SQUID / IPTABLES = LIBERAÇÃO DAS PORTAS 25 E 110

1. SQUID / IPTABLES = LIBERAÇÃO DAS PORTAS 25 E 110

viniciuspedra
(usa Debian)

Enviado em 28/01/2010 - 20:40h

Pessoal... bah ainda to na tentativa de liberar as portas do outlook... gostaria de uma ajuda pois ainda não consegui... não sei o que está acontecendo mas coloco aqui o meu squid e o firewall para analise de vcs...
o que eu quero é liberar as portas 25 e 110 pra enviar e receber emails
valeu

eth0 = rede interna (192.168.0.1)
eth1 - rede externa (modem)

ARQUIVO DO SQUID

# ---- Cache do Windows Update ----
refresh_pattern windowsupdate.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern download.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern www.microsoft.com/.*\.(cab|exe|dll|msi) 10080 100% 43200 reload-into-ims
refresh_pattern au.download.windowsupdate.com/.*\.(cab|exe|dll|msi) 4320 100% 43200 reload-into-ims
# ----

#Porta utilizada pelo squid

http_port 3128
#Nome do seu servidor (sem espaos)
visible_hostname srv-debian.residencialparaiso.imb.br
#Memoia utilizada para objetos em transito nao mexer
cache_mem 128 MB
#Não altetar as linhas abaixo
maximum_object_size_in_memory 200 KB
maximum_object_size 300 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
#Local onde sera armazenado o cache do squid
#O valor 1000 indica a quantidade em Mb que o cachedo squid ira utilizar. Como podem ver, criamos 6 partico de cachêe com 3Gb cada uma. Voce adapta pro tamanho do seu HD.
cache_dir ufs /var/spool/squid/cache1 3000 16 256
cache_dir ufs /var/spool/squid/cache2 3000 16 256
cache_dir ufs /var/spool/squid/cache3 3000 16 256
cache_dir ufs /var/spool/squid/cache4 3000 16 256
cache_dir ufs /var/spool/squid/cache5 3000 16 256
cache_dir ufs /var/spool/squid/cache6 3000 16 256

#Local onde sera guardado os logs do squid
cache_access_log /var/log/squid/access.log
#Converte as mensagens geradas pelo squid par o Português
error_directory /usr/share/squid/errors/Portuguese
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl lan src 192.168.0.0/24
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#Definiremos aqui as regras para bloqueio dos sites pelas
#palavras adicionadas no arquivo block.txt
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"

# Controle por MAC
acl mac arp "/etc/squid/macliberado/liberados.txt"

# Libera apenas o ip 192.168.0.25 do proxy
#acl ip_liberado src "/etc/squid/ipliberado/ipliberado.txt"

# ---- BlockList atualizada no squid
acl malware_block_list url_regex -i "/etc/squid/conf/malware_block_list"

#########################################
#### Paratros para controle de banda
#### ---- IPs cadastrados para download 70k
acl ips_download_150 src "/etc/squid/conf/ips_download_150"
#### ----
delay_pools 2
delay_class 1 2
delay_access 1 allow ips_download_150
delay_class 2 2
delay_access 2 allow lan
delay_parameters 1 -1/-1 150000/150000
delay_parameters 2 -1/-1 70000/70000
#########################################

http_access deny malware_block_list
http_access deny blockedsites !unblockedsites
http_access deny all !mac

#Aqui voce ira definir o IP da sua rede interna
acl redelocal src 192.168.0.0/24
http_access allow redelocal
http_access allow localhost

# Bloqueia navegacao. So libera pra faixa definida na "acl redelocal".
http_access deny all

ARQUIVO DO FIREWALL

#! /bin/bash
echo " INICIANDO FIREWALL "
# Ativa modulos
# ..................-
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carga dos Modulos OK!"
# Zera regras
# ..................-
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle
echo "Flush das regras OK!"
# Proxy Transparente
# ..................-
# Nessa linha iremos mascarar os pacotes de saída para internet.

iptables -A FORWARD -s 192.168.0.0/24 -m multiport -p tcp --port 2082,2095,2096,3000,3001,23213,43804,30229,10001,36567 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -m multiport -p udp --port 2082,2095,2096,3000,3001,51049,43804,30229,36567,10001 -j ACCEPT

iptables -A FORWARD -i 192.168.0.0/24 -p tcp --dport 2082 -j ACCEPT

#iptables -I POSTROUTING -j MASQUERADE -t nat -s 192.168.0.0/24 -p tcp --dport 2082 -o eth1

/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Nessa regra iremos redirecionar todo tráfego da porta 80 da eth0 para a porta 3128 do squid.
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Carga do Proxy Transparente OK!"

0 0

Quote

2. Re: SQUID / IPTABLES = LIBERAÇÃO DAS PORTAS 25 E 110

irado
(usa XUbuntu)

Enviado em 28/01/2010 - 21:05h

a) squid não tem nada a ver com smtp/pop3 ;)

b) seu firewall NÃO está liberando essas portas

0 0

Quote

3. Re: SQUID / IPTABLES = LIBERAÇÃO DAS PORTAS 25 E 110

viniciuspedra
(usa Debian)

Enviado em 28/01/2010 - 22:26h

e como que ficará o firewall com as alterações previstas?
o q q eu tenho q acrescentar e onde?

0 0

Quote

4. Re: SQUID / IPTABLES = LIBERAÇÃO DAS PORTAS 25 E 110

Diede
(usa Debian)

Enviado em 29/01/2010 - 00:04h

Como disse o amigo acima, squid é só HTTP(s).
Seu firewall está bem bagunçado...
Tente algo assim:

ARQUIVO DO FIREWALL

#! /bin/bash
echo " INICIANDO FIREWALL "
# Ativa modulos
# ..................-
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carga dos Modulos OK!"
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -F -t nat
/sbin/iptables -X -t nat
/sbin/iptables -F -t mangle
/sbin/iptables -X -t mangle
echo "Flush das regras OK!"

iptables -A FORWARD -s 192.168.0.0/24 -m multiport -p tcp --dport 25,110,2082,2095,2096,3000,3001,23213,43804,30229,10001,36567 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -m multiport -p udp --dport 25,110,2082,2095,2096,3000,3001,51049,43804,30229,36567,10001 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Carga do Proxy Transparente OK!"

0 0

Quote