Proxy, IPTables e IPS por fora

1. Proxy, IPTables e IPS por fora

Douglas Alexsandro da Silva
DouglasDuZZ

(usa Deepin)

Enviado em 09/08/2016 - 11:06h

Bom dia, tenho um proxy configurado e funcionando e um firewall que me atende "bem" até o momento, mas estou com dificuldades de fazer com que alguns ips passem por fora do proxy.
Segue meu script de firewall:

IFWAN1="eth0" #INTERNET
IFLAN1="eth2" #REDE LOCAL
IFLAN2="eth1" #ANTENA
REDE="192.168.1.0/24"

#ACEITA CONEXOES JA ESTABELECIDAS
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#LIBERA ICMP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT

#LIBERA FLUXO INTERNO
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#LIBERA SSH PRA REDE LOCAL
iptables -A INPUT -s $REDE -p tcp --dport 22 -j ACCEPT

#LIBERA ACESSO APACHE
iptables -A INPUT -s $REDE -p tcp --dport 80 -j ACCEPT

#LIBERA SQUID
iptables -A INPUT -s $REDE -p tcp --dport 3128 -j ACCEPT

#LIBERA CONSULTA AO DNS
iptables -A INPUT -s $REDE -p udp --dport 53 -j

#LIBERA IPERF
iptables -A INPUT -s $REDE -p tcp --dport 5001 -j
iptables -A INPUT -s $REDE -p udp --dport 5001 -j ACCEPT

#LIBERA PORTAS ALTAS
iptables -A FORWARD -i $IFLAN1 -o $IFWAN1 -s $REDE -p tcp --dport 1024:65535 -j ACCEPT

#LIBERA TEAMVIEWER
iptables -A FORWARD -s $REDE -o $IFWAN1 -p tcp --dport 5938 -j ACCEPT
iptables -A FORWARD -m string --algo bm --string "teamviewer" -j ACCEPT
iptables -A INPUT -m string --algo bm --string "teamviewer" -j ACCEPT

#IPS SEM PROXY
for IP in $(cat /etc/squid3/ips_fora_proxy); do
iptables -t nat -I PREROUTING -s $IP -p tcp --dport 80 -j ACCEPT
done

#FAZ MASQUERADE DE CONEXOES
iptables -t nat -A POSTROUTING -o $IFWAN1 -j MASQUERADE



  


2. Re: Proxy, IPTables e IPS por fora

Erick Torres
ericktorres

(usa )

Enviado em 09/08/2016 - 12:00h

DouglasDuZZ escreveu:

Bom dia, tenho um proxy configurado e funcionando e um firewall que me atende "bem" até o momento, mas estou com dificuldades de fazer com que alguns ips passem por fora do proxy.
Segue meu script de firewall:

IFWAN1="eth0" #INTERNET
IFLAN1="eth2" #REDE LOCAL
IFLAN2="eth1" #ANTENA
REDE="192.168.1.0/24"

#ACEITA CONEXOES JA ESTABELECIDAS
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#LIBERA ICMP
iptables -A INPUT -p icmp -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT

#LIBERA FLUXO INTERNO
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT

#LIBERA SSH PRA REDE LOCAL
iptables -A INPUT -s $REDE -p tcp --dport 22 -j ACCEPT

#LIBERA ACESSO APACHE
iptables -A INPUT -s $REDE -p tcp --dport 80 -j ACCEPT

#LIBERA SQUID
iptables -A INPUT -s $REDE -p tcp --dport 3128 -j ACCEPT

#LIBERA CONSULTA AO DNS
iptables -A INPUT -s $REDE -p udp --dport 53 -j

#LIBERA IPERF
iptables -A INPUT -s $REDE -p tcp --dport 5001 -j
iptables -A INPUT -s $REDE -p udp --dport 5001 -j ACCEPT

#LIBERA PORTAS ALTAS
iptables -A FORWARD -i $IFLAN1 -o $IFWAN1 -s $REDE -p tcp --dport 1024:65535 -j ACCEPT

#LIBERA TEAMVIEWER
iptables -A FORWARD -s $REDE -o $IFWAN1 -p tcp --dport 5938 -j ACCEPT
iptables -A FORWARD -m string --algo bm --string "teamviewer" -j ACCEPT
iptables -A INPUT -m string --algo bm --string "teamviewer" -j ACCEPT

#IPS SEM PROXY
for IP in $(cat /etc/squid3/ips_fora_proxy); do
iptables -t nat -I PREROUTING -s $IP -p tcp --dport 80 -j ACCEPT
done

#FAZ MASQUERADE DE CONEXOES
iptables -t nat -A POSTROUTING -o $IFWAN1 -j MASQUERADE


Desvio de Proxy

iptables -t nat -A PREROUTING -s 192.168.1.XXX -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.1.XXX -j RETURN
iptables -A FORWARD -s 192.168.1.XXX -j ACCEPT

Troque pelas suas configurações.



3. Re: Proxy, IPTables e IPS por fora

Douglas Alexsandro da Silva
DouglasDuZZ

(usa Deepin)

Enviado em 09/08/2016 - 12:45h

não funcionou


4. Re: Proxy, IPTables e IPS por fora

Erick Torres
ericktorres

(usa )

Enviado em 09/08/2016 - 14:01h

DouglasDuZZ escreveu:

não funcionou


teste direto sem as variáveis






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts