regra no IPTables

marceloadeo
(usa Fedora)

Enviado em 05/05/2008 - 16:47h

Olá de novo pessoal,



Uso o Fedora Core 8 com Squid 2.6.Stable19 e gostaria de saber o seguinte:

Este computador com o Fedora Core 8 é o nosso servidor de internet, onde neste tenho duas(2) placas de redes uma para receber o sinal da internet de fora (eth0) com IP 10.253.63.113 o qual eu compartilho com a outra placa de rede (eth1), onde eu criei uma rede interna com IP 192.168.100.1.

Quando faço o compartilhamento da internet e o redirecionamento de tráfego da porta 80 para a porta 3128 do Squid utilizo as seguintes linhas no IPTables:

# Script de Compartilhamento do Internet
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P FORWARD ACCEPT
iptables -t nat -A POSTROUTING -j MASQUERADE
sysctl -w net.ipv4.ip_forward=1
# Script de Redirecionamento de Trafego de Portas 80 para 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80,443,21 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p udp --dport 80,443,21 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80,443,21 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 80,443,21 -j REDIRECT --to-port 3128
# Cancela Porta do MSN
iptables -I FORWARD -s 192.168.100.1 -p tcp --dport 1863 -j DROP
iptables -I FORWARD -s 192.168.100.1 -p tcp --dport 5223 -j DROP


A pergunta é bem simples: Está 100% correto a minha configuração? Pergunto isto porque fiquei na dúvida sobre qual das eths devo usar: eth0 ou eth1, qual delas devo realmente utilizar neste script ou não há problema em utilizar as duas(02), assim como as portas que eu incluir em cada linha (80, 443, 21) e os protocolos: TCP e UDP, então desta forma como sou iniciante em Linux gostaria de saber uma sugestão da turma.


Grato por qualquer ajuda.

edupersoft
(usa Manjaro Linux)

Enviado em 05/05/2008 - 16:58h

Apenas a interface da rede interna deve ter o desvio, caso contrário, se alguém tentar usar o seu ip externo, vai acessar o seu squid que irá responder a requisição, um tanto perigoso não acha. Quanto as portas, dependendo dos serviços de internet que seus usuários utilizam, você terá que incluir outras portas, a conectividade social por exemplo, requer outras portas. Mas o mais conveniente é você ir liberando as portas conforme as necessidades.

marceloadeo
(usa Fedora)

Enviado em 05/05/2008 - 17:11h

E quanto às portas e protocolos que coloquei na minha linha do iptable 80,443,21 e TCP,UDP, estão corretas também? pois coloquei pensando nos usuários que por ventura queiram fazer algum download de sites FTP(porta 21) e a porta 443 para aqueles que queiram acessar por exemplo um banco(https) entre outros mais.


Grato.

magnolinux
(usa Debian)

Enviado em 20/08/2008 - 08:33h

como você tem mais de uma placa de rede, e nao especificou quais sao os endereços dela, para nos sabermos qual seria a que esta comunicando com sua rede interna, você pode redirecionar o acesso desta forma.

iptables -t nat -A PREROUTING -p tcp -m multiport --dport 80,443 -j REDIRECT --to-port 3128

desta forma se vc tiver 5 redes, todas cinco serao redirecionadas.
espero ter ajudado.

qualquer duvida, meu e-mail
magno@nelk.com.br