Liberar IP Firewall/Squid

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 10:29h

Pessoal Bom dia,
Estou com um problema aqui que esta me tirando o sono, eu preciso passar um ip for do squid e queria fazer isso com iptables minha regra esta assim:

iptables -t nat -A PREROUTING -s ! IP_LIBERADO -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o eth0 -s IP_LIBERADO -j MASQUERADE

eu ate tenho esse tipo de regra em outro server e funciona, neste que estou aqui nao funciona nem a paulada alguem sabe oque esta acontecendo???

PS.: pelo squid eu consigo liberar normal

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 10:32h

esqueci de um detalhe: uso proxy authenticado

renato_pacheco
(usa Debian)

Enviado em 07/10/2010 - 10:35h

Depende do seu firewall. Se vc tem proxy autenticado, pq vc redireciona os pacotes da porta 80 pra 3128? Libere com o FORWARD:

# iptables -A FORWARD -s IP_Q_DESEJA -p tcp --dport 80 -j ACCEPT

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 12:07h

eu uso essa regra para que ninguem tente alterar o proxy do navegador por um proxy externo, assim eu fico tranquilo sobre isso, o que me chama a atenção é que tenho outros servers com a msm distro e funciona tranquilo essa regra... nesse sv que estou não funciona, estranho d+ :S fica como eu não tivese essa regra.

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 12:15h

vou tentar com o FORWARD e posto o resultado

ty anyway ;)

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 13:04h

com forward tb nao vai =/

renato_pacheco
(usa Debian)

Enviado em 07/10/2010 - 13:11h

Vc tem q colocar suas regras aki pra gente t uma noção.

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 14:05h

ai ta minhas regras

#!/bin/sh

#Iniciando
echo 1 > /proc/sys/net/ipv4/ip_forward

# Mudando as politicas para ACCEPT
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

# Limpando as regras em memoria
iptables -F -t filter
iptables -F -t mangle
iptables -F -t nat
iptables -X -t filter
iptables -X -t mangle
iptables -X -t nat
iptables -Z -t filter
iptables -Z -t mangle
iptables -Z -t nat

###################################Protecao################################

#Ignora ping
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP

#Protecao contra syn floods
echo > 1 /proc/sys/net/ipv4/tcp_syncookies

#Protege contra ping spoofing
echo > 1 /proc/sys/net/ipv4/conf/default/rp_filter

#Descarta pacotes mal formados
iptables -A INPUT -m state --state INVALID -j DROP

###########################################################################

#Carregando Modulos
modprobe ip_tables
modprobe ip_conntrack_pptp
modprobe ip_nat_pptp
modprobe iptable_nat
modprobe iptable_filter
modprobe iptable_mangle
modprobe ipt_REDIRECT
modprobe ipt_LOG
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp

#Abre para a interface de loopback
iptables -A INPUT -p tcp -i lo -j ACCEPT

#Libera conexoes ja estabilizadas.
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

#Protege contra SYN FLOODS
iptables -A FORWARD -p tcp --syn -m limit --limit 10/s -j ACCEPT
iptables -A FORWARD -p tcp --syn -j DROP

#Mascarando
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 22 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 25 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 110 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 1723 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.1.101 -o eth0 -p tcp --dport 3389 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 3050 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 10000 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 2631 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -p tcp --dport 5017 -j MASQUERADE

#Terezinha
iptables -t nat -A POSTROUTING -s 192.168.1.80 -j MASQUERADE

#Liberando/Bloqueando SSH
iptables -A INPUT -s 187.75.148.56 -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s ! 192.168.1.101 -p tcp --dport 22 -j DROP
#Nat para liberar maquina com acesso ao ssh
iptables -t nat -A PREROUTING -s 189.109.68.14 -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.1.250
iptables -t nat -A PREROUTING -s 189.47.163.127 -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.1.250
iptables -t nat -A PREROUTING -s 201.54.4.74 -i eth0 -p tcp --dport 22 -j DNAT --to-dest 192.168.1.250

#Libera/Block VPN
iptables -A INPUT -p tcp --dport 1723 -j DROP
iptables -A INPUT -p 47 -j DROP
#Nat para server VPN

#POSTO PROGRESSO
iptables -t nat -A PREROUTING -s 201.0.145.66 -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.1.101

#POSTO CENTRO
iptables -t nat -A PREROUTING -s 201.0.145.67 -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.1.101

#PSF
iptables -t nat -A PREROUTING -s 201.0.145.65 -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.1.101

#POSTO CORDEIRO
iptables -t nat -A PREROUTING -s 201.0.145.171 -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.1.101

#POSTO ELDORADO
iptables -t nat -A PREROUTING -s 201.0.145.64 -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.1.101

#ZUC
iptables -t nat -A PREROUTING -s 187.39.60.252 -i eth0 -p tcp --dport 1723 -j DNAT --to-dest 192.168.1.101

#Libera Conectividade Social
iptables -t nat -A PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -A FORWARD -p tcp -d 192.168.1.0/24 --dport 2631 -j ACCEPT
iptables -t nat -A POSTROUTING -p tcp -s 192.168.1.0/24 -d 200.201.174.0/24 --dport 2631 -j MASQUERADE

#Libera porta para OUTLOOK
iptables -A FORWARD -p TCP -s 192.168.1.0/24 --dport 25 -j ACCEPT
iptables -A FORWARD -p TCP -s 192.168.1.0/24 --dport 110 -j ACCEPT
iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

#Bloquear MSN
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -d loginnet.passport.com -j REJECT

#Libera conexao remota
#iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
#Nat para server remoto windows 2003/XP
iptables -t nat -A PREROUTING -s 187.75.148.56 -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.101
#iptables -t nat -A PREROUTING -s 189.109.68.14 -i eth0 -p tcp --dport 3389 -j DNAT --to-dest 192.168.1.101

#Libera Firebird
iptables -A INPUT -p tcp --dport 3050 -j ACCEPT
#Nat para server Firebird
#iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 3050 -j DNAT --to-dest IP_DA_MAQ

#Redirecionando porta 80 para o proxy
iptables -t nat -A PREROUTING -s ! 192.168.1.80 -p tcp --dport 80 -j REDIRECT --to-port 3128

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 14:22h

estava vendo aqui qualquer regra que eu digito nao funciona como se o firewall tivese gravado as regras que estava e qq uma q eu tento adicionar fica como se nao tivese alteracao por exemplo eu digito la
# iptables -A INPUT -p tcp --dport 22 -j ACCEPT
a porta 22 como consta no meu script ta bloqueada e permanece, mas se eu digito
# iptables -L
a regra que acabei de digitar ta la mais nao teve efeito nenhum... existe alguma possibilidade de ser placa de rede?

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 15:09h

fiz um teste limpei as regras e o firewall continua como se tivese com as regras antiga ainda... alguem sabe oque seria isso????????????????????

renato_pacheco
(usa Debian)

Enviado em 07/10/2010 - 15:21h

Liste as regras ae:

# iptables -nL
# iptables -t nat -nL

E poste aki.

diegobnx
(usa Debian)

Enviado em 07/10/2010 - 15:26h

root@hmcserver:/# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- anywhere anywhere icmp echo-request
DROP all -- anywhere anywhere state INVALID
ACCEPT tcp -- anywhere anywhere
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- 187-75-148-56.dsl.telesp.net.br anywhere tcp dpt:ssh
DROP tcp -- !192.168.1.101 anywhere tcp dpt:ssh
DROP tcp -- anywhere anywhere tcp dpt:1723
DROP gre -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere tcp dpt:gds_db

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 10/sec burst 5
DROP tcp -- anywhere anywhere tcp flags:FIN,SYN,RST,ACK/SYN
ACCEPT tcp -- anywhere 200.201.0.0/16
ACCEPT tcp -- anywhere 192.168.1.0/24 tcp dpt:2631
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:smtp
ACCEPT tcp -- 192.168.1.0/24 anywhere tcp dpt:pop3
ACCEPT tcp -- anywhere anywhere tcp spt:smtp
ACCEPT tcp -- anywhere anywhere tcp spt:pop3
REJECT tcp -- anywhere anywhere tcp dpt:msnp reject-with icmp-port-unreachable
REJECT all -- anywhere 65.54.165.140 reject-with icmp-port-unreachable
REJECT all -- anywhere 65.54.165.170 reject-with icmp-port-unreachable
REJECT all -- anywhere 65.54.186.20 reject-with icmp-port-unreachable
REJECT all -- anywhere 65.54.165.138 reject-with icmp-port-unreachable
REJECT all -- anywhere 65.54.186.48 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED

root@hmcserver:/# iptables -t nat -L
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
DNAT tcp -- 189-109-68-14.customer.tdatabrasil.net.br anywhere tcp dpt:ssh to:192.168.1.250
DNAT tcp -- 189-47-163-127.dsl.telesp.net.br anywhere tcp dpt:ssh to:192.168.1.250
DNAT tcp -- ldo.conam.com.br anywhere tcp dpt:ssh to:192.168.1.250
DNAT tcp -- 187-75-148-56.dsl.telesp.net.br anywhere tcp dpt:1723 to:192.168.1.101
DNAT tcp -- 201-26-198-147.dsl.telesp.net.br anywhere tcp dpt:1723 to:192.168.1.101
DNAT tcp -- 201-0-145-66.dial-up.telesp.net.br anywhere tcp dpt:1723 to:192.168.1.101
DNAT tcp -- 201-0-145-67.dial-up.telesp.net.br anywhere tcp dpt:1723 to:192.168.1.101
DNAT tcp -- 201-0-145-65.dial-up.telesp.net.br anywhere tcp dpt:1723 to:192.168.1.101
DNAT tcp -- 201-0-145-171.dial-up.telesp.net.br anywhere tcp dpt:1723 to:192.168.1.101
DNAT tcp -- 201-0-145-64.dial-up.telesp.net.br anywhere tcp dpt:1723 to:192.168.1.101
ACCEPT tcp -- anywhere 200.201.0.0/16
DNAT tcp -- 187-75-148-56.dsl.telesp.net.br anywhere tcp dpt:3389 to:192.168.1.101
REDIRECT tcp -- !192.168.1.0/24 anywhere tcp dpt:www redir ports 3128
REDIRECT tcp -- !192.168.1.0/24 anywhere tcp dpt:www redir ports 3128
REDIRECT tcp -- !192.168.1.101 anywhere tcp dpt:www redir ports 3128
REDIRECT tcp -- !192.168.1.44 anywhere tcp dpt:msnp redir ports 3128
REDIRECT tcp -- !192.168.1.80 anywhere tcp dpt:msnp redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE tcp -- anywhere anywhere tcp dpt:ssh
MASQUERADE tcp -- anywhere anywhere tcp dpt:smtp
MASQUERADE tcp -- anywhere anywhere tcp dpt:pop3
MASQUERADE tcp -- anywhere anywhere tcp dpt:1723
MASQUERADE tcp -- 192.168.1.101 anywhere tcp dpt:3389
MASQUERADE tcp -- anywhere anywhere tcp dpt:gds_db
MASQUERADE tcp -- anywhere anywhere tcp dpt:webmin
MASQUERADE tcp -- anywhere anywhere tcp dpt:2631
MASQUERADE tcp -- anywhere anywhere tcp dpt:5017
MASQUERADE all -- 192.168.1.101 anywhere
MASQUERADE all -- 192.168.1.44 anywhere
MASQUERADE all -- 192.168.1.80 anywhere
MASQUERADE tcp -- 192.168.1.0/24 200.201.174.0/24 tcp dpt:2631

Chain OUTPUT (policy ACCEPT)
target prot opt source destination