ACESSAR SITE PELO NAVEGADOR IPTABLES [Squid/Iptables]

gramosiri

Discussão no fórum: ACESSAR SITE PELO NAVEGADOR IPTABLES — Viva o Linux, a maior comunidade GNU/Linux da América Latina.

1. ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 13:52h

Boa tarde galera, estou com um pequeno problema. Criei algumas regras no iptables porém não estou conseguindo acessar os sites pelo navegador, dei uma vasculhada na internet mas não consegui resolver o problema.

Tenho um servidor com NAT(eth0) e duas Rede Interna(eth1[192.168.10.1] e eth2[192.168.20.1)
A rede eth1 tem um cliente 192.168.10.10 e a rede eth2 tem um cliente 192.168.20.10. Quero liberar o acesso para o cliente 192.168.20.10

Os clientes se comunicam e fazem ping pra rede externa mas pelo navegador não acessa... Tem alguns lugares que fala que tem que liberar a porta 80,443 e 53 (http, https e dns)

#Limpa tabelas
iptables -X
iptables -t filter -F
iptables -t nat -F

#Negando tudo
iptables -P INPUT DROP
iptables -P FORWARD DROP

#Encaminhamento de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward

#Macarar pacote nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Permite protocolo icmp (ping)
iptables -A FORWARD -p icmp -j ACCEPT

#Liberando DSN para Rede local
iptables -A INPUT -p udp -s 192.168.20.10 -d 192.168.20.0/24 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.20.10 -d 192.168.20.0/24 --dport 53 -j ACCEPT

#Liberando porta 80 rede local
iptables -A INPUT -p tcp -s 192.168.20.10 -d 192.168.20.0/24 --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.20.10 -d 192.168.20.0/24 --dport 80 -j ACCEPT

#Liberando porta HTTPS
iptables -A INPUT -p tcp -s 192.168.20.10 -d 192.168.20.0/24 --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -s 192.168.20.10 -d 192.168.20.0/24 --dport 443 -j ACCEPT

2. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 15:27h

gramosiri escreveu:

Tem alguns lugares que fala que tem que liberar a porta 80,443 e 53 (http, https e dns)

exato!

para um bom funcionamento, no mínimo esses protocolos devem ser liberados..

3. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 15:30h

não tenho conhecimento concreto em iptables para rede..

mas vou problematizar algumas questões a partir do meu conhecimento de iptables para uso doméstico..

gramosiri escreveu:

#Limpa tabelas
iptables -X
iptables -t filter -F
iptables -t nat -F

não muda nada... mas, para padronizar... sugeriria na primeira linha: "iptables -t filter -X" (quando a tabela é suprimido o padrão é "filter")

gramosiri escreveu:

#Negando tudo
iptables -P INPUT DROP
iptables -P FORWARD DROP

falta explicitar a Política Padrão do OUTPUT.

gramosiri escreveu:

#Macarar pacote nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#Permite protocolo icmp (ping)
iptables -A FORWARD -p icmp -j ACCEPT

não sei dizer nada sobre essa parte.

gramosiri escreveu:

#Liberando DSN para Rede local
iptables -A INPUT -p udp -s 192.168.20.10 -d 192.168.20.0/24 --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp -s 192.168.20.10 -d 192.168.20.0/24 --dport 53 -j ACCEPT

1) "-s 192.168.20.10" é a origem do pacote.. ok! (mas, não sei se deve ser especificado a máquina ou a rede)

2) "-d 192.168.20.0/24" aqui entendo estar o erro! o destino seria o Nat (que penso não ser necessário indicar) [você está colocando origem e destino iguais para o mesmo pacote -- assim, a regra nunca conseguirá ser validada]

3) no lugar de OUTPUT não deveria ser FORWARD?

4) as mesmas observações faço a implementação dos outros protocolos..

4. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 15:40h

faço, então, dois conjuntos de sugestões para testes:

1) tentando liberando apenas para a máquina:
a)

#Liberando DSN para Rede local

iptables -A INPUT -p udp -s 192.168.20.10 --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp -d 192.168.20.10 --dport 53 -j ACCEPT

b)

#Liberando DSN para Rede local

iptables -A INPUT -p udp -s 192.168.20.10 --dport 53 -j ACCEPT

iptables -A FORWARD -p udp -d 192.168.20.10 --dport 53 -j ACCEPT

2) tentando liberando para todas as máquinas da rede:
a)

#Liberando DSN para Rede local

iptables -A INPUT -p udp -s 192.168.20.0/24 --dport 53 -j ACCEPT

iptables -A OUTPUT -p udp -d 192.168.20.0/24 --dport 53 -j ACCEPT

b)

#Liberando DSN para Rede local

iptables -A INPUT -p udp -s 192.168.20.0/24 --dport 53 -j ACCEPT

iptables -A FORWARD -p udp -d 192.168.20.0/24 --dport 53 -j ACCEPT

obs: replicar essa mesma lógica para a implementação dos outros protocolos..

5. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 16:21h

@raserafim Tentei das duas maneiras e não funcionou, ainda adicionei a regra

iptables -A FORWARD -p tcp -s 192.168.20.0/24 --sport 80 -j ACCEPT (com a 443 e 53)

6. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 16:48h

gramosiri escreveu:

@raserafim Tentei das duas maneiras e não funcionou, ainda adicionei a regra

deixo então, como sugestão, um método para buscar o erro:

1) inicie por uma regra totalmente permissiva:

#Permitindo tudo

iptables -P INPUT ACCEPT

iptables -P OUTPUT ACCEPT

iptables -P FORWARD ACCEPT

2) caso funcione, vá adicionando as regras pouco a pouco:
a) apenas o INPUT como DROP: vá adicionando as regras apenas do INPUT..

b) se tudo funcionar, coloque o FORWARD como ACCEPT e vá adicionando as regras pouco a pouco.

3) etc...

7. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 16:53h

tenho quase certeza de que você precisa configurar levando em conta duas dimensões:

1) a conexão do servidor com a internet (INPUT e OUTPUT)

2) a conexão do servidor com a rede interna (INPUT e FORWARD)

ou seja, primeiro você deve se certificar de que o servidor consegue acessar tudo na internet normalmente (web, ftp, etc).

tendo isso feito, é que você vai buscar configurar o acesso das máquinas internas com o servidor.

8. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 25/04/2018 - 22:06h

É... tentei de tudo e nada, vou fazer mais uns testes amanhã e posto

9. Re: ACESSAR SITE PELO NAVEGADOR IPTABLES

Enviado em 26/04/2018 - 00:55h

gramosiri escreveu:

É... tentei de tudo e nada, vou fazer mais uns testes amanhã e posto

blz!

boa sorte!

obs: é preciso ser metódico para isolar o problema...!

ACESSAR SITE PELO NAVEGADOR IPTABLES

Responder tópico