Configurando Squid/IpTables
1. Configurando Squid/IpTables
delphixer
(usa Fedora)
Enviado em 24/06/2008 - 13:43h
Alguém pode olhar os meus scripts squid e iptables para verificar se tem alguma falha escabrosa que eu deixei passar como sou iniciante nisso é a primeira vez que monto um servidor de internetsquid.conf:
#INICIANDO CONFIGURACAO DO SQUID
http_port 3128 transparent
visible_hostname Firewall
###########################################################################
#INICIANDO CONFIGURACAO DO CACHE
cache_mem 128 MB
maximum_object_size_in_memory 256 KB
maximum_object_size 500 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid/cache 2048 16 256
###############################################################################
#CONFIGURANDO IDIOMA PARA MENSAGENS DE ERRO
error_directory /usr/share/squid/errors/Portuguese
###############################################################################
#CONFIGURANDO DIRETORIO PARA ARQUIVO DE LOG
cache_access_log /var/spool/squid/log/access.log
###############################################################################
#echo CONFIGURANDO ATUALIZACAO DO CACHE
#refresh_pattern ^ftp: 15 20% 2280
#refresh_pattern ^gopher: 15 20% 2280
#refresh_pattern . 15 20% 22820
###############################################################################
#IP's da rede local liberado tudo
#acl ip_liberado src "/etc/squid/ip_liberado"
#http_access allow ip_liberado
# Regras de Acesso Restrito
#acl site_restrito dstdomain "/etc/squid/site_restrito"
#acl ip_restrito src "/etc/squid/ip_restrito"
#http_access deny ip_restrito !site_restrito
#IP's da rede local bloqueados
#acl ip_negado src "/etc/squid/ip_negado
#http_access deny ip_negado
# Regras de bloqueio de site por palavras
#acl palavra dstdom_regex "/etc/squid/palavras_negadas"
#http_access deny palavra
# Regras de bloqueio de site por url
#acl site url_regex -i "/etc/squid/sites_negados"
#http_access deny site
#Bloqueio por download de arquivo
#acl videos url_regex -i .avi$ .wmv$ .mpg$ .rmvb$ mpeg$ .mpe$ .mov$ .asf$ .flv$
#http_access deny videos
#acl audio url_regex -i .mp3$ .wav$
#http_access deny audio
#CRIANDO REGRAS ACL
acl all src 192.168.0.0/255.255.255.0
http_access allow all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
acl SSL_ports port 443 563 # Portas com acesso de segurança
acl Safe_ports port 80 #http
acl Safe_ports port 25 #smtp
acl Safe_ports port 110 #pop
acl Safe_ports port 143 #imap
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, news
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1433 #MS-SQL SERVER
acl purge method PURGE
acl CONNECT method CONNECT
#APLICANDO REGRAS
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
###############################################################################
#CONTROLAR USO DE BANDA INTERNO
#delay_pools 1
#delay_class 1 2
#delay_parameters 1 114688/114688 16384/16384 #com a conexao de 1024 kbps
#delay_access 1 allow redelocal
###############################################################################
#BLOQUEANDO ACESSOS EXTERNOS
http_access deny !all
#FIM DA CONFIGURACAO DO SQUID
script iptables:
#CARREGANDO MODULOS DE FIREWALL
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_state
/sbin/modprobe ipt_MASQUERADE
###########################################################################
#DESABILITANDO GATEWAY
echo 0 > /proc/sys/net/ipv4/ip_forward
###########################################################################
#RESETANDO REGRAS DE FIREWALL
iptables -F
iptables -Z
iptables -X
iptables -t nat -F
###########################################################################
#REGRAS DE ENTRADA, SAIDA E ENCAMINHAMENTO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
###########################################################################
#IGNORANDO BROADCAST
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
###########################################################################
#SOLICITACOES DAS PLACAS DE REDE INTERNAS
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.0.100 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 201.XX.XX.XX -i lo -j ACCEPT
###########################################################################
#SOLICITACOES DE ENTRADA E SAIDA DA REDE LOCAL
iptables -A INPUT -p ALL -s 192.168.0.0/24 -i eth1 -j ACCEPT
###########################################################################
#MANTER COMUNICACOES ESTABELECIDAS
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT
###########################################################################
#BLOQUEIO DE SPOOFING PELA PLACA DE INTERNET
iptables -A INPUT -i eth0 -s 0.0.0.0/0.0.0.0 -j DROP
###########################################################################
#APLICANDO REGRAS ICMP
iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT
###########################################################################
#LIBERANDO A PORTA DO SQUID PARA REDE LOCAL
iptables -A INPUT -p TCP -i eth1 –dport 3128 -j ACCEPT
###########################################################################
#HABILITANDO SSH E WEBMIN PARA REDE LOCAL
iptables -A INPUT -p TCP -i eth1 -s 192.168.0.0/24 –dport 22 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 –dport 10000 -j ACCEPT
###########################################################################
#REJEITAR ACESSO A PORTA DE 3128 DE PACOTES RESETADOS
iptables -A INPUT -p TCP –dport 3128 -j REJECT –reject-with tcp-reset
###########################################################################
#IGNORANDO LOG DE BROADCAST
iptables -A INPUT -d 192.168.0.255 -j DROP
###########################################################################
#APLICANDO REGRAS PADRAO FORWARD
iptables -A FORWARD -p tcp –dport 443 -j ACCEPT
iptables -A FORWARD -p icmp –icmp-type 8 -j ACCEPT
iptables -A FORWARD -p icmp –icmp-type 0 -j ACCEPT
iptables -A FORWARD -m state –state INVALID -j DROP
iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT
###########################################################################
#ACEITANDO SOLICITACOES DO DNS DE INTERNET
iptables -A FORWARD -p udp -d 200.XX.XX.XX –dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 200.XX.XX.XX –dport 53 -j ACCEPT
###########################################################################
#ACEITANDO SOLICITACOES POP e SMTP
iptables -A FORWARD -p tcp -m tcp –dport 25 -d 200.XX.XX.XX -j ACCEPT
iptables -A FORWARD -p tcp -m tcp –dport 25 -d 200.XX.XX.XX -j ACCEPT
iptables -A FORWARD -p tcp -m tcp –dport 110 -d 200.XX.XX.XX -j ACCEPT
iptables -A FORWARD -p tcp -m tcp –dport 110 -d 200.XX.XX.XX -j ACCEPT
###########################################################################
#HABILITANDO PROXY
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128
###########################################################################
#CRIANDO UM SOURCE NAT DA REDE LOCAL
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT –to 201.XX.XX.XX
###########################################################################
#HABILITANDO GATEWAY
echo 1 > /proc/sys/net/ipv4/ip_forward
###########################################################################
#SALVANDO REGRAS DE FIREWALL
iptables-save
#SAIR
exit 0
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Melhorando a precisão de valores flutuantes em python[AJUDA] (9)
GLPI - Configuração de destinatário com conta Microsoft Exchange (0)
Vou voltar moderar conteúdos de Dicas e Artigos (3)
OpenVPN no MACBOOK conecta mas não pinga pastas de rede compartilhada ... (1)
Top 10 do mês
-
Xerxes
1° lugar - 68.542 pts -
Fábio Berbert de Paula
2° lugar - 51.914 pts -
Buckminster
3° lugar - 18.570 pts -
Mauricio Ferrari
4° lugar - 16.206 pts -
Alberto Federman Neto.
5° lugar - 14.963 pts -
Diego Mendes Rodrigues
6° lugar - 13.694 pts -
Daniel Lara Souza
7° lugar - 13.338 pts -
edps
8° lugar - 11.679 pts -
Andre (pinduvoz)
9° lugar - 11.342 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 11.211 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
