Dúvidas sobre IPTABLES

SK5_RJ
(usa Debian)

Enviado em 18/04/2015 - 20:10h

Servidor proxy: Dansguardian, Squid3 transparente, Iptables ( é o gateway da rede )
Olá a todos,
a um tempo tenho percebido, que a rede fica lenta ( somente o que passa pelo proxy; squid e dansguardian) de duas em duas horas, so consigo reestabelecer a velocidade normal dando um restart no dansguardian; tentei reconfigurar o squid3 e dansguardian mas estou achando que o problema é o Iptables.

Um outro detalhe, é que quando fico com um IP durante muito tempo, tenho problemas de lentidão constante, ao trocar, tudo normalizar; como eu poderia ver se tem alguém usando o proxy de fora?

Galera se alguém poder me dar ajudar com o Iptables, pois o rapaz que trabalha mais com redes, está de licença, por isso muitas dúvidas sobre Iptables.

A maquina server tem uma boa configuração, e atende 100 maquinas clientes.
Obrigado pela atenção

#! /bin/bash
#adicionado depois para ativa  regra  Block Face
iptables -F
iptables -Z
###fim
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -t nat -F
iptables -t mangle -F
modprobe ip_tables
modprobe iptable_nat
modprobe ipt_string
echo "1" > /proc/sys/net/ipv4/ip_forward
# IPTABLES restart, start
#?
# Funçoes 
libera_ip (){
iptables -t nat -I PREROUTING -s $1 -j ACCEPT
iptables -t nat -I POSTROUTING -s $1 -o eth3 -j MASQUERADE
iptables -I FORWARD -s $1 -j ACCEPT
}
bloqueia_ip (){
iptables -A INPUT -s $1 -j DROP
}
#################
#BLOQUEIA IPs
#bloqueia_ip "192.168.0.200"
# LIBERA NAVEGAO SEM PROXY PARA SERVIDORES!
# A.D
libera_ip "192.168.0.110"
libera_ip "192.168.0.190"
libera_ip "192.168.0.200"
#RGL
libera_ip "192.168.0.122"
libera_ip "192.168.0.36"
##################
#Redicionamento para porta 8080 do Dansguardian
iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 8080
# ABRE A CONEXO PARA A REDE LOCAL NA PORTA 8080
#iptables -A INPUT -i eth2 -p tcp --dport 8080 -j ACCEPT
# Liberar DNS Net virtua - Comente as quatro linhas abaixo com # e descomente as da OI
iptables -A FORWARD -s 192.168.0.0/24 -d 186.223.160.24 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 186.223.160.21 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -d 201.6.4.116 -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#####OI DNS
#iptables -A FORWARD -s 192.168.0.0/24 -d 200.222.122.132 -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -s 192.168.0.0/24 -d 200.222.145.86 -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#Bloquear social networks
#iptables -I FORWARD -m string --algo bm --string "youtube.com" -j DROP
#iptables -I OUTPUT -m string --algo bm --string "youtube.com" -j DROP
#iptables -I FORWARD -m string --algo bm --string "facebook.com" -j DROP
#iptables -I OUTPUT -m string --algo bm --string "facebook.com" -j DROP
#iptables -I FORWARD -m string --algo bm --string "twitter.com" -j DROP
#iptables -I OUTPUT -m string --algo bm --string "twitter.com" -j DROP
# COmpartilhamento da interface ETH3 > Eth2
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#Bloqueio do Proxy para rede externa 
#iptables -A INPUT -p tcp -i eth3 --dport 3128 -j DROP
# BLOQUEIA CONTRA PING DA MORTE E DoS 
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
iptables -A INPUT -p tcp --dport 3128 -i eth2 -j ACCEPT #Proxy
iptables -A INPUT -p tcp --dport 80 -i eth2 -j ACCEPT #HTTP
iptables -A INPUT -p tcp --dport 21 -i eth2 -j ACCEPT #FTP
iptables -A INPUT -p tcp --dport 53 -i eth2 -j ACCEPT #DNS
iptables -A INPUT -p udp --dport 53 -i eth2 -j ACCEPT #DNS
iptables -A INPUT -p tcp --dport 25 -i eth2 -j ACCEPT #SMTP
iptables -A INPUT -p tcp --dport 110 -i eth2 -j ACCEPT #SSL
iptables -A INPUT -p udp --dport 110 -i eth2 -j ACCEPT #SSL
iptables -A INPUT -p tcp --dport 80 -i eth2 -j ACCEPT #SSL
iptables -A INPUT -p udp --dport 80 -i eth2 -j ACCEPT #SSL
iptables -A INPUT -p tcp --dport 443 -i eth2 -j ACCEPT #SSL
iptables -A INPUT -p udp --dport 443 -i eth2 -j ACCEPT #SSL

# ATIVE ESTA ESTTAS DUAS LINHAS  SOMENTE SE FOR UTILIZAR O SQUID COMO PROXY
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -p tcp -m multiport -s 192.168.0.0/24 --dport 3128 -j REDIRECT --to-ports 8080
#iptables -A INPUT -i eth2 -p tcp --dport 8080 -j ACCEPT
#iptables -A INPUT -p tcp --dport 10000 -j ACCEPT
#iptables -A INPUT -p tcp --dport 4363 -j ACCEPT
#Liberar uma outra subrede  
#iptables -A OUTPUT -s 192.168.1.1 -j ACCEPT
#iptables -A INPUT -d 192.168.1.1 -j ACCEPT
#tentativa de liberar  atualizaçao JAVA
#iptables -t filter -A FORWARD -p tcp --dport 8443 -j ACCEPT
#iptables -t filter -A FORWARD -p tcp --dport 443 -j ACCEPT
##########

#Lista de IPs liberados para acessar o Facebook 
iptables -X
IPS_ACCEPT=$(cat /home/ips_accept.txt)
#Sub-rede interna do ambiente em questão
REDE_INTERNA="192.168.0.0/24"
#Criando nova regra FACEBOOK
iptables -N FACEBOOK
#Transferindo todo tráfego fonte da rede interna para a regra FACEBOOK
iptables -I FORWARD -s $REDE_INTERNA -j FACEBOOK
#Percorre o arquivo dos IPs do Facebook (facebook.txt) e vai colocando REJECT em todos os IPs da rede interna, exceto os liberados.
for i in `cat /home/facebook.txt`; do
#O acesso dos IPs (que caíram na regra FACEBOOK) ao Facebook vai ser rejeitado
iptables -A FACEBOOK -d $i -j REJECT
#Percorre lista de IPs liberados e vai colocando ACCEPT neles
for liberados in $IPS_ACCEPT; do
iptables -I FORWARD -s $liberados -d $i -j ACCEPT
done
done


 

SK5_RJ
(usa Debian)

Enviado em 23/04/2015 - 01:29h

Alguem ;(

fcmorini
(usa Debian)

Enviado em 23/04/2015 - 16:39h

Buenas amigo, aconselho a você utilizar 3 ferramentas de monitoria da rede:

ntop (vai abilitar um webserver acessível através do ip_servidor:3000 é configuravel, tudo no browser)
iptraf
tcpdump

se der uma olhada nesses caras e aprender a mexer um pouquinho vai conseguir descobrir muito sobre sua rede!
aqui no vol mesmo tem muito material sobre isso, por isso não arrisquei indicar nada!
Abraços e boa sorte!

SK5_RJ
(usa Debian)

Enviado em 26/04/2015 - 18:50h

Obrigado Morini, vou testar amanha, Ntop eu havia instalado mas como é uma correria la, não pude testar!
Abraços!

SK5_RJ
(usa Debian)

Enviado em 27/04/2015 - 11:29h

Estou usando o TCPtrack, percebi que o problema pode ser tao somente o Dansguardian, pois ao tentar acessar o www.globo.com uol.com.br nenhum requisição chega no Squid, vou tentar atualizar o dansguardian, pois ainda uso Version 2.10.1.1.