Problema com Proxy Transparente [RESOLVIDO]

leonardosoaress
(usa CentOS)

Enviado em 18/01/2013 - 12:06h

Estou com o meu Firewall funcionando muito bem porem quando ativo a regra para redirecionar a porta 80 para 3128 ativando o proxy transparente o navegador informa: ERROR The requested URL could not be retrieved.

Se eu mudar minha regra default FORWARD para ACCEPT então tudo funciona. Se eu comentar a linha de redirecionamento de portas 80 para 3128 então funciona sem proxy.


Vejam:

echo "#####################################################"

echo "INICIANDO REGRAS BASICAS DO FEREWALL"

echo "#####################################################"

echo "#####################################################"

echo "DEFININDO AS POLITICAS PADROES DROP"

echo "#####################################################"

iptables -P INPUT DROP

iptables -P OUTPUT DROP

iptables -P FORWARD DROP



######"HABILITA O ROTEAMENTO NO KERNEL"#######

echo 1 > /proc/sys/net/ipv4/ip_forward



######"CONFIGURACAO DE CONEXOES"######

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT



#============================REGRAS=====N A T=====================================================================================

#COMPARTILHA A INTERNET#

iptables -t nat -A POSTROUTING -s $REDE_INTERNA -o $INFACE_WEB -j MASQUERADE



#ACESSO TERMINAL SERVER SERVICE#

iptables -t nat -A PREROUTING -p tcp --dport 33444 -j DNAT --to 192.168.0.3:3389 



#DIRECIONANDO PORTA 80 PARA SQUID#

iptables -t nat -A PREROUTING -p tcp -i $INFACE_INTERNA --dport 80 -j REDIRECT --to-port 3128



#=============================REGRAS======I N P U T================================================================================

#LIBERANDO SSH#

iptables -A INPUT -p tcp -s $REDE_INTERNA --dport 22 -j ACCEPT



#LIBERA PING DA REDE INTERNA#

iptables -A INPUT -s $REDE_INTERNA -p icmp --icmp-type 8 -j ACCEPT



#LIBERA COMUNICAÇÃO NA PORTA DO SQUID

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT



#=============================REGRAS======O U T P T=================================================================================

#LIBERAÇÃO DAS PORTAS SEGURAS PARA O FIREWALL

iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_LIBERADAS_TCP -j ACCEPT

iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_LIBERADAS_UDP -j ACCEPT

iptables -A OUTPUT -p icmp --icmp-type 8 -j ACCEPT



#=============================REGRAS=====F O R W A R D==============================================================================

#LIBERA PORTAS ICMP PARA MAQUINAS DA REDE INTERNA PINGAR FORA#

iptables -A FORWARD -s $REDE_INTERNA -p icmp --icmp-type 8 -j ACCEPT



#LIBERAÇÃO DAS PORTAS SEGRURAS PARA REDE INTERNA#

iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_REDE_INTERNA -j ACCEPT



#LIBERA PORTA PARA NAT TERMINAL SERVER SERVICE#

iptables -A FORWARD -p tcp --dport 3389 -d 192.168.0.3 -j ACCEPT



#BLOQUEIO GERAL DO FORWARD

#iptables -A FORWARD -j DROP



 

danniel-lara
(usa Fedora)

Enviado em 18/01/2013 - 12:45h

tu chegou a liberar a porta 3128 ?

leonardosoaress
(usa CentOS)

Enviado em 18/01/2013 - 14:12h

Sim já liberei no FORWARD e no INPUT...

vns
(usa Debian)

Enviado em 19/01/2013 - 23:11h

Altere a police FORWARD de DROP para ACCEPT, não necessita fazer um bloqueio tão fechado.
faça uma regra de retorno para o squid no iptables.
isso devera funcionar.

leonardosoaress
(usa CentOS)

Enviado em 21/01/2013 - 10:08h

Bom quem teve o mesmo problema que eu basta fazer o seguinte:

Temos que liberar as portas de entrada e saída que consideramos seguras:

As básicas são:
TCP 80, 443, e a porta UDP para busca dns 53.

As regras ficaram assim:

#LIBERA ENTRADA DAS PORTAS SEGURAS
iptables -A INPUT -p tcp -m multiport --dports 443,80 -j ACCEPT
iptables -A INPUT -p udp --dports 53 -j ACCEPT

#LIBERA SAIDA DAS PORTAS SEGURAS
iptables -A OUTPUT -p tcp -m multiport --dports 443,80 -j ACCEPT
iptables -A OUTPUT -p udp --dports 53 -j ACCEPT