firewall no Debian 6.0.3 [RESOLVIDO]

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 15:17h

DMS, está bem básico. Eu tinha comentado esta linha q mencionou porque ela está na lista de módulos um pouco mais acima. Mas mesmo descomentando ela nao funfou!

já tentei o redirecionamento da porta 80 para 3128 de 03 maneiras.
E NENHUMA FUNCIONOU!!!

##########PACOTES RECEBIDOS NA REDE LOCAL DIRECIONADO PARA SQUID(3128)
#---------------------------------------------------------------------------------
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -p tcp --dport http -j REDIRECT --to-port 3128
#iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
#---------------------------------------------------------------------------------

Lembrando... As políticas estão todas ACCEPT

##########POLITICA PADRAO
#-------------------------
echo "Politica padrao ativada";
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
#-------------------------

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 15:27h

Nossa... Já estou ficando loko com este problema!!!
Já é o 3° dia completo e NADA de funcionar...

Galera do VOL, vocês estão dando uma força enorme para esta tentativa de resolução. Sou muito grato!
Espero que eu não esteja atrapalhando suas tarefas.

Mas ainda falta alguma coisa, não é possível!!! Já fizemos de q tudo um pouco e NADA de resolver.

rubens_web
(usa Debian)

Enviado em 11/01/2012 - 15:37h

O que eu posso fazer agora para novas tentativas de resolução?

DMS_
(usa elementary OS)

Enviado em 11/01/2012 - 15:37h

Certifique-se que as interfaces não estão sendo trocadas, havia/há um problema de quando reiniciávamos o so, ele trocava eth0 por eth1, de acordo com qual modulo de qual placa subia primeiro, mas hoje há maneira de sanar este problema, da uma checada quem sabe seja isso?

Vamos lá, se você configura o proxy manualmente na maquina funciona, o que não está funcionando é o proxy transpaente.

Para o proxy transparente funcionar é preciso configurar o squid
http_port 3128 transparent

E redirecionar requisição da porta 80 para 3128 no caso, isso já está sendo feito corretamente? Na regra troque eth0 por eth1! Por desencargo de consciência. Enfim, o jeito é ir testando até não sobrar nenhum item.

Lembre-se o squid/iptables le as regras por sequencia, ex:
Aqui está bloqueando a porta 443 e logo após liberando

----------------------------------------

iptables -A INPUT -p tcp --dport 443 -j DROP

iptables -A INPUT -p tcp --dport 443 -j ACCEPT

---------------------------------------- 

A porta 443 irá continuar bloqueada pois na primeira linha você já a bloqueou.


Agora, se você bloquear tudo!

----------------------------------------

iptables -t filter -P INPUT DROP

iptables -t filter -P OUTPUT ACCEPT

iptables -t filter -P FORWARD DROP

---------------------------------------- 

E ir liberando as portas especificas

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

 

funciona.
Apredi isto há esses dias também. talvez de uma luz...

Obs.: Não está atrapalhando, pelo contrário, é um aprendizado e é divertido, quero descobrir se vamos conseguir te ajudar rsrsr.

[]'s

andrecanhadas
(usa Debian)

Enviado em 11/01/2012 - 19:23h

Aqui uso o Debian 6 e funciona 100%

Tenta rodar esse script e ve se funciona.
cria um arquivo firewall.sh dentro de /usr/local/bin
de permissão de execução (chmod +x /usr/local/firewall.sh)
Esse seu firewall ta muito aberto (INPUT ACCEPT)tenta esse abaixo
Se não funcionar verifica o gateway das estações e as configurações da sua placa de rede local.

#!/bin/bash
################################################################################
#################### Inicio Firewall ###########################################
################################################################################

## Limpando as Regras existentes #######
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -Z

## Definindo politica padrão (Nega entrada e permite saida)
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

################################################################################
################# LOG de acesso externo para a rede interna ####################
################################################################################

## Log SSH

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 22 -j LOG --log-prefix="ACESSO SSH "

## Log HTTP porta 80

#iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j LOG --log-prefix="HTTP-pelo IP " --log-level 4

## Log Acesso Terminal Service

iptables -t nat -A PREROUTING -i eth1 -d 189.19.247.91 -p tcp -m tcp --dport 7777 -j LOG --log-prefix="TS-SERVER003 " --log-level 4

################################################################################
######################## Protege contra ataques diversos #######################
################################################################################

###### Protege contra synflood
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

###### Protecao contra ICMP Broadcasting
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

###### Prote.. Contra IP Spoofing
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

###### Protecao diversas contra portscanners, ping of death, ataques DoS, pacotes danificados e etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 1/s -j DROP
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -N VALID_CHECK
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN,URG,PSH -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL ALL -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,RST SYN,RST -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A VALID_CHECK -p tcp --tcp-flags ALL NONE -j DROP

## Limitando conexões na porta 80 #######
iptables -I INPUT -p tcp --dport 80 -i eth1 -m state --state NEW -m recent --set
iptables -I INPUT -p tcp --dport 80 -i eth1 -m state --state NEW -m recent --update --seconds 1 --hitcount 7 -j DROP

################################################################################
######################### Fim da regras de contra ataques ######################
################################################################################

##########LIBERA ACESSO CAMERAS
#-------------------------------------------------------------------------------------------------------
#DVR (STAND ALONE)
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 3630 -j DNAT --to-destination 192.168.1.XX
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 6236 -j DNAT --to-destination 192.168.1.XX

#PC (CAM3)
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 6261 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 4051 -j DNAT --to-destination 192.168.1.YY
iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 5051 -j DNAT --to-destination 192.168.1.YY
#-------------------------------------------------------------------------------------------------------

## Impede navegação sem proxy definido no navegador ##########
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

## Estabelece relação de confian..a entre maquinas da rede local eth0(rede local)

# Mude caso use outra mascara de rede ######

iptables -A INPUT -i eth0 -s 192.168.1.0/24 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state NEW -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

## liberando o INPUT externo para HTTP ##

iptables -A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -i eth1 -p tcp -m tcp --dport 22 -j ACCEPT

################################################################################
################# Redirecionamento para maquinas de rede interna ###############
################################################################################

## Acesso HTTP Externo

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.0.yyy:80

################################################################################
################################# Bloqueio de entrada ##########################
################################################################################

##########BLOQUEIA PORTA MSN
#------------------------------------------------
iptables -A FORWARD -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -p tcp --dport 5223 -j REJECT
#------------------------------------------------

iptables -A INPUT -i eth1 -j REJECT
## Liberar ping ##
#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

################################################################################
############################ Compartilhamento Internet #########################
################################################################################

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

################################################################################
######################################## Fim ###################################
################################################################################

saitam
(usa Slackware)

Enviado em 11/01/2012 - 22:27h

Então vamos por parte,testa esse script que apenas faz o compartilhamento de conexão e redirecionamento da porta 80 para 3128(squid).
PS: NÃO esquecer de adaptar para as interfaces de redes corretas para seu caso.
Nesse script esta definido as interfaces assim:
eth0=interface de conexão internet
eth1=interface de rede local

Caso contrario, apenas inverte no script.
Depois, se resolveu ae reaproveita o script para adicionar as regras iptables necessárias para sua rede.

#!/bin/bash

#Função: Regras Iptables de configuração do Firewall

#eth0=internet e eth1=rede local

#no Slackware chmod +x /etc/rc.d/rc.fw 

#no Debian chmod +x /etc/init.d/rc.fw

#e adicionar /etc/rc.d /rc.local para iniciar no boot do sistema

#Variáveis

ifaceExt="eth0"; #acesso internet

ifaceInt="eth1"; #acesso intranet(rede interna)

LAN="192.168.1.0/24"; #rede local

#carrega módulos

/sbin/modprobe ip_nat

/sbin/modprobe ip_nat_ftp

/sbin/modprobe ip_queue

/sbin/modprobe ip_conntrack

/sbin/modprobe ip_conntrack_ftp

/sbin/modprobe ip_tables

/sbin/modprobe iptable_filter

/sbin/modprobe iptable_nat

/sbin/modprobe iptable_mangle

/sbin/modprobe ipt_state

/sbin/modprobe ipt_limit

/sbin/modprobe ipt_multiport

/sbin/modprobe ipt_mac

/sbin/modprobe ipt_string

start(){

echo "Firewall iniciando…………………………[OK]";

#limpa as regras

iptables -F

iptables -X

iptables -Z

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z

iptables -t mangle -F

iptables -t mangle -X

iptables -t mangle -Z

#política padrão

iptables -P INPUT DROP

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT



#Permite pacotes transmitidos através da interface de loopback(localhost)

iptables -A INPUT -i lo -j ACCEPT



#Compartilha a conexão, disponível na interface eth0:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE

echo "Compartilhamento da rede ativo………………….[OK]";

#Permitindo e filtrando conexões estabelecidas



iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT



echo "Firewall ativado!………………………….[OK]";

}

stop(){

#limpa as regras

iptables -F

iptables -X

iptables -Z

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -t nat -F

iptables -t nat -X

iptables -t nat -Z

iptables -t mangle -F

iptables -t mangle -X

iptables -t mangle -Z

#política padrão

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT



#Compartilha a conexão, disponível na interface eth0:

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -s $LAN -o $ifaceExt -j MASQUERADE

echo "Compartilhamento da rede ativo………………….[OK]";

#Permitindo e filtrando conexões estabelecidas



iptables -t filter -A INPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A OUTPUT -m state –-state ESTABLISHED,RELATED -j ACCEPT

iptables -t filter -A FORWARD -m state –-state ESTABLISHED,RELATED -j ACCEPT



#Proxy Squid

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128



echo "Firewall desativado!……………………………..[OK]";

}

case "$1" in

"start") start ;;

"stop") stop ;;

"reload") stop; start;

*)

;;

echo "Use parâmetros start|stop|reload";

;;

esac

 

JJSantos
(usa Gentoo)

Enviado em 12/01/2012 - 02:02h

Conseguiu?

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 07:55h

Irei executar estas novas mudanças agora!

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 09:14h

saitam, montei o meu "firewall.sh" conforme o que vc me passou.

Funciona também como o meu postado, PORÉM está sendo necessário config. o proxy no navegador do cliente.

Minha conclusão: Parece que o meu squid trasparent nao esta sendo reconhecido no Debian 6. Tem alguma mudança do squid Debian 5 para o 6???

saitam
(usa Slackware)

Enviado em 12/01/2012 - 09:24h

estranho...

como instalou o squid ?
a)pelo apt-get/aptitude
b)pelo source

$whereis squid

Outra pergunta
Testou o script sem o proxy para verificar o servidor esta compartilhando conexão na estação?
Fez as adaptações necessárias nas interfaces de redes no script para o seu caso?

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 09:30h

Então...
A instalação do squid foi por "apt-get install squid"

Quando eu comento a linha que direciona para o squid NÃO funciona a internet no cliente nem com o proxy config.

Sim segui sim. Fiz com as variaveis para nao dar divergencia com o seu script

rubens_web
(usa Debian)

Enviado em 12/01/2012 - 09:31h

Deveria funcionar a internet no cliente com a linha do redirecionamento para a porta 3128 COMENTADA ??