Problema com firewall [RESOLVIDO]

cacoh
(usa Fedora)

Enviado em 09/05/2015 - 23:18h

Estou configurando um cenário em que tenho duas maquinas, um servidor Debian e um cliente windows 7. No meu servidor Debian estou usando o proxy autenticado com a ferramenta squid em conjunto com um script de iptables, e no script libero a consulta ao DNS e HTTP e HTTPS, tudo com a chain FORWARD, e tambem criei regra INPUT e OUTPUT liberando o squid no iptables, porém ao abrir o meu navegador a autenticação aparece e faço ela com sucesso, mas apos as paginas da internet nao carregam e aparece o seguinte erro "Unable to determine IP address from hostname "'xx.xxx.xxx". Tem alguma regra a mais para permitir a navegação via proxy que tenho que colocar no script de iptables , ou é outra coisa ?
Só uma observaçao , sem utilizar o script de iptables o squid funciona perfeitamente
Tem como me ajudarem, estou louco com isso kkk Desde já agradeço.

anewvision
(usa Debian)

Enviado em 10/05/2015 - 18:28h

Cara, vou só dar um palpite. Mas tá estranho este erro. No script do firewaal põe somente o nome da interface, ao invés do endereço da rede. Se não for isto, não faço idéia o que seja. Mas é algo relacionado a rede. Reveja as config. de rede. Mostra os arquivos de configuração ai, que o pessoal acha o erro. Outro detalhe bobo. Está configurando proxy no navegador.
http://informatica.anewvision.com.br/

cacoh
(usa Fedora)

Enviado em 11/05/2015 - 20:41h

Bem , estou verificando isso cara, mas o problema está no meu script de firewall, pois quando nao executo ele o squid funciona normalmente. Segue meu script, se algo estiver errado ou faltando e puder me ajudar.

#!/bin/bash

##Script teste de segurança



##Limpando regras

iptables -F
iptables -t nat -F

##Adicionando nat na eth0

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

##Fechando politicas

iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

##Permitindo consuta DNS

iptables -A FORWARD -p udp -s 0/0 --sport 1024:65535 -d 0/0 --dport 53 -j ACCEPT
iptables -A FORWARD -p udp -s 0/0 --sport 53 -d 0/0 --dport 1024:65535 -j ACCEPT

iptables -A OUTPUT -p udp -s 0/0 --sport 1024:65535 -d 0/0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -s 0/0 --sport 53 -d 0/0 --dport 1024:65535 -j ACCEPT

##Permitindo HTTP

iptables -A FORWARD -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT

##Permitindo HTTPS

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT

##Permitindo Squid

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 3128 -j ACCEPT

cacoh
(usa Fedora)

Enviado em 11/05/2015 - 21:47h

Não, o servidor local não consegue resolver nomes, agradeço desde já ajuda e as dicas. No caso eu tento nas regras de DNS liberar a consulta do servidor local ao DNS, a algo de errado com essas regras ?
E não entendi direito sobre liberar a porta do squid na Chain FORWARD, para que serviria isso ?
Ressaltando sou novo nesse meio. E obrigado !!

wagnerfs
(usa Fedora)

Enviado em 11/05/2015 - 22:00h

Boa noite.

Sem problemas! Estamos aqui é para aprender um com o outro. O seu servidor precisa estar acessando a internet e resolvendo nomes. Caso este esteja em modo texto, a forma de testar seria com o comando dig:

$ dig +short www.google.com.br 

E para testar conectividade, você deve tentar atualizar o sistema o sistema ou baixar algum pacote.

Antes de mais nada, te recomendo assistir a esse vídeo https://www.youtube.com/watch?v=0tt6jRIr8yU que vai te ajudar a entender melhor a tabela filter. Quando tiver entendido, aí passamos para a FORWARD.

Assista ao vídeo e aplique os ensinos ao servidor, quando este estiver ok, a segunda parte será fazer liberações para o squid.

_________________________
Wagner F. de Souza
Graduado em Redes de Computadores
"GNU/Linux for human beings."
LPI ID: LPI000297782

cacoh
(usa Fedora)

Enviado em 11/05/2015 - 22:10h

Seguindo suas dicas consegui usar o squid em conjunto com meu script de Iptables . Organizei para que as regras de INPUT e OUTPUT sejam lidas primeiro, e liberei acesso a HTTP e HTTPS no servidor, e liberei o squid na FORWARD, e funcionou e também consegui entender a lógica por detrás.
Obrigado pela ajuda e dicas , e irei assistir o video e procurar me aprofundar mais, pois gostei bastante !! Abraço .

wagnerfs
(usa Fedora)

Enviado em 11/05/2015 - 22:12h

Legal cara. Peço apenas que encerre o tópico e atribua a melhor respota. Qualquer dúvida é só postar. Bons estudos!

_________________________
Wagner F. de Souza
Graduado em Redes de Computadores
"GNU/Linux for human beings."
LPI ID: LPI000297782