Dúvida sobre IPTABLES

removido
(usa Nenhuma)

Enviado em 06/08/2012 - 13:52h

Bom. Configurei um servidor de internet com duas interfaces (eth0: Rede Externa, eth1: Rede Interna). Instalei e configurei o squid e o dhcp3. Minha dúvida é bem simples:

Como eu compartilharia a internet, porém liberaria a porta 80 somente para algumas máquinas? Fazendo com que se o usuário não estiver com o proxy configurado ele não tenha acesso a internet?

Basicamente tenho 4 máquinas que não quero passar pelo proxy, logo vou liberar a conexão a porta 80 para os ip's dessas máquinas. Nas demais, quero que só seja possível acessar a internet se o proxy não estiver configurado.

Alguém poderia me dar uma dica de como aplicar essa lógica usando IPTABLES?

rick_G
(usa Debian)

Enviado em 06/08/2012 - 16:18h

Amigo não entendi porque vc não quer que esses ips passem pelo squid, se eles precisam ter tudo liberado é so fazer isso no próprio squid,reserva um ip pra essas máquinas no dhcp e libera no squid, esse link deve te ajudar:

http://guiadoti.blogspot.com.br/2012/07/instalando-e-configurando-um-servidor.html
http://guiadoti.blogspot.com.br/search/label/Servidores

Qualquer dúvida estamos ai... :)

removido
(usa Nenhuma)

Enviado em 06/08/2012 - 16:20h

É que na verdade tenho certos problemas com o SQUID em alguns sites (como Banco do Brasil). Há alguns sites que não permitem a conexão através de um proxy. Não sei se há uma forma de burlar isso, mas meu grande problema são os sites de Bancos e o MSN2011. Já tentei de tudo com o msn e basicamente ele conecta somente no dia que quer.

thiago_th
(usa Red Hat)

Enviado em 06/08/2012 - 17:50h

Boa tarde,

Aqui eu utilizo o SQUID e acesso o site do Banco do Brasil, MSN, tudo normalmente. A questão é a liberação das portas no próprio SQUID.CONF. Em relação à acessar somente se estiver com as configurações de proxy no navegador, é só incluir a seguinte linha no seu script de firewall:

iptables -A PREROUTING -t nat -s SUA_REDE_INTERNA/MASCARA -p tcp --dport 80 -j REDIRECT --to-port 3128.

Desta forma se as configurações do proxy não forem informadas n navegador,~a requisição será inválida.

Para que não tenha problemas com acesso a bancos e msn, coloque no seu squid.conf as seguintes linhas:

acl SSL-ports port 443 #https
acl Safe_ports port 80 #http
acl Safe_ports port 443 #https
acl Safe_ports port 21 #ftp
acl Safe_ports port 20 #ftp
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #portas não registradas
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multilining http
acl CONNECT method CONNECT

O restante é como o amigo acima disse, liberar o acesso paras as máquinas pelo próprio SQUID, por IP ou MAC ADDRESS.


Vlw!

removido
(usa Nenhuma)

Enviado em 07/08/2012 - 13:02h

Hmm. Vou testar liberando essas portas e volto a postar o resultado. Grato.

clsousa
(usa CentOS)

Enviado em 07/08/2012 - 14:56h

CAra aqui no Trampo, nos usamos a seguinte regra para liberar no Firewall - Iptables

iptables -A FORWARD -p tcp --dport 80 -s ip_será_liberado -d 0/0 -j ACCEPT

Vê se Ajuda!