Liberar proxy não transparente no iptables [RESOLVIDO]

DouglasMenger
(usa XUbuntu)

Enviado em 18/02/2013 - 14:42h

Amigos,

Tenho instalado em uma maquina virtual com 2 interfaces de rede, iptables e squid, configurei o proxy tradicional pois não quero usar proxy transparente, mas estou com dificuldades de liberar a porta do proxy no iptables. Quando desativo as regras do iptables consigo usar normalmente o proxy quando ativo as regras do iptables não funciona mais.

Pesquisei varios comandos para liberar a porta 3128 mas so encontro relacionado a proxy transparente.

Alguem pode me ajudar ?

DouglasMenger
(usa XUbuntu)

Enviado em 18/02/2013 - 17:28h

Fiz as liberações conforme você orientou mas não funcionou, no meu caso se eu não liberar a prota 3128 em OUTPUT o navegador não pede autenticação, configurei para autenticar no AD não sei se tem alguma relação. Notei que no seu tutorial você mostra que deve se compartilhar a conexão de internet com a rede, antes eu imaginava que isso não era necessario pois estariamos navegando pelo proxy. Mesmo seguindo os exemplos não consegui fazer funcionar então vou deixar a configuração do meu iptables caso possa me ajudar.


# Generated by iptables-save v1.4.12 on Sun Feb 17 14:44:22 2013
*mangle
:PREROUTING ACCEPT [42:3895]
:INPUT ACCEPT [42:3895]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [54:28696]
:POSTROUTING ACCEPT [52:28540]
COMMIT
# Completed on Sun Feb 17 14:44:22 2013
# Generated by iptables-save v1.4.12 on Sun Feb 17 14:44:22 2013
*nat
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -p tcp -m tcp --dport 11 -j DNAT --to-destination 192.168.1.58:3390
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sun Feb 17 14:44:22 2013
# Generated by iptables-save v1.4.12 on Sun Feb 17 14:44:22 2013
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp -m multiport --ports 10001 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport --ports 22 -j ACCEPT
-A INPUT -p udp -m udp -m multiport --ports 53 -j ACCEPT
-A INPUT -j LOG
-A INPUT -s 192.168.1.100/32 -d 192.168.1.11/32 -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport -i eth1 --ports 3128 -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp -m multiport -d 192.168.1.58/32 --ports 3389 -j DROP
-A INPUT -j DROP
-A OUTPUT -j LOG
-A OUTPUT -p tcp -m tcp -m multiport --ports 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 10001 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 22 -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 443 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 80 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 3128 -j ACCEPT
-A OUTPUT -s 192.168.1.11/32 -d 192.168.1.100/32 -j ACCEPT
-A OUTPUT -p udp -m udp -m multiport --ports 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 3389 -j DROP
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -j DROP
COMMIT
# Completed on Sun Feb 17 14:44:22 2013

phrich
(usa Slackware)

Enviado em 20/02/2013 - 16:32h

Já que sua autenticação é no AD, faça a seguinte liberação:

iptables -A OUTPUT -o INTERFACE_REDE_INTERNA -d IP_SERVIDOR_AD -j ACCEPT

phrich
(usa Slackware)

Enviado em 20/02/2013 - 16:33h

ah e acrescente:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

DouglasMenger
(usa XUbuntu)

Enviado em 01/03/2013 - 14:58h

Boa tarde,

Desisti de usar a interface do webmin e reconfigurei todo o iptables na linha mesmo, ja entendi melhor como funciona, usei seu artigo com base para minha cofiguração e agora tudo funciona muito bem.

Obrigado.

phrich
(usa Slackware)

Enviado em 01/03/2013 - 15:01h

Que bom que pude ajudar, agora é só cair dentro e se aprofundar no assunto, qdo vc ver, já vai estar no sangue!