Ubuntu Server iptables e https [RESOLVIDO]

silva28
(usa Outra)

Enviado em 02/03/2010 - 09:55h

Pessoal meu problema é o seguinte: usava o debian 4 e nele não haviam regras para bloqueio de https,que funcionava normalmente ao passar as mesma regras para um ubuntu server 9, o https é bloqueado.Olhem as regras

eth0: wan
eth1: rede local

:PREROUTING ACCEPT [31395:2354875]
:POSTROUTING ACCEPT [3629:233194]
:OUTPUT ACCEPT [10222:635549]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A POSTROUTING -o eth1 -p tcp -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -j MASQUERADE
COMMIT
# Completed on Tue Mar 2 09:39:36 2010
# Generated by iptables-save v1.4.4 on Tue Mar 2 09:39:36 2010
*filter
:INPUT ACCEPT [213476:108592079]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [238825:116899268]
-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT
-A INPUT -s 192.168.0.0/24 -i eth1 -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT
-A FORWARD -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 443 -j ACCEPT
COMMIT

O que poderia estar acontecendo?

irado
(usa XUbuntu)

Enviado em 02/03/2010 - 10:23h

em um primeiro momento, vejo que a regra "-A INPUT -p tcp -m tcp --dport 443 -j ACCEPT" é desnecessária (vc não tem um servidor https aí, tem?) assim como "-A FORWARD -s 192.168.0.0/24 -i eth1 -p udp -m udp --dport 443 -j ACCEPT", o https não é por udp.

vc tem dois links? pq está mascarando duas NICs? (eth0 eth1)

normalmente só a NIC wan (internet) é mascarada.

minha opinião é de que será melhor se vc analisar outros scripts, disponiveis aqui no VOL.

flames > /dev/null

silva28
(usa Outra)

Enviado em 02/03/2010 - 11:03h

-A POSTROUTING -o eth1 -p tcp -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -j MASQUERADE

Só estou usando eth0 para internet,foi uma tentativa frustada de resolver o problema

-A FORWARD -p tcp -m tcp --dport 443 -j ACCEPT

Outra tentativa,no debian 4 não precisava disso para funcionar,tentei verificar se precisava declarar explicitamente...

Estava vendo outros scripts e sugestões aqui no fórum e nenhum funcionou,ainda não volto pro debian porque no momento ubuntu server é o único cd/dvd disponível no momento enquanto não arranjo outra versão debian.

silva28
(usa Outra)

Enviado em 03/03/2010 - 09:28h

Senhores,descobri a falha, estava faltando um simples ip_forward,deixei passar essa porque estava tendo acesso via http....,estranho não?