Squid + Firewall = Down!!! HelP

[maverickv12]

Citação:

Postado Originalmente por Magnun

Isso depois de reiniciar o OpenSuse??

É, realmente ao reiniciar a maquina não entrou as regras, porem executando o script ( ./S20Iptables ) aparece a regra.

Obs: Eu não estou usando o Firewall do proprio Opensuse o firewall2 estou apenas colocando esse script...certo???


Como faço pra aparecer a regra com o boot???

Grato!!!

UPDATE

Notei que todos os scripts estão como link apenas esse script que coloquei que não está, será que tem alguma coisa a ver???

Grato

[Magnun]

A questão do script ser um link não tem muito a ver. É porque normalmente agente coloca o script em /etc/init.d/ e linka ele pra um rc.

Cara, você verificou as permissões do arquivo?? faz o seguinte, você colocou ele como S10firewall ne? Põe como S20firewall, às vezes pode ser que no 10 o serviço de rede ainda não está up.

To quase baixando um ISO desse OpenSuse pra fazer uns testes...

Fico no aguardo...

[maverickv12]

Citação:

Postado Originalmente por Magnun

A questão do script ser um link não tem muito a ver. É porque normalmente agente coloca o script em /etc/init.d/ e linka ele pra um rc.

Cara, você verificou as permissões do arquivo?? faz o seguinte, você colocou ele como S10firewall ne? Põe como S20firewall, às vezes pode ser que no 10 o serviço de rede ainda não está up.

To quase baixando um ISO desse OpenSuse pra fazer uns testes...

Fico no aguardo...

Certo. Troquei e vou fazer os testes aqui e posto as resposta amanha...

Grato!!!

UPDATE

Oi Magnun, coloquei e testei e continua não inicializando junto com o sistema, vou pesquisar aqui o que pode ser.

Se tiver alguma ideia estou a disposição....rsrrs

Grato!!!

[maverickv12]

Oi Magnun, editei o arquivo, troquei de nome, troquei de lugar e ate mesmo editei o rc.local em varios lugares, mas mesmo assim não está executando junto com o opensuse, apenas quando inicio ele com o comando ./"script"

Será que vc tem ideia de como que posso fazer para ele entrar junto com o sistema???

Obs: o Firewall do proprio suse o firewall2 esta desativado, tem que ficar assim né???

Grato!!!

[Magnun]

Sim, o firewall fica "desabilitado". Na verdade esse desabilitado só não sobre as regras defaults do OpenSuse.

Cara, faz o seguinte teste. Move esse script pra /etc/init.d/ e renomeia ele. Deixa ele com o nome "firewall". Confirma as permissões de execução. Depois dentro da pasta /etc/init.d executa o seguinte comando:

Código:

 
update-rc.d firewall defaults

Esse comando vai adicionar o seu script automaticamente em todos os runlevels. Reinicia o linux e ve se a regra sobe...

Cara, se assim não funcionar...

[maverickv12]

Citação:

Postado Originalmente por Magnun

Sim, o firewall fica "desabilitado". Na verdade esse desabilitado só não sobre as regras defaults do OpenSuse.

Cara, faz o seguinte teste. Move esse script pra /etc/init.d/ e renomeia ele. Deixa ele com o nome "firewall". Confirma as permissões de execução. Depois dentro da pasta /etc/init.d executa o seguinte comando:

Código:

 
update-rc.d firewall defaults

Esse comando vai adicionar o seu script automaticamente em todos os runlevels. Reinicia o linux e ve se a regra sobe...

Cara, se assim não funcionar...

(Smiles) Magnun, ate que enfim cara, conseguimos colocar ele pra rodar junto com o sistema, só que esse comando que você me passou não funciona no OpneSuse 10.3, tive que usar o

chkconfig firewall on

e pronto, o script firewall inicia junto com o sistema, agora sim podemos continuar com as regras né????

O que devo fazer agora????

Muito Obrigado pela ajuda que você está me dando!!!

[Magnun]

Aeee.... Não conheço esse comando, mas se ele for igual ao uptate-rc.d ele põe esse script pra ser rodado em todos os rcs. Provavelmente tem alguma diferença de serviços do rc entre Debian e OpenSuSe...

Ok, fiz esse script ontem de noite bem rápido. Ele não é perfeito nem o mais seguro, mas já é alguma coisa! Como disse fiz ele correndo, podem haver algum erro... Mas qualquer coisa agente resolve...

Código:

#!/bin/bash 
eth_ext=
eth_int=
rede_interna=
#################################
######### Inicialização #########
#################################
 
# limpando as tabelas
iptables -F 
iptables -t nat -F 
iptables -t mangle -F 
 
# Ativando o roteamento 
echo 1 > /proc/sys/net/ipv4/ip_forward 
 
#################################
#########  Proteções ############
#################################
 
# Protege contra os "Ping of Death" 
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 
 
# Protege contra os ataques do tipo "Syn-flood, DoS, etc" 
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT 
 
# Protege contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
 
# Mascarando a rede 
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE 
 
# libera acesso interno da rede 
iptables -A INPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A OUTPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --syn -i eth1 -j ACCEPT 
 
# Políticas Padrões
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
 
 
#################################
#####  Regras de filtragem ######
#################################
 
#### Chain INPUT ####
# Libera interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
 
# Libera entrada de pacotes de conexões estabelecidas
iptables -A INPUT -i $eth_ext -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Libera entrada de pacotes de novas conexões
iptables -A INPUT -i $eth_int -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s $rede_interna -i $eth_int -j ACCEPT
 
#### Chain OUTPUT ####
 
#### Chain FORWARD ####
#Libera forwarding da rede interna pra internet
iptables -A FORWARD -s $rede_interna -i eth_int -o eth_ext -j ACCEPT
 
#Libera forwarding da internet pra rede interna 
iptables -A FORWARD -d $rede_interna -i eth_ext -o eth_int -j ACCEPT
 
 
#################################
######## Regras de NAT ##########
#################################
 
#### Chain PREROUTING ####
 
 
#### Chain POSTROUTING ####
#Bloqueia acessos à web que não sejam atraves do Squid
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -p tcp --dport 80 -j DROP
 
#Regra de NAT
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -j MASQUERADE
 
#### Chain OUTPUT ####

Só preenche as variáveis do início, por exemplo:
eth_ext=eth1
eth_int=eth0
rede_interna=192.168.1.0/24

Qualquer coisa posta ai...
Se alguém tiver alguma crítica ou sugestão ao script posta também!

Tenho que trabalhar... Fui...

[maverickv12]

Citação:

Postado Originalmente por Magnun

Aeee.... Não conheço esse comando, mas se ele for igual ao uptate-rc.d ele põe esse script pra ser rodado em todos os rcs. Provavelmente tem alguma diferença de serviços do rc entre Debian e OpenSuSe...

Ok, fiz esse script ontem de noite bem rápido. Ele não é perfeito nem o mais seguro, mas já é alguma coisa! Como disse fiz ele correndo, podem haver algum erro... Mas qualquer coisa agente resolve...

Código:

#!/bin/bash 
eth_ext=
eth_int=
rede_interna=
#################################
######### Inicialização #########
#################################
 
# limpando as tabelas
iptables -F 
iptables -t nat -F 
iptables -t mangle -F 
 
# Ativando o roteamento 
echo 1 > /proc/sys/net/ipv4/ip_forward 
 
#################################
#########  Proteções ############
#################################
 
# Protege contra os "Ping of Death" 
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 
 
# Protege contra os ataques do tipo "Syn-flood, DoS, etc" 
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT 
 
# Protege contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
 
# Mascarando a rede 
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE 
 
# libera acesso interno da rede 
iptables -A INPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A OUTPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --syn -i eth1 -j ACCEPT 
 
# Políticas Padrões
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
 
 
#################################
#####  Regras de filtragem ######
#################################
 
#### Chain INPUT ####
# Libera interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
 
# Libera entrada de pacotes de conexões estabelecidas
iptables -A INPUT -i $eth_ext -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Libera entrada de pacotes de novas conexões
iptables -A INPUT -i $eth_int -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s $rede_interna -i $eth_int -j ACCEPT
 
#### Chain OUTPUT ####
 
#### Chain FORWARD ####
#Libera forwarding da rede interna pra internet
iptables -A FORWARD -s $rede_interna -i eth_int -o eth_ext -j ACCEPT
 
#Libera forwarding da internet pra rede interna 
iptables -A FORWARD -d $rede_interna -i eth_ext -o eth_int -j ACCEPT
 
 
#################################
######## Regras de NAT ##########
#################################
 
#### Chain PREROUTING ####
 
 
#### Chain POSTROUTING ####
#Bloqueia acessos à web que não sejam atraves do Squid
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -p tcp --dport 80 -j DROP
 
#Regra de NAT
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -j MASQUERADE
 
#### Chain OUTPUT ####

Só preenche as variáveis do início, por exemplo:
eth_ext=eth1
eth_int=eth0
rede_interna=192.168.1.0/24

Qualquer coisa posta ai...
Se alguém tiver alguma crítica ou sugestão ao script posta também!

Tenho que trabalhar... Fui...

Obrigadão magnun, coloquei esse script que você montou ai, agora estou com uma dúvida nessa linha que coloquei em vermelho ai no seu post, esse IP eh da rede interna????

Se for já mudei pra minha rede, vou fazer uns testes aqui e posto o resultado!!!

Grato!!!

[Magnun]

Opa... viagem minha...
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE
na verdade era pra ser
iptables -t nat -A POSTROUTING -s $rede_interna -o eth0 -j MASQUERADE

Foi mal...pequei de um exemplo e esqueci de editar...
Qualquer dúvida sobre os comandos posta ai! É EXTREMAMENTE importante que você entenda as regras...

Uma ótima fonte de pesquisa: Guia Foca GNU/Linux - Firewall iptables

[maverickv12]

Citação:

Postado Originalmente por Magnun

Opa... viagem minha...
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE
na verdade era pra ser
iptables -t nat -A POSTROUTING -s $rede_interna -o eth0 -j MASQUERADE

Foi mal...pequei de um exemplo e esqueci de editar...
Qualquer dúvida sobre os comandos posta ai! É EXTREMAMENTE importante que você entenda as regras...

Uma ótima fonte de pesquisa: Guia Foca GNU/Linux - Firewall iptables

Hum, certo vou editar aqui e colocar umas adaptações pra minha rede e já posto o que "deu"....Vlew galera do under...e obrighadão pela ajuda prestada Magnun.

voltarei...rsrsrs

Abraço