Squid + Firewall = Down!!! HelP

maverickv12 · 02-07-2008, 14:58

Citação:

Postado Originalmente por Magnun

Sim, o firewall fica "desabilitado". Na verdade esse desabilitado só não sobre as regras defaults do OpenSuse.

Cara, faz o seguinte teste. Move esse script pra /etc/init.d/ e renomeia ele. Deixa ele com o nome "firewall". Confirma as permissões de execução. Depois dentro da pasta /etc/init.d executa o seguinte comando:

Código:

 
update-rc.d firewall defaults

Esse comando vai adicionar o seu script automaticamente em todos os runlevels. Reinicia o linux e ve se a regra sobe...

Cara, se assim não funcionar...

(Smiles)

Magnun, ate que enfim cara, conseguimos colocar ele pra rodar junto com o sistema, só que esse comando que você me passou não funciona no OpneSuse 10.3, tive que usar o

chkconfig firewall on

e pronto, o script firewall inicia junto com o sistema, agora sim podemos continuar com as regras né????

O que devo fazer agora????

Muito Obrigado pela ajuda que você está me dando!!!

Magnun · 02-07-2008, 16:43

Aeee.... Não conheço esse comando, mas se ele for igual ao uptate-rc.d ele põe esse script pra ser rodado em todos os rcs. Provavelmente tem alguma diferença de serviços do rc entre Debian e OpenSuSe...

Ok, fiz esse script ontem de noite bem rápido. Ele não é perfeito nem o mais seguro, mas já é alguma coisa! Como disse fiz ele correndo, podem haver algum erro... Mas qualquer coisa agente resolve...

Código:

#!/bin/bash 
eth_ext=
eth_int=
rede_interna=
#################################
######### Inicialização #########
#################################
 
# limpando as tabelas
iptables -F 
iptables -t nat -F 
iptables -t mangle -F 
 
# Ativando o roteamento 
echo 1 > /proc/sys/net/ipv4/ip_forward 
 
#################################
#########  Proteções ############
#################################
 
# Protege contra os "Ping of Death" 
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 
 
# Protege contra os ataques do tipo "Syn-flood, DoS, etc" 
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT 
 
# Protege contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
 
# Mascarando a rede 
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE 
 
# libera acesso interno da rede 
iptables -A INPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A OUTPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --syn -i eth1 -j ACCEPT 
 
# Políticas Padrões
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
 
 
#################################
#####  Regras de filtragem ######
#################################
 
#### Chain INPUT ####
# Libera interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
 
# Libera entrada de pacotes de conexões estabelecidas
iptables -A INPUT -i $eth_ext -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Libera entrada de pacotes de novas conexões
iptables -A INPUT -i $eth_int -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s $rede_interna -i $eth_int -j ACCEPT
 
#### Chain OUTPUT ####
 
#### Chain FORWARD ####
#Libera forwarding da rede interna pra internet
iptables -A FORWARD -s $rede_interna -i eth_int -o eth_ext -j ACCEPT
 
#Libera forwarding da internet pra rede interna 
iptables -A FORWARD -d $rede_interna -i eth_ext -o eth_int -j ACCEPT
 
 
#################################
######## Regras de NAT ##########
#################################
 
#### Chain PREROUTING ####
 
 
#### Chain POSTROUTING ####
#Bloqueia acessos à web que não sejam atraves do Squid
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -p tcp --dport 80 -j DROP
 
#Regra de NAT
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -j MASQUERADE
 
#### Chain OUTPUT ####

Só preenche as variáveis do início, por exemplo:
eth_ext=eth1
eth_int=eth0
rede_interna=192.168.1.0/24

Qualquer coisa posta ai...
Se alguém tiver alguma crítica ou sugestão ao script posta também!

Tenho que trabalhar... Fui...

maverickv12 · 02-07-2008, 17:31

Citação:

Postado Originalmente por Magnun

Aeee.... Não conheço esse comando, mas se ele for igual ao uptate-rc.d ele põe esse script pra ser rodado em todos os rcs. Provavelmente tem alguma diferença de serviços do rc entre Debian e OpenSuSe...

Ok, fiz esse script ontem de noite bem rápido. Ele não é perfeito nem o mais seguro, mas já é alguma coisa! Como disse fiz ele correndo, podem haver algum erro... Mas qualquer coisa agente resolve...

Código:

#!/bin/bash 
eth_ext=
eth_int=
rede_interna=
#################################
######### Inicialização #########
#################################
 
# limpando as tabelas
iptables -F 
iptables -t nat -F 
iptables -t mangle -F 
 
# Ativando o roteamento 
echo 1 > /proc/sys/net/ipv4/ip_forward 
 
#################################
#########  Proteções ############
#################################
 
# Protege contra os "Ping of Death" 
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT 
 
# Protege contra os ataques do tipo "Syn-flood, DoS, etc" 
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT 
 
# Protege contra port scanners
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT 
 
# Mascarando a rede 
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE 
 
# libera acesso interno da rede 
iptables -A INPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A OUTPUT -p tcp --syn -i eth1 -j ACCEPT 
iptables -A FORWARD -p tcp --syn -i eth1 -j ACCEPT 
 
# Políticas Padrões
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
 
 
#################################
#####  Regras de filtragem ######
#################################
 
#### Chain INPUT ####
# Libera interface de loopback
iptables -A INPUT  -i lo -j ACCEPT
 
# Libera entrada de pacotes de conexões estabelecidas
iptables -A INPUT -i $eth_ext -m state --state ESTABLISHED,RELATED -j ACCEPT
 
# Libera entrada de pacotes de novas conexões
iptables -A INPUT -i $eth_int -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
 
# Todo tráfego vindo da rede interna também é aceito
iptables -A INPUT -s $rede_interna -i $eth_int -j ACCEPT
 
#### Chain OUTPUT ####
 
#### Chain FORWARD ####
#Libera forwarding da rede interna pra internet
iptables -A FORWARD -s $rede_interna -i eth_int -o eth_ext -j ACCEPT
 
#Libera forwarding da internet pra rede interna 
iptables -A FORWARD -d $rede_interna -i eth_ext -o eth_int -j ACCEPT
 
 
#################################
######## Regras de NAT ##########
#################################
 
#### Chain PREROUTING ####
 
 
#### Chain POSTROUTING ####
#Bloqueia acessos à web que não sejam atraves do Squid
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -p tcp --dport 80 -j DROP
 
#Regra de NAT
iptables -t nat -A POSTROUTING -s $rede_interna -o eth_ext -j MASQUERADE
 
#### Chain OUTPUT ####

Só preenche as variáveis do início, por exemplo:
eth_ext=eth1
eth_int=eth0
rede_interna=192.168.1.0/24

Qualquer coisa posta ai...
Se alguém tiver alguma crítica ou sugestão ao script posta também!

Tenho que trabalhar... Fui...

Obrigadão magnun, coloquei esse script que você montou ai, agora estou com uma dúvida nessa linha que coloquei em vermelho ai no seu post, esse IP eh da rede interna????

Se for já mudei pra minha rede, vou fazer uns testes aqui e posto o resultado!!!

Grato!!!

Magnun · 02-07-2008, 18:18

Opa... viagem minha...
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE
na verdade era pra ser
iptables -t nat -A POSTROUTING -s $rede_interna -o eth0 -j MASQUERADE

Foi mal...pequei de um exemplo e esqueci de editar...
Qualquer dúvida sobre os comandos posta ai! É EXTREMAMENTE importante que você entenda as regras...

Uma ótima fonte de pesquisa: Guia Foca GNU/Linux - Firewall iptables

maverickv12 · 03-07-2008, 19:16

Citação:

Postado Originalmente por Magnun

Opa... viagem minha...
iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE
na verdade era pra ser
iptables -t nat -A POSTROUTING -s $rede_interna -o eth0 -j MASQUERADE

Foi mal...pequei de um exemplo e esqueci de editar...
Qualquer dúvida sobre os comandos posta ai! É EXTREMAMENTE importante que você entenda as regras...

Uma ótima fonte de pesquisa: Guia Foca GNU/Linux - Firewall iptables

Hum, certo vou editar aqui e colocar umas adaptações pra minha rede e já posto o que "deu"....Vlew galera do under...e obrighadão pela ajuda prestada Magnun.

voltarei...rsrsrs

Abraço

02-07-2008, 18:18	#39 (permalink)
Opa... viagem minha... iptables -t nat -A POSTROUTING -s 10.83.96.0/24 -o eth0 -j MASQUERADE na verdade era pra ser iptables -t nat -A POSTROUTING -s $rede_interna -o eth0 -j MASQUERADE Foi mal...pequei de um exemplo e esqueci de editar... Qualquer dúvida sobre os comandos posta ai! É EXTREMAMENTE importante que você entenda as regras... Uma ótima fonte de pesquisa: Guia Foca GNU/Linux - Firewall iptables __________________ If you choose not to decide, you still have made a choice." Freewill (Rush) Magnun Leno CISCO CCNA: CSCO10991731	Magnun Autor Registrado em: Nov 2006 Localização: Distrito Federal Distribuição: Ubuntu 8.04 Mensagens: 438 Agradeceu: 103 Agradecido 63 vez(es) em 61 Posts Reputação: 93

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Squid Vs Firewall	kidbrooks	Proxy/NAT/Firewall	2	24-04-2007 16:44
NAT+Firewall+squid	dgm	Proxy/NAT/Firewall	2	20-05-2006 22:14
Firewall e Squid ou Squid e Firewall	pssgyn	Proxy/NAT/Firewall	3	08-04-2006 1:42
Firewall+Squid	Kernel_Panic	Proxy/NAT/Firewall	3	10-12-2002 9:56
Squid + Firewall	serrato	Proxy/NAT/Firewall	10	02-12-2002 19:54

Opções do Tópico
Exibir Versão para Impressão Envie essa página por e-mail