Ajuda para cenário proxy ?

[robsoncb]

Citação:

Postado Originalmente por elderjmp

Faça um teste e verifique. Testando, errando e aprendendo... ok?!

Proxy transparente o https não funciona, mas esse não é o seu caso. Então acho que não vai ser preciso liberar... só configurar nos navegadores. Seria na FORWARD porque seu firewall não é um servidor web, então não precisa aceitar requisições na porta 443 e sim permitir o repasse.

Enfim já montei o meu firewall através de estudos pela net. Liberei a Chain FORWARD para toda a minha rede, pois não há problema nessa situação. Prendi o acesso a chain INPUT 3128 a rede interna, pois só lá que vão acessar o squid mesmo. Ssh e ftp vou ter que mecher de fora, liberei para todas as origens. Estou com dúvida ainda se devo liberar a porta 80 na Chain INPUT.
Segue o mesmo abaixo:

#Limpando regras
iptables -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT

#CHAIN INPUT

iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 20 -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 21 -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW -s 0/0 --dport 22 -j ACCEPT

iptables -A INPUT -p tcp -m state --state NEW -s 192.168.1.0/24 --dport 80 -j ACCEPT (dúvida)

iptables -A INPUT -p tcp -m state --state NEW -s 192.168.1.0/24 --dport 3128 -j ACCEPT

#CHAIN FORWARD

iptables -A FORWARD -m state --state NEW -s 192.168.1.0/24 -j ACCEPT

Ok, Vou fazer os testes na segunda, pois estou no local nesse dia : )

Se acharem que alguma regra não está legal podem me dizer !!

[robsoncb]

Bom pessoal resumi melhor o meu firewall.
Ficou da seguinte forma:

#Limpa as regras
iptables -F
iptables -t mangle -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#Aceita todo o tráfego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT

#CHAIN INPUT

iptables -A INPUT -i eth0 -s 192.168.10.0/24 -j ACCEPT
iptables -A INPUT -i eth1 -m state -–state ESTABLISHED,RELATED -j ACCEPT


#CHAIN FORWARD

iptables -A FORWARD -i eth0 -s 192.168.10.0/24 -j ACCEPT
iptables -A FORWARD -i eth1 -m state -–state ESTABLISHED,RELATED -j ACCEPT

Agora funcionou !!
Vlw !!

[elderjmp]

Olha só, com sinceridade, eu não faria assim não... se for pra deixar assim nem vejo motivo de você ter um firewall, está tudo liberado!

[robsoncb]

Citação:

Postado Originalmente por elderjmp

Olha só, com sinceridade, eu não faria assim não... se for pra deixar assim nem vejo motivo de você ter um firewall, está tudo liberado!

Bom,
Eth0 é a rede Interna
Eth1 é a rede externa

Arrumei a casa, intenção "fechar para a rede externa" e "liberar só para interna":

#Limpa as regras
iptables -F
iptables -t mangle -F

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#Aceita todo o trafego vindo do loopback e indo pro loopback
iptables -A INPUT -i lo -j ACCEPT

#CHAIN INPUT

iptables -A INPUT -i eth0 -s 192.168.10.0/24 -j ACCEPT

#CHAIN FORWARD

iptables -A FORWARD -i eth0 -s 192.168.10.0/24 -j ACCEPT