squid nao navega com o iptables

rafasmanhotto
(usa Outra)

Enviado em 05/08/2010 - 21:39h

Amigos,

Tenho um servidor que já está com squid configurado para bloquear e liberar sites.
Porém, quando configuro o iptables com a regra:
iptables -t filter -P INPUT DROP

E, depois liberando a porta http

iptables -t filter -I INPUT -p tcp --dport 3128 -j ACCEPT
as estações param de navegar.
Então eu pergunto, se há alguma porta no iptables que tenha que liberar para o Squid??

muito obrigado!

silasmg
(usa Debian)

Enviado em 06/08/2010 - 08:54h

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE
iptables --appernd FORWARD --in-interface eth0 -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUTPUT -o eth0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.1.1:3128
iptables -A INPUT -j DROP

eth0 = LAN
eth1 = INTERNET
192.168.1.1 = IP do servidor proxy

Substitua o eth0, eth1 e 192.168.1.1 de acordo com a sua estrutura de rede.

thiago_dias
(usa CentOS)

Enviado em 06/08/2010 - 09:09h

Troque a ordem das linhas no script que acho que já resolve.
Você esta fechando tudo para depois abrir uma porta e não é assim, você tem que liberar tudo que vc precisa primeiro e depois vc coloca a linha de bloqueio geral.

irado
(usa XUbuntu)

Enviado em 06/08/2010 - 09:15h

sua politica está correta - ninguém deve acessar o fwll exceto quando necessário e autorizado.

porém, sua regra para o squid pode estar errada, dependendo de como queira que as coisas funcionem.

se for para transparente, está errada. Mas se for para não transparente, está ok PORÉM.. e as demais regras (politicas inclusive?)

por exemplo, para navegação faltam as regras de FORWARD e nat/postrouting (por exemplo).

em suma, esclareça como está o seu conjunto de regras e COMO o seu squid deve operar.

rafasmanhotto
(usa Outra)

Enviado em 07/08/2010 - 09:48h

ok, muito obrigado ... vou testar definindo essas políticas ..muito obrigado.


Rafael.