Liberar download e upload P2P-Vuze rede interna com iptables e squid.

willianeo
(usa Debian)

Enviado em 18/08/2015 - 09:48h

Bom dia pessoa.
Estou com o seguinte problema.
Tenho um modem Oi-Velox com o Nat configurado para TCP e UDP na porta 6881.
Configurações do meu roteador(Gateway)
Gateway: 192.168.1.1/28
Broadcast: 192.168.1.15
Configurações do meu servidor primário:
SO: Debian
eth0: 192.168.1.14
eth1: 192.168.100.1
Configurações de uma máquina da rede:
SO: Ubuntu
wlan0: 192.168.100.2
eth0: 192.168.100.3

Esta é uma rede doméstica.
Estou usando apenas para aprendizado.

Vou passar alguns trechos do meu iptables:

# Deleta as regras existentes

iptables -F INPUT

iptables -F OUTPUT

iptables -F FORWARD

iptables -t nat -F

iptables -t nat -X

iptables -t mangle -F



# Set políticas de Chain padrão

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP



# Carrega modulos do iptables

modprobe ip_nat_ftp

modprobe ip_conntrack

modprobe ip_conntrack_ftp

modprobe ip_conntrack_pptp

modprobe ip_nat_pptp



# Permite conexões estabelecidas

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED,NEW -j ACCEPT

#Devo permitir o acesso de auto-retorno em meus servidores

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT



### CONFIGURAÇÕES DE REDE



# Libera a rede com nat, fazendo kernel compartilhar a conexão

echo "1" > /proc/sys/net/ipv4/ip_forward

 

# Libera a passagem de pacotes para a faixa de IPs internos

iptables -A FORWARD -s 192.168.100.0/24 -j ACCEPT

 

# Libera o NAT para os IPs internos, nas 2 placas de rede

iptables -t nat -A POSTROUTING -s 192.168.1.0/28 -o eth0 -j MASQUERADE

iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth1 -j MASQUERADE





#### INÍCIO CONFIGURAÇÕES REDE INTERNA

 

# Proxy Transparente

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



# Proxy transparente, tratando dos protocolos UDP e TCP, e movendo o trafego das portas 80,443 para porta 3128;

iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128



iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p udp --dport 80 -j REDIRECT --to-port 3128



iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p tcp --dport 443 -j REDIRECT --to-port 3128



iptables -t nat -A PREROUTING -s 192.168.100.0/24 -p udp --dport 443 -j REDIRECT --to-port 3128



# Bloqueio geral do Forward

iptables -A FORWARD -s 192.168.100.0/24 -j DROP



#### FINAL CONFIGURAÇÕES REDE INTERNA







#### INÍCIO CONFIGURAÇÕES DA MÁQUINA LOCAL

# Permite download e upload na rede P2P(torrent)

iptables -A INPUT -i eth0 -p tcp --dport 6881 -j ACCEPT

iptables -A OUTPUT -o eth0 -p tcp --sport 6881 -j ACCEPT

iptables -A INPUT -i eth0 -p udp --dport 6881 -j ACCEPT

iptables -A OUTPUT -o eth0 -p udp --sport 6881 -j ACCEPT



### Configurando Ping

## Permitem usuários de fora pingar no servidor local

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT



## Permitem pingar em servidores externos

iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT



### DNS

## Permitem conexões DNS de saída.

# Interface eth0

iptables -A OUTPUT -p udp -o eth0 --dport 53 -j ACCEPT

iptables -A INPUT -p udp -i eth0 --sport 53 -j ACCEPT





### Previne Denial of Service (DoS)

## A seguinte regra ajudara a prever DoS ataque em meu servidor

iptables -A INPUT -p tcp --dport 80 -m limit --limit 25/minute --limit-burst 100 -j ACCEPT





# Estas regras são o coração do Firewall,

# elas bloqueiam qualquer conexão que não tenha sido permitida acima, justamente por isso são a última da cadeia.

iptables -A INPUT -p tcp --syn -j DROP

iptables -A INPUT -p icmp -j DROP







 

As minhas regras estão acima.
Embora eu não tenha postado todo o código, eu postei o que era necessário para a minha pergunta na mesma sequencia.

No meu Debian, onde se encontram as regras citadas acima, meu squid, placas eth0 e eth, etc, o gerenciados de torrent Vuze funciona normalmente, Download e upload. Tudo verde.
Porém a minha rede interna não.
Alguém poderia me ajudar.
Se quiserem fazer críricas as minhas regras, serão bem vindas.
Obrigado