SQUID + IPTABLES ? 1 ou outro ?

maxrush · 16-02-2004, 14:47

Olá pessoal,

Foi encontrando diversas soluções nesta lista que eu decidi me inscrever no Underlinux e tenho uma dúvida que não encontrei em lugar nenhum. Bem é o seguinte, Iptables + Squid. Achei o seguinte script na net e tentei implantá-lo :

#! /bin/bash
# Firewall Simples / Compartilhamento
# Carlos Morimoto 05/2003
# Tiago Cruz - 02/2004

# Carrega os módulos
modprobe ip_tables
modprobe iptable_nat

#Limpa tudo
iptables -F
iptables -t nat -F

# Para rede local receber e-mail
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

# Para nao fugirem do proxy
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128

# Encaminhamento de IP
echo 1 > /proc/sys/net/ipv4/ip_forward

# Abre algumas portas (ssh e http)
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT

# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m unclean -j DROP

# Fecha o resto
iptables -A INPUT -p tcp --syn -j DROP

# Se você quiser que o PC também não responda a pings, adicione a linha:
# echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

O problema é que segundo eu pesquisei, eu, obrigatoriamente teria que inserir a linha "iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0" para que o iptables direcione o tráfego para a eth0, só que se eu inserir esta linha, tanto antes, quanto depois da linha " iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128" o serviço de proxy passa todo pelo iptables e o squid nem toma conhecimento do que está acontecendo !! se eu não coloco a linha do PREROUTING, o squid nega tudo, já chequei tudo no squid inclusive inseri um http_access allow all no lugar de "deny all" (nem sei se isso funciona), mas mesmo assim não rolou. Alguém pode me ajudar ?

Valeu,

Max

16-02-2004, 14:47	#1 (permalink)
maxrush Registrado em: Feb 2004 Posts: 4 Agradeceu: 0 Agradecido 0 vez(es) em 0 Posts Reputação: 0	SQUID + IPTABLES ? 1 ou outro ? Olá pessoal, Foi encontrando diversas soluções nesta lista que eu decidi me inscrever no Underlinux e tenho uma dúvida que não encontrei em lugar nenhum. Bem é o seguinte, Iptables + Squid. Achei o seguinte script na net e tentei implantá-lo : #! /bin/bash # Firewall Simples / Compartilhamento # Carlos Morimoto 05/2003 # Tiago Cruz - 02/2004 # Carrega os módulos modprobe ip_tables modprobe iptable_nat #Limpa tudo iptables -F iptables -t nat -F # Para rede local receber e-mail iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE # Para nao fugirem do proxy iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128 # Encaminhamento de IP echo 1 > /proc/sys/net/ipv4/ip_forward # Abre algumas portas (ssh e http) iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT # Abre para a rede local iptables -A INPUT -p tcp --syn -s 192.168.0.0/255.255.255.0 -j ACCEPT # Proteções diversas contra portscanners, ping of death, ataques DoS, etc. iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP iptables -A FORWARD -m unclean -j DROP # Fecha o resto iptables -A INPUT -p tcp --syn -j DROP # Se você quiser que o PC também não responda a pings, adicione a linha: # echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all O problema é que segundo eu pesquisei, eu, obrigatoriamente teria que inserir a linha "iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0" para que o iptables direcione o tráfego para a eth0, só que se eu inserir esta linha, tanto antes, quanto depois da linha " iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128" o serviço de proxy passa todo pelo iptables e o squid nem toma conhecimento do que está acontecendo !! se eu não coloco a linha do PREROUTING, o squid nega tudo, já chequei tudo no squid inclusive inseri um http_access allow all no lugar de "deny all" (nem sei se isso funciona), mas mesmo assim não rolou. Alguém pode me ajudar ? Valeu, Max

Tópicos Similares
Tópico	Tópico Iniciado Por	Fórum	Respostas	Última Mensagem
Redirecionando requisições (SQUID - IPTABLES) para outro servidor	regisbs	Proxy/NAT/Firewall	9	21-12-2006 23:15
Squid acessando outro proxy	crisduarte	Proxy/NAT/Firewall	1	05-10-2004 08:34
squid através de outro proxy	void_main_void	Proxy/NAT/Firewall	4	01-09-2004 10:53
Como configurar o SQuid para acessar outro Squid.	brobovick	Proxy/NAT/Firewall	3	03-02-2004 13:48
fazendo squid em cima de outro squid	cyberniro	Proxy/NAT/Firewall	5	19-03-2003 19:46

Ferramentas do Tópico
Exibir versão para impressão Enviar essa página por email