Quando ativo o firewall não consigo navegar

1. Quando ativo o firewall não consigo navegar

biosbrasil
(usa Ubuntu)

Enviado em 09/09/2013 - 19:45h

Salve, salve comunidade!

mais uma vez recorro a vocês para me ajudarem com uma questão que para mim é um problema. A situação é a seguinte:

instalei o Debian 7 em uma maquina para servir como firewall e cache, a maquina tem 2 placas de rede configuradas da seguinte forma:



# The loopback network interface

auto lo

iface lo inet loopback



# The primary network interface

allow-hotplug eth0

auto eth0

iface eth0 inet dhcp



auto eth1

iface eth1 inet static



address 172.16.1.1

netmask 255.255.255.0

network 172.16.1.0

broadcast 172.16.1.255

para compartilhar a conexão com a internet criei a um inicializável (/etc/init.d/internet),conforme mostrado abaixo.



#!/bin/bash



iniciar(){

modprobe iptable_nat

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

}



parar(){

iptables -F -t nat

}



case "$1" in

"start") iniciar ;;

"stop") parar ;;

"restart") parar; iniciar ;;

*) echo "Use os parÃ¢tros start ou stop"

esac

O Script do firewall está em /etc/init.d/firewall. Uso o script (http://www.vivaolinux.com.br/script/Firewall-Iptables-2) do nosso amigo Cesar Augustus Silva, a quem agradeço muito. Alterado para minhas configurações de hardware.





#!/bin/bash

#

# Shell Script - Firewall

# =======================

# Autor:- CESAR AUGUSTUS SILVA

# Email:- cesaraugustussilva@linuxmail.org

#



# IP da Rede

NETWORK=172.16.1.0/24



# Interface da Rede Local - LAN

ILAN=eth1



# Interface da Rede Externa - Internet

INET=eth0



IPT=/sbin/iptables



/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_REDIRECT

/sbin/modprobe ipt_MASQUERADE



INTERNET () {

    # Mascaramento

    $IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE



    # Ativando o redirecionamento de pacotes

    echo 1 > /proc/sys/net/ipv4/ip_forward

}



LIMPAR () {

    # Removendo regras

    $IPT -F

    $IPT -t nat -F

    $IPT -t mangle -F



    # Apagando chains

    $IPT -X

    $IPT -t nat -X

    $IPT -t mangle -X



    # Zerando contadores

    $IPT -Z

    $IPT -t nat -Z

    $IPT -t mangle -Z

}



PARAR () {

    # Limpando regras

    LIMPAR



    # Política Padrão

    $IPT -P INPUT ACCEPT

    $IPT -P OUTPUT ACCEPT

    $IPT -P FORWARD ACCEPT



    # Compartilhando a Internet

    INTERNET

}



INICIAR () {

    # Limpando regras

    LIMPAR



    # Política Padrão

    $IPT -P INPUT DROP

    $IPT -P OUTPUT ACCEPT

    $IPT -P FORWARD DROP



    # Compartilhando a Internet

    INTERNET



    ########################## ATRIBUINDO SEGURANÇA ##########################

    

    # Proteção para SYN Flood

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies

    

    # Rejeitar requisição de ICMP Echo destinado a Broadcasts e Multicasts

    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    

    # Ignorar Mensagens Falsas de icmp_error_responses

    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses



    for i in /proc/sys/net/ipv4/conf/*; do

        # Não Redirecionar Mensagens ICMP

        echo 0 > $i/accept_redirects

        

        # Proteção a Ataques IP Spoofing

        echo 0 > $i/accept_source_route

        

        # Permitir que Pacotes Forjados sejam logados pelo próprio kernel

        echo 1 > $i/log_martians

        

        # Verificar Endereço de Origem do Pacote (Proteção a Ataques IP Spoofing)

        echo 1 > $i/rp_filter

    done



    #################### ADICIONANDO REGRAS P/ SERVIDORES ####################

    

    # Apache - Servidor Web

    #$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT



    # Apache TomCat - Servidor Web

    #$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT



    # Bind9 - Servidor DNS

    #$IPT -A INPUT -p udp --dport 53 -j ACCEPT



    # DanGuardian - Servidor Proxy

    #$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT



    # DHCP - Servidor DHCP

    #$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT

    

    # IPP - Protocolo de Impressão na Internet

    #$IPT -A INPUT -i $ILAN -p tcp --dport 631 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 138,631 -j ACCEPT



    # NFS - Servidor NFS

    #$IPT -A INPUT -p tcp -m multiport --dports 111,2049,51049 -j ACCEPT

    #$IPT -A INPUT -p udp -m multiport --dports 111,49176 -j ACCEPT



    # ProFTP - Servidor FTP

    #$IPT -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT



    # Postfix - Servidor de E-mail

    #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT



    # PostgreSQL - Servidor Postgresql

    #$IPT -A INPUT -i $ILAN -p tcp --dport 5432 -j ACCEPT



    # Samba - Serviços de Diretório da Microsoft

    #$IPT -A INPUT -i $ILAN -p tcp --dport 445 -j ACCEPT



    # Squid - Servidor Proxy

    #$IPT -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT



    # SSH - Servidor SSH

    #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

    #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set

    #$IPT -A INPUT -p tcp --dport 22 -j ACCEPT



    # VNC - Servidor de Acesso Remoto

    #$IPT -A INPUT -p tcp --dport 5900 -j ACCEPT



    # Webmin - Gerenciador Web de Servidor

    #$IPT -A INPUT -i $ILAN -p tcp --dport 10000 -j ACCEPT



    ##################### ADICIONANDO REGRAS P/ SERVIÇOS #####################

    

    # DNS - Serviço de Nomes de Dominios

    #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 53,5353 -j ACCEPT

    #$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT



    # FTP - Protocolo de Transferência de Arquivo

    #$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT



    # HTTP - Protocolo de Transferência de Hypertext

    #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT



    # HTTPS - Protocolo de Transferência de Hypertext Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT



    # MSNMS - Serviço de Mensageiro de Rede da Microsoft

    #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT

    #$IPT -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT



    # NETBIOS-SSN - Serviço de Sessão NetBIOS

    #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 137,138 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p tcp --dport 139 -j ACCEPT



    # NTP - Protocolo para sincronização dos relógios

    #$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT



    # Ping

    #$IPT -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT

    #$IPT -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT



    # POP3 - Protocolo de Correio

    #$IPT -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT



    # POP3S - Protocolo de Correio Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT



    # SSDP - Protocolo para Descoberta de Serviços Simples

    #$IPT -A INPUT -i $ILAN -p udp --dport 1900 -j ACCEPT



    # SSH - Shell Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 22 -j ACCEPT



    # SMTP - Protocolo Simples para Transferência de Correio

    #$IPT -A FORWARD -o $INET -p tcp --dport 25 -j ACCEPT



    # SSMTP - Protocolo Simples para Transferência de Correio Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT



    # TELNET

    #$IPT -A FORWARD -o $ILAN --dport 23 -j ACCEPT



    # VNC - Computação em Rede Virtual

    #$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT



    # XMPP - Protocolo de Presença e Mensagens Extensiva

    #$IPT -A FORWARD -o $INET -p tcp --dport 5222 -j ACCEPT



    # Manter Conexões Estabelecidas

    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



    # Liberando o Tráfego na Interface loopback

    $IPT -A INPUT -i lo -j ACCEPT



    ################################### LOG ##################################

    

    $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP

    $IPT -A INPUT -p udp -j DROP

    $IPT -A INPUT -p icmp -j DROP

    $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "

}



case "$1" in

    start)

        echo " * Starting Firewall iptables"

        INICIAR

        ;;

    stop)

        echo " * Stopping Firewall iptables"

        PARAR

        ;;

    restart|reload)

        echo " * Reloading Firewall iptables"

        INICIAR

        ;;

    *)

        echo " * Usage: $0 {start|stop|restart|reload}"

        exit 1

esac



exit 0

tenho configurado squid com proxy transparente que funciona normalmente apenas com a regra(setadas em /etc/init.d/firewall:

[/code]
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -t nat -A PREROUTING -s 172.16.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

[/code]

mas se ativo o firewall com o as regras criadas pelo Cesar Augustus Silva, eu não consigo navegar. O que eu estou fazendo de errado? desde já agradeço a todos!

0 0

Quote

2. Re: Quando ativo o firewall não consigo navegar

px
(usa Debian)

Enviado em 09/09/2013 - 20:06h

De início tente trocar isto:

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

por isto:

$IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

Faltou abrir a porta 53 udp para o DNS também!

iptables -A INPUT -p udp --sport 53 -s ip-do-DNS -d ip-local-pc -o eth0 -j ACCEPT

e altere esta regra também, o log vem primeiro, sempre!

################################### LOG ##################################

$IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP
$IPT -A INPUT -p udp -j DROP
$IPT -A INPUT -p icmp -j DROP
$IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "



  ################################### LOG ##################################

    

    $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "

    $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP

    $IPT -A INPUT -p udp -j DROP

    $IPT -A INPUT -p icmp -j DROP

se quiser deixe a regra de dropar portas altas em cima, mas as tentativas não serão logadas neste modelo, os pacotes serão descartados sem log!:



  ################################### LOG ##################################

    

    $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP

    $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "

    $IPT -A INPUT -p udp -j DROP

    $IPT -A INPUT -p icmp -j DROP

0 0

Quote

3. Re: Quando ativo o firewall não consigo navegar

biosbrasil
(usa Ubuntu)

Enviado em 10/09/2013 - 00:17h

px, simplesmente fantástico! as mudanças que você sugeriu funcionaram perfeitamente. Muito obrigado pela atenção. Aproveitando da sua boa vontade: ainda estou com problema quando descomento a linha 142 "$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128". Após descomentar esta linha não navego mais. O que está errado? eu devo acrescentar a linha abaixo?



iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

0 0

Quote

4. Re: Quando ativo o firewall não consigo navegar

souzacarlos
(usa Outra)

Enviado em 10/09/2013 - 01:31h

Boa noite, vc lembrou de marcar no teu squid.conf que o proxy é traansparent? vc diz na regra pra ele redirecionar, no entanto vc nâo fez rwderencia sobre!!!!

biosbrasil escreveu:

px, simplesmente fantástico! as mudanças que você sugeriu funcionaram perfeitamente. Muito obrigado pela atenção. Aproveitando da sua boa vontade: ainda estou com problema quando descomento a linha 142 "$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128". Após descomentar esta linha não navego mais. O que está errado? eu devo acrescentar a linha abaixo?



iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

0 0

Quote

5. Re: Quando ativo o firewall não consigo navegar

biosbrasil
(usa Ubuntu)

Enviado em 10/09/2013 - 19:44h

souzacarlos, em primeiro lugar muito obrigado pela sua atenção. Quanto ao squid.conf está setado como proxy transparente. No script de firewall as linhas que são responsáveis pelo redirecionamento para o squid são as apresentadas abaixo:



 

    $IPT -t nat -A POSTROUTING -o $INET -j MASQUERADE

    $IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128

o codigo completo atualizado do meu firewall segue abaixo:



    #!/bin/bash

#

# Shell Script - Firewall

# =======================

# Autor:- CESAR AUGUSTUS SILVA

# Email:- cesaraugustussilva@linuxmail.org

#

 

# IP da Rede

NETWORK=172.16.1.0/24

 

# Interface da Rede Local - LAN

ILAN=eth1

 

# Interface da Rede Externa - Internet

INET=eth0

 

IPT=/sbin/iptables

 

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_LOG

/sbin/modprobe ipt_REDIRECT

/sbin/modprobe ipt_MASQUERADE

 

INTERNET () {

     # Mascaramento

    $IPT -t nat -A POSTROUTING -o $INET -s $NETWORK -j MASQUERADE





    # Ativando o redirecionamento de pacotes

    echo 1 > /proc/sys/net/ipv4/ip_forward

}



LIMPAR () {

    # Removendo regras

    $IPT -F

    $IPT -t nat -F

    $IPT -t mangle -F



    # Apagando chains

    $IPT -X

    $IPT -t nat -X

    $IPT -t mangle -X



    # Zerando contadores

    $IPT -Z

    $IPT -t nat -Z

    $IPT -t mangle -Z

}



PARAR () {

    # Limpando regras

    LIMPAR



    # PolÃca PadrÃ£    $IPT -P INPUT ACCEPT

    $IPT -P OUTPUT ACCEPT

    $IPT -P FORWARD ACCEPT



    # Compartilhando a Internet

    INTERNET

}



INICIAR () {

    # Limpando regras

    LIMPAR



    # PolÃca PadrÃ£    $IPT -P INPUT DROP

    $IPT -P OUTPUT ACCEPT

    $IPT -P FORWARD DROP



    # Compartilhando a Internet

    INTERNET



    ########################## ATRIBUINDO SEGURANÃ ##########################



    # ProteÃ§ para SYN Flood

    echo 1 > /proc/sys/net/ipv4/tcp_syncookies



    # Rejeitar requisiÃ§ de ICMP Echo destinado a Broadcasts e Multicasts

    echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts



    # Ignorar Mensagens Falsas de icmp_error_responses

    echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses



    for i in /proc/sys/net/ipv4/conf/*; do

        # NÃ£Redirecionar Mensagens ICMP

        echo 0 > $i/accept_redirects



        # ProteÃ§ a Ataques IP Spoofing

        echo 0 > $i/accept_source_route



        # Permitir que Pacotes Forjados sejam logados pelo prÃ³o kernel

        echo 1 > $i/log_martians



        # Verificar EndereÃ§de Origem do Pacote (ProteÃ§ a Ataques IP Spoofing)

        echo 1 > $i/rp_filter

    done



    #################### ADICIONANDO REGRAS P/ SERVIDORES ####################



    # Apache - Servidor Web

    #$IPT -A INPUT -p tcp -m multiport --dports 80,443 -j ACCEPT



    # Apache TomCat - Servidor Web

    #$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT



    # Bind9 - Servidor DNS

    $IPT -A INPUT -p udp --sport 53 -j ACCEPT



    # DanGuardian - Servidor Proxy

    #$IPT -A INPUT -i $ILAN -p tcp --dport 8080 -j ACCEPT



    # DHCP - Servidor DHCP

    #$IPT -A INPUT -i $ILAN -p udp --sport 68 --dport 67 -j ACCEPT



    # IPP - Protocolo de ImpressÃ£na Internet

    #$IPT -A INPUT -i $ILAN -p tcp --dport 631 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 138,631 -j ACCEPT



    # NFS - Servidor NFS

    #$IPT -A INPUT -p tcp -m multiport --dports 111,2049,51049 -j ACCEPT

    #$IPT -A INPUT -p udp -m multiport --dports 111,49176 -j ACCEPT



    # ProFTP - Servidor FTP

    #$IPT -A INPUT -i $ILAN -p tcp --dport 21 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 49152:49162 -j ACCEPT



    # Postfix - Servidor de E-mail

    #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 25,110 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p tcp -m multiport --dports 465,995 -j ACCEPT



    # PostgreSQL - Servidor Postgresql

    #$IPT -A INPUT -i $ILAN -p tcp --dport 5432 -j ACCEPT



    # Samba - ServiÃ§ de DiretÃ³ da Microsoft

    #$IPT -A INPUT -i $ILAN -p tcp --dport 445 -j ACCEPT



    # Squid - Servidor Proxy

    #$IPT -A INPUT -i $ILAN -p tcp --dport 3128 -j ACCEPT

     $IPT -t nat -A POSTROUTING -o $INET -j MASQUERADE

     $IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128



    # SSH - Servidor SSH

    #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 300 --hitcount 3 -j DROP

    #$IPT -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --set

    #$IPT -A INPUT -p tcp --dport 22 -j ACCEPT



    # VNC - Servidor de Acesso Remoto

    #$IPT -A INPUT -p tcp --dport 5900 -j ACCEPT



    # Webmin - Gerenciador Web de Servidor

    #$IPT -A INPUT -i $ILAN -p tcp --dport 10000 -j ACCEPT



    ##################### ADICIONANDO REGRAS P/ SERVIÃS #####################



    # DNS - ServiÃ§de Nomes de Dominios

    #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 53,5353 -j ACCEPT

    #$IPT -A FORWARD -o $INET -p udp -m multiport --dports 53,5353 -j ACCEPT



    # FTP - Protocolo de TransferÃªia de Arquivo

    #$IPT -A FORWARD -o $INET -p tcp --dport 21 -j ACCEPT



    # HTTP - Protocolo de TransferÃªia de Hypertext

    #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 80,8080 -j ACCEPT



    # HTTPS - Protocolo de TransferÃªia de Hypertext Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 443 -j ACCEPT



    # MSNMS - ServiÃ§de Mensageiro de Rede da Microsoft

    #$IPT -A FORWARD -o $INET -p tcp -m multiport --dports 1863,7001 -j ACCEPT

    #$IPT -A FORWARD -o $INET -p udp --dport 7001 -j ACCEPT



    # NETBIOS-SSN - ServiÃ§de SessÃ£NetBIOS

    #$IPT -A INPUT -i $ILAN -p udp -m multiport --dports 137,138 -j ACCEPT

    #$IPT -A INPUT -i $ILAN -p tcp --dport 139 -j ACCEPT



    # NTP - Protocolo para sincronizaÃ§ dos relÃ³s

    #$IPT -A FORWARD -o $INET -p udp --dport 123 -j ACCEPT



    # Ping

    $IPT -A INPUT -i $ILAN -p icmp --icmp-type 8 -j ACCEPT

    #$IPT -A FORWARD -o $INET -p icmp --icmp-type 8 -j ACCEPT



    # POP3 - Protocolo de Correio

    #$IPT -A FORWARD -o $INET -p tcp --dport 110 -j ACCEPT



    # POP3S - Protocolo de Correio Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 995 -j ACCEPT



    # SSDP - Protocolo para Descoberta de ServiÃ§ Simples

    #$IPT -A INPUT -i $ILAN -p udp --dport 1900 -j ACCEPT



    # SSH - Shell Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 22 -j ACCEPT



    # SMTP - Protocolo Simples para TransferÃªia de Correio

    #$IPT -A FORWARD -o $INET -p tcp --dport 25 -j ACCEPT



    # SSMTP - Protocolo Simples para TransferÃªia de Correio Seguro

    #$IPT -A FORWARD -o $INET -p tcp --dport 465 -j ACCEPT



    # TELNET

    #$IPT -A FORWARD -o $ILAN --dport 23 -j ACCEPT



    # VNC - ComputaÃ§ em Rede Virtual

    #$IPT -A FORWARD -o $ILAN -p tcp --dport 5900 -j ACCEPT



    # XMPP - Protocolo de PresenÃ§e Mensagens Extensiva

    #$IPT -A FORWARD -o $INET -p tcp --dport 5222 -j ACCEPT



    # Manter ConexÃµEstabelecidas

    $IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

    $IPT -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT



    # Liberando o TrÃ¡go na Interface loopback

    $IPT -A INPUT -i lo -j ACCEPT



    ################################### LOG ##################################



    $IPT -A INPUT -m limit --limit 3/m --limit-burst 3 -j LOG --log-prefix "LOG-FW: "

    $IPT -A INPUT -p tcp -m multiport ! --dports 0:1056 -j DROP

    $IPT -A INPUT -p udp -j DROP

    $IPT -A INPUT -p icmp -j DROP

}



case "$1" in

    start)

        echo " * Starting Firewall iptables"

        INICIAR

        ;;

    stop)

        echo " * Stopping Firewall iptables"

        PARAR

        ;;

    restart|reload)

        echo " * Reloading Firewall iptables"

        INICIAR

        ;;

    *)

        echo " * Usage: $0 {start|stop|restart|reload}"

        exit 1

esac



exit 0

0 0

Quote

6. Re: Quando ativo o firewall não consigo navegar

px
(usa Debian)

Enviado em 10/09/2013 - 21:09h

Camarada como esta seu squid.conf?

Tente isso de inicio também:

$IPT -t nat -A PREROUTING -i $ILAN -p tcp --dport 80 -j REDIRECT --to-port 3128

troque o 192.168.1.1 pelo ip da sua máquina squid!

0 0

Quote

7. Re: Quando ativo o firewall não consigo navegar

biosbrasil
(usa Ubuntu)

Enviado em 11/09/2013 - 01:26h

px escreveu:

Camarada como esta seu squid.conf?

Tente isso de inicio também:

$IPT -t nat -A PREROUTING -p tcp -i $INET --dport 80 -j DNAT --to-dest 192.168.1.1:3128

troque o 192.168.1.1 pelo ip da sua máquina squid!

o squid parece não estar funcionando corretamente, veja abiaxo:



root@debian:~# service squid3 restart

[ ok ] Restarting Squid HTTP Proxy 3.x: squid3.

root@debian:~# service squid3 status

[FAIL] squid3 is not running ... failed!

root@debian:~# squid3 -z

2013/09/11 01:22:48| Squid is already running!  Process ID 2323

aí está meu squid.conf



##squid.conf

http_port 3128 transparent

cache_mem 512 MB

cache_swap_low 90

cache_swap_high 95

cache_dir ufs /var/spool/squid3 45000 16 256



maximum_object_size 1000000 KB

maximum_object_size_in_memory 128 KB



access_log /var/log/squid3/access.log squid

cache_log /var/log/squid3/cache.log

cache_store_log /var/log/squid3/store.log

pid_filename /var/log/squid3/squid3.pid # pid - mudamos para esta pasta para facilitar na identificaÃ§ de problemas

mime_table /usr/share/squid3/mime.conf



cache_mgr sudporte@viacom.net.br

memory_pools off



diskd_program /usr/lib/squid3/diskd

unlinkd_program /usr/lib/squid3/unlinkd



refresh_pattern ^ftp:           1440    20%     10080

refresh_pattern ^gopher:        1440    0%      1440

refresh_pattern (cgi-bin|\?)    0       0%      0

refresh_pattern .               0       20%     4320

quick_abort_max 16 KB

quick_abort_pct 95

quick_abort_min 16 KB

request_header_max_size 20 KB

reply_header_max_size 20 KB

request_body_max_size 0 KB



acl manager proto cache_object

acl localhost src 127.0.0.1/32

acl to_localhost dst 127.0.0.0/8

acl vlan24 src 172.16.1.0/24 # Representa a sua rede e respectiva mÃ¡ara de sub-rede

#acl lan src 172.18.28.0/24 # Assim como neste exemplo, se vocÃªiver mais de uma rede, deve ser expressada uma por uma



acl SSL_ports port 443 563

acl Safe_ports port 80 # http

acl Safe_ports port 21 # ftp

acl Safe_ports port 443 563 1863 # https

acl Safe_ports port 70 # gopher

acl Safe_ports port 210 # wais

acl Safe_ports port 1025-65535 # unregistered ports

acl Safe_ports port 280 # http-mgmt

acl Safe_ports port 488 # gss-http

acl Safe_ports port 591 # filemaker

acl Safe_ports port 777 # multiling http

acl CONNECT method CONNECT



http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports



http_access allow vlan24

#http_access allow vlan26

#http_access allow vlan28



cache_mgr webmaster

mail_program mail

cache_effective_user proxy

cache_effective_group proxy

httpd_suppress_version_string off

visible_hostname zenhulk



error_directory /usr/share/squid3/errors/Portuguese/

0 0

Quote

8. Re: Quando ativo o firewall não consigo navegar

px
(usa Debian)

Enviado em 11/09/2013 - 16:15h

Faz aquela última alteração na regra do firewall lá, salva e reinicia o pc...

Aquele erro era por que já tinha um processo do squid rodando na maquina

0 0

Quote

9. Re: Quando ativo o firewall não consigo navegar

biosbrasil
(usa Ubuntu)

Enviado em 13/09/2013 - 00:29h

px escreveu:

Faz aquela última alteração na regra do firewall lá, salva e reinicia o pc...

Aquele erro era por que já tinha um processo do squid rodando na maquina

eu fiz a alteração e acontece que não funciona, só funciona quando eu seto as seguintes regras no meu firewall:

#!/bin/sh

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

iptables -t nat -A PREROUTING -s 172.16.1.0/255.255.255.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

ou se eu retirar a informação que e proxy é transparente (no squid conf) e fazer a configuração no navegador, caso contrário não funciona. De qualquer forma, muito obrigado pela ajuda.

0 0

Quote

10. Re: Quando ativo o firewall não consigo navegar

Buckminster
(usa Debian)

Enviado em 13/09/2013 - 01:43h

Troque esta regra
$IPT -t nat -A PREROUTING -s $NETWORK -p tcp --dport 80 -j REDIRECT --to-port 3128

por esta

$IPT -t nat -A PREROUTING -i $ILAN -p tcp --dport 80 -j REDIRECT --to-port 3128

coloque proxy transparente e teste.

0 0

Quote