Duvida Iptables + squid [RESOLVIDO]

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 22:25h

Você tem o serviço de DHCP instalado nesse servidor também?

A tua rede está assim então:

IF_INTERNA="eth0" << IP = 192.168.01, essa é a placa da rede interna;
IF_EXTERNA="eth1" << essa é a placa que recebe a internet;
IF_DOMINIO="eth2" << e essa é a placa de outra rede interna, IP = 10.1.1.1.

Bom, a regra

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1/24

não irá funcionar porque está encaminhando os pacotes que entram pela eth1 (internet) para o IP da eth0, sendo que isso já é feito pelo MASQUERADE, ou seja, você está encaminhando os pacotes para o próprio servidor. Pode comentar ou apagar essa regra.

E no lugar dessas duas regras abaixo

iptables -t nat -A POSTROUTING -s 192.168.0.0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 10.1.1.0 -j MASQUERADE

coloque

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE << essa regra diz que tudo que entrar pela placa de rede eth1 ( no caso, a internet) deve ser compartilhado com todas as outras placas de rede, não importando quantas tenha no servidor.

E quanto a ter 3 placas de rede isso depende de quantas máquinas você tem na tua rede. Se você quer criar duas redes internas, pode fazer isso com uma placa de rede só através do DHCP.

Outra coisa: na placa de rede que recebe a internet te aconselho a deixar com IP automático pegando IP do DHCP do modem e na placa da rede interna fixe o IP.

Quantos computadores tem na tua rede interna?

tcorte
(usa CentOS)

Enviado em 23/08/2013 - 22:34h

Ok caro amigo.... vou providenciar estas alterações que me indicou...

Bom a rede não é grande.... cerca de 40 computadores na rede 192.168.0.0
E apenas 2 maquinas na rede 10.1.1.0, nesta rede o cliente quer que libere acesso a internet pois estas maquinas sao as responsaveis pela emissão de notas fiscais da empresa.

Buckminster
(usa Debian)

Enviado em 23/08/2013 - 22:58h

Você pode deixar somente duas placas de rede, uma para receber a internet e outra para a rede interna. Essas duas máquinas aí você libera o IP delas no Iptables:

iptables -A FORWARD -d IP -j ACCEPT
iptables -A FORWARD -s IP -j ACCEPT

Cria duas regras para cada máquina, uma de ida (-s) e outra de volta (-d) e coloca essas 4 regras no início do script antes de qualquer regra de bloqueio.

tcorte
(usa CentOS)

Enviado em 23/08/2013 - 23:09h

Buckminster

Grato pelas suas dicas...
O cliente me passou que precisa liberado na rede 10.1.1.0 somente estas regras...

Servidor de TS:
- Acesso remoto, porta 3389 na rede externa, pode ser dada permissão de acesso somente ao IP (200.175.93.151)

Servidor Web NF-e:
- Emissão de NFe, porta 82 na rede interna.
- Webservice SEFAZ, deve ser liberado sem passar por bloqueio ou proxy. Existe uma tabela específica para cada estado que pode ser encontrada na página da Receita, mas grande parte roda em SSL na porta 443. O endereço específico para o RS: http://www.nfe.fazenda.gov.br/portal/webServices.aspx?tipoConteudo=Wak0FwB7dKs=#RS


obrigado