iptables: forward x postrouting
PERSONAS, estou usando as regras abaixo
Gostaria de liberar todas as portas, exceto a 80
Eu to comendo bronha em algum lugar, pq "sempre" deu certo e agora tá liberando!!!HEEEEEEEELP
$iptables -A FORWARD -s $lan -d $tudo -o eth0 -j ACCEPT
$iptables -A FORWARD -d $lan -s $tudo -i eth0 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan --dport 80 -j REJECT
echo "Ativando o MASCARAMENTO para o IP Previlegiados:"
$iptables -t nat -A POSTROUTING -s $notebook -j LOG --log-prefix SPY-NOTEBOOK__
$iptables -t nat -A POSTROUTING -s $notebook -j MASQUERADE
iptables: forward x postrouting
cara eu uso as seguintes regras para fazer o que vc esta querendo, primeiro
iptables -t nat -A PREROUTING -s 192.168.0.5/24 -p tcp --dport 80 -j ACCEPT
esta acima é para liberar
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 1:65535 -j REDIRECT --to 192.168.0.253 --to-port 80
iptables -t nat -A PREROUTING -i eth1 -p udp --dport 1:65535 -j REDIRECT --to 192.168.0.253 --to-port 80
esta acima é para bloquear
sendo 192.168.0.253 ip do seu firewall e eth1 sua interface deste ip ou seja a interna.
Com isso qualquer usuario que não tenha permissão e tente navegar por fora do proxy cai numa pagina de erro do proprio servidor que vc pode configurar, e nenhuma conexão sai sem que vc libere.
Duvidas posta ae
Abraços
Re: iptables: forward x postrouting
Citação:
Postado originalmente por whinston
PERSONAS, estou usando as regras abaixo
Gostaria de liberar todas as portas, exceto a 80
Eu to comendo bronha em algum lugar, pq "sempre" deu certo e agora tá liberando!!!HEEEEEEEELP
$iptables -A FORWARD -s $lan -d $tudo -o eth0 -j ACCEPT
$iptables -A FORWARD -d $lan -s $tudo -i eth0 -j ACCEPT
$iptables -A FORWARD -p tcp -s $lan --dport 80 -j REJECT
echo "Ativando o MASCARAMENTO para o IP Previlegiados:"
$iptables -t nat -A POSTROUTING -s $notebook -j LOG --log-prefix SPY-NOTEBOOK__
$iptables -t nat -A POSTROUTING -s $notebook -j MASQUERADE
Amiguinho, sua regra de REJECT tem que ser a primeira regra. Outra coisa use as regras de NAT antes das de FORWARD, isso ajuda a identificar o problema.
em vez de REJECT eu usaria DROP. OK
$iptables -t nat -A POSTROUTING -s $notebook -j MASQUERADE
$iptables -t nat -A POSTROUTING -s $notebook -j LOG --log-prefix SPY-NOTEBOOK__
$iptables -A FORWARD -p tcp -s $lan --dport 80 -j DROP
$iptables -A FORWARD -s $lan -d $tudo -o eth0 -j ACCEPT
$iptables -A FORWARD -d $lan -s $tudo -i eth0 -j ACCEPT