Visite também: Br-Linux ·  VivaOLinux ·  LinuxSecurity ·  Dicas-L ·  NoticiasLinux ·  SoftwareLivre.org ·  [mais]
Voltar   Under-Linux.org Fóruns > Geral > Serviços > Proxy/NAT/Firewall
Script Firewall derrubando squid Script Firewall derrubando squid
Wiki Classificados Galeria Reviews Jogos Comunidades RSS Feeds FAQ Termos de Uso Sobre
Cadastre-se FotosBlogs Lista de Membros Calendário Pesquisar Mensagens de Hoje Marcar Fóruns Como Lidos

Script Firewall derrubando squid



Resposta
Página 2 de 3 < 1 2 3 >
 
LinkBack Opções do Tópico
Antigo 02-07-2008, 9:16   #6 (permalink)
Padrão
Minha regra de OUT está accept para todas as portas

iptables -A OUTPUT -j ACCEPT


Alguém pode me ajudar?
Última edição por juliocm : 02-07-2008 às 10:08.
 
Avatar de juliocm
 
Registrado em: Nov 2006
Mensagens: 166
Agradeceu: 4
Agradecido 3 vez(es) em 3 Posts
Reputação: 39 juliocm
Responder com Quote juliocm está offline  
Antigo 02-07-2008, 10:58   #7 (permalink)
Padrão
ajudar com?

A sua regra OUTPUT com ACCEPT pra all só quer dizer que as conexões que saem do firewall estão liberadas.
__________________
Frederico Freire Boaventura (Galahad)
LPIC-II | MCP

A resposta ajudou? Agradeça!

"Linux poses a real challenge for those with a taste for late-night hacking (and/or conversations with God)."
(By Matt Welsh)
Super Moderador
 
Avatar de galahad
 
Registrado em: Jun 2008
Localização: Espírito Santo
Distribuição: Gentoo
Mensagens: 247
Agradeceu: 10
Agradecido 50 vez(es) em 48 Posts
Reputação: 39 galahad galahad
Responder com Quote galahad está offline  
Antigo 02-07-2008, 12:13   #8 (permalink)
Padrão
Citação:
Postado Originalmente por juliocm Ver Mensagens
Minha regra de OUT está accept para todas as portas

iptables -A OUTPUT -j ACCEPT


Alguém pode me ajudar?

Seguinte, troca a sua regra de redirect do Proxy, por essa:


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Testa a regra acima, se nao der certo, aí faz um outro teste rápido: Tira a política padrão de DROP do FORWARD e coloca ACCEPT e testa novamente. Se funcionar, vc já sabe que é FORWARD embaçando, aí vc faz assim:
iptables -A FORWARD -p tcp --destination-port 3128 -j ACCEPT

Teste isso e retorne, valeu
__________________
"Não existe trabalho ruim, o ruim é ter que trabalhar" ( Sr. Madruga )

Linux User Register: #429993
Linux Machine Register: #346633
 
Avatar de mastellaro
 
Registrado em: Dec 2004
Localização: Mato Grosso
Distribuição: Slackware Linux
Idade: 23
Mensagens: 531
Agradeceu: 5
Agradecido 22 vez(es) em 21 Posts
Reputação: 0 mastellaro
Enviar mensagem via MSN para mastellaro Enviar mensagem via Skype para mastellaro
Responder com Quote mastellaro está offline  
Antigo 06-07-2008, 13:48   #9 (permalink)
Padrão
Fiz os procedimentos.
Continua ocorrendo os mesmos erros...
 
Avatar de juliocm
 
Registrado em: Nov 2006
Mensagens: 166
Agradeceu: 4
Agradecido 3 vez(es) em 3 Posts
Reputação: 39 juliocm
Responder com Quote juliocm está offline  
Antigo 07-07-2008, 10:38   #10 (permalink)
Padrão
Seguem algumas propostas de modificação pro teu script de firewall, veja se isso resolve seu problema:


Citação:
Postado Originalmente por juliocm Ver Mensagens
Segue o script para que possam me ajudar!

#!/bin/bash
IF_EXT="eth0"
IF_INT="eth1"
echo 1 >/proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

###################################
#Tabela Filter
###################################
#
## Liberando LoopBack
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
## Liberando o SQUID
#
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i $IF_INT -o $IF-EXT -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 80, 443 -j ACCEPT

#
##Bloqueando ping da morte
#
#iptables -A FORWARD -i $IF_INT -o $IF_EXT -p icmp -j DROP
# Se a política de INPUT já está como DROP, você não precisa negar mais nada,
#ele já tem tudo negado exceto o que é permitido
### iptables -A INPUT -p icmp -j DROP
###
## Libera ICMPs Válidos
##
iptables -N ICMP
iptables -A INPUT -p icmp -j ICMP
iptables -A FORWARD -p icmp -j ICMP
iptables -A OUTPUT -p icmp -j ICMP
iptables -A ICMP -p icmp --icmp-type 0 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 3 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 8 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 30 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 40 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -j RETURN

##
#
##Liberar quando não estiver na regra
#
#iptables -A FORWARD -s 192.168.0.x
#
##Liberando as portas necessárias
#
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p tcp -m multiport --dports 20,21,22,53 -j ACCEPT
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp -i $IF_INT -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
#
##SPRING
iptables -A INPUT -p tcp -s x.x.x.x --sport 10075 -j ACCEPT
iptables -A INPUT -p tcp --dport 10075 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9003 -j ACCEPT
iptables -A INPUT -p tcp --dport 9003 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9004 -j ACCEPT
iptables -A INPUT -p tcp --dport 9004 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9005 -j ACCEPT
iptables -A INPUT -p tcp --dport 9005 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1075 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9003 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9004 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9005 -j ACCEPT
#
##Terminal Server
#
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
#
##Liberando Email
#
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#
## Liberando o Banesfácil na FILTER
#
iptables -A INPUT -p tcp --dport 4226 -j ACCEPT
iptables -A INPUT -p tcp --sport 4226 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4226 -j ACCEPT
iptables -A FORWARD -p tcp --sport 4226 -j ACCEPT
#
##Liberando o autphd
#
iptables -A INPUT -p tcp --dport 113 -j ACCEPT
#
## Liberando porta 80 e 443
#
## Se você quer obrigar seus usuários a sairem pelo squid, não libere as portas 80 e 443 para passarem pelo firewall
### Se você quer que eles acessem o conectividade social, libere apenas para o IP específico.
iptables -A FORWARD -i $IF_INT -o IF_EXT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -m limit --limit 1/s -j LOG
#Liberar o msn para determinado ip
iptables -A FORWARD -s 192.168.0.2 -p tcp -m multiport --dport 1683 -j ACCEPT

###############################
## TABELA NAT
###############################
#
## Liberando o acesso ao Terminal Server
#
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i $IF_EXT --dport 3389 -j DNAT --to 192.168.0.2
#
## Mascarando o IP
#
iptables -t nat -A POSTROUTING -s 192.168.0.0 -j SNAT --to x.x.x.x
#
##Redirect server
#
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 80 -j DNAT --to 192.168.0.5
#
## Liberando o Banesfácil na NAT p/ o IP especifico
#
### Cuidado com essa regra! Toda e qualquer conexão, vinda e qualquer lugar,
### para as portas 20, 21 e 4226 vão ser redirecionadas para uma máquina interna na sua rede!!
### E eu não acho que seja realmente isso que você esteja querendo.
iptables -t nat -A PREROUTING -s 0/0 -p tcp --sport 20 -m multiport --dport 20,21,4226 -j DNAT --to 192.168.0.114

#
## SPRING
#
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 10075 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9003 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9004 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9005 -j DNAT --to 192.168.0.5

#
## Liberando o Conectividade Social
#
iptables -t nat -A PREROUTING -d ! x.x.x.x/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

#
##Habilitando o squid
#
### Esta regra está redundante com a regra logo acima. A diferença é que
### lá você especificou um destino onde ele não redireciona e aqui só especificou a origem.
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
Espero que te ajude.
__________________
Frederico Freire Boaventura (Galahad)
LPIC-II | MCP

A resposta ajudou? Agradeça!

"Linux poses a real challenge for those with a taste for late-night hacking (and/or conversations with God)."
(By Matt Welsh)
Super Moderador
 
Avatar de galahad
 
Registrado em: Jun 2008
Localização: Espírito Santo
Distribuição: Gentoo
Mensagens: 247
Agradeceu: 10
Agradecido 50 vez(es) em 48 Posts
Reputação: 39 galahad galahad
Responder com Quote galahad está offline  
Resposta
Página 2 de 3 < 1 2 3 >

Tags
iptables, squid

« Tópico Anterior | Próximo Tópico »
Opções do Tópico

Regras de Mensagens
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is Ligado
Smiles estão Ligado
Código [IMG] está Ligado
Código HTML está Desligado
Trackbacks are Ligado
Pingbacks are Ligado
Refbacks are Ligado
Ir para...

Tópicos Similares
Tópico Tópico Iniciado Por Fórum Respostas Última Mensagem
VivaoLinux: Shell-Script: Firewall com Iptable - rc.Firewall underbot Noticias 0 09-04-2008 14:20
Script Firewall Kandango Wireless 7 12-07-2005 21:39
script de firewall Skorpyon Proxy/NAT/Firewall 11 22-05-2005 1:16
Firewall - Script . . boureal Proxy/NAT/Firewall 3 29-12-2004 10:14
Script Firewall Kandango Proxy/NAT/Firewall 2 10-10-2004 13:31

Horários baseados na GMT -3. Agora são 5:25.

RSS Feeds - Fale Conosco - Novos posts - Início

Powered by vBulletin®
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd
SEO by vBSEO 3.2.0 ©2008, Crawlability, Inc.