SQUID + IPTABLES URGENTE

darktigo
(usa CentOS)

Enviado em 07/10/2015 - 23:26h

Bom dia Senhores, estou com o seguinte problema em mãos

Tenho um Servidor CentOS 6.4 com 3 placas de rede + Placa rede da placa mãe vou lhes explicar por que

INTERNET NET ip 192.168.0.254/24 ligado a placa eth0 192.168.0.1/24

e 3 placas de rede que vão para o switch

eth1 192.168.1.1 /24 EMPRESA A
eth2 192.168.2.1/24 EMPRESA B
eth3 10.10.10.0/24 VISITANTES

Eu Necessito de algumas coisas com essa topologia:

Executei um comando de masquerade saindo pela eth0 para que todas as redes possam se conectar a internet, dai tudo bem funcionou OK!

Porém me deparo com o seguinte problema:

Necessito que essa redes não consigam pingar entre si. sendo elas rede da eth1 eth2 eth3, uma não consiga pingar a outra


Outro Problema que necessito e que ao instalar o SQUID, necessito que essas redes passem pelo proxy e estejam dentro das regras criadas no mesmo.

E Possivel isso, se sim alguem tem alguma sugestão de comando a executar no IPTABLES e SQUID?

sergeimartao
(usa Linux Mint)

Enviado em 08/10/2015 - 09:23h

Teste as seguintes regras de iptables

# bloquear icmp empresa A

iptables -A FORWARD -p icmp -s 192.168.1.0/24 -d 192.168.2.0/24 -j DROP

iptables -A FORWARD -p icmp -s 192.168.1.0/24 -d 10.10.10.0/24 -j DROP



# bloquear icmp empresa B

iptables -A FORWARD -p icmp -s 192.168.2.0/24 -d 192.168.1.0/24 -j DROP

iptables -A FORWARD -p icmp -s 192.168.2.0/24 -d 10.10.10.0/24 -j DROP



# bloquear icmp para visitantes

iptables -A FORWARD -p icmp -s 10.10.10.0/24 -d 192.168.1.0/24 -j DROP

iptables -A FORWARD -p icmp -s 10.10.10.0/24 -d 192.168.2.0/24 -j DROP



# redirecionar todo trafego da porta 80 para 3128 (squid)

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A PREROUTING -i eth3 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

Buckminster
(usa Debian)

Enviado em 08/10/2015 - 09:24h

Sobre o Squid é simples: basta conectar fisicamente o servidor no qual ele está instalado diretamente no roteador pela placa de rede de entrada, no teu caso acredito que seja a eth0 e configurar o squid.conf.

Pinga ni mim.

Bloquear totalmente o ICMP:

iptables -A INPUT -p icmp -j DROP

Bloquear apenas os pacotes ICMP do tipo echo-request:

iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

Mas acredito que seja isto que tu quer:

iptables -A INPUT -s 192.168.1.1/24 -p icmp -j DROP
iptables -A INPUT -s 192.168.2.1/24 -p icmp -j DROP
iptables -A INPUT -s 10.10.10.0/24 -p icmp -j DROP
# iptables -A INPUT -p icmp -j ACCEPT <<< descomente esta regra se tu quer liberar o ping para o teu servidor.

darktigo
(usa CentOS)

Enviado em 08/10/2015 - 13:27h

BLZ IREI TESTAR E POSTO O QUE DEU!

darktigo
(usa CentOS)

Enviado em 08/10/2015 - 21:43h

Amigos Funciou perfeitamente, agira uma duvida fiz essa regra do redirecionamento mais as paginas do facebook com https estão passando entao fiz a mesma regra porem com 443 e bloqueou porém esta bloqueando banco essas coisas, e possivel criar essa regra de 443 mas pra site especifico ?

Buckminster
(usa Debian)

Enviado em 09/10/2015 - 08:49h

Se tu redirecionou a porta 443 para o Squid então tu deve liberar/bloquear os sites no Squid, sacou bixo?