Iptables (FORWARD) aceitar Pop3 SMTP - nao esta funcionando

Ae galera, o negocio e o seguinte, eu acabei de configurar um Squid e estou fazendo o proxy transparente pra galera nao burlar meu squid. para isso, setei a Politica da Chain FORWARD para DROP e adicionei a regra para aceitar conexoes na porta 3128, na porta 25 (SMTP) e 110 (Pop3), o proxy esta rodando, porem o cliente de e-mail nao esta conectando.

Eu dei uma olhada com o Ethereal e qdo o cliente envia o [SYN], ele fica esperando e nao recebe a resposta [SYN,ACK]. acho que tenho que configurar a regra pra aceitar conexoes desses servidores mas nao estou conseguindo pensar em uma regra.

Sera q alguem tem alguma ideia pra me ajudar!!!! CHeers guys!!!

# Compartilha a conexão
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

eu ja compartilhet na tab NAT, mas esse echo, pra que serve esse comando??? eu vou fazer!! e te dou a resposta em um segundo!!

o problema e que se eu seto a politica da chain FORWARD pra ACCEPT, o proxy transparente nao funciona e o browser acessa a net sem a configuracao de proxy on!!!!! :roll:

cole seu script aqui, fica mais facil te ajudar.

pelo que eu entendi o nosso colega quer fz o squid serviro pop3 e smtp e não apenas as convencionais 80, 21 e 443. não é isto ?

Nao, na verdade eu quero deixar o squid trabalhar somente nas portas padroes mesmo (www,ftp,ghoper) ok!!! vai ser suficiente pra controlar a rede!!! o negocio e o seguinte:

* qdo eu setei o squid, eu segui um TUTO pra configurar como transparente e e ninguem burlar meu proxy retirando a configuracao ( eu ja fiz isso tb!! mas nao quero ver ninguem fazer no meu proxy!! rsrsrs!!).

* mas entao mesmo de pois de adicionar a regra na tab nat pra redirecionar todo o trafego da chain FORWARD na port 80 pra 3128, nao sei pq, eu ainda conseguia acesso sem configurar o proxy no browser (ou seja, sem proxy, so com NAT)

* entao pra tentar resolver, eu setei a chain FORWARD pra policy DROP e adicionei as regras, mas qdo eu faco.....

---> #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 23 -j ACCEPT
---> #iptables -A FORWARD -s 10.0.0.0/24 -p tcp --dport 110 -j ACCEPT

isso nao funciona, qdo o cliente envia o [SYN], ele nao recebe o [SYN,ACK] do server e o pacote da time out!!! eu sniffei so a maquina cliente e nenhum pacote chegou de fora da rede entao provavelmente esta ficando barrado no firewall!!!!

de qualquer jeito, deem uma analisada e qualquer opiniao sera bem recebida e bem testada tb!!!

PS: nao da pra postar pq o squid.conf ta na empresa e eu nao configurei acesso externo!!! acho que deveria fazer isso pra facilitar nessas horas!!! obrigado pessoal!!!

Foi mal, eu nao tava logado galera!!!

ahhh e a porta na primeira regra iptables e 25 e nao 23 foi mal pelo erro!!! t+, amanha cedinho eu posto o script aqui!!

coloca a regra de masquerade e faz proxy transparente,resolve seu problema, a nao ser que vc use autenticação...

Ae pessoal vou colar minha configuracao aqui!!!

Rotas da tabela nat.

Debian1:~# iptables -t nat -L

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 10.0.0.0/24 anywhere tcp dpt:www redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 10.0.0.0/24 anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Debian1:~#

# Chains Padroes

Debian1:~# iptables -L

Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 10.0.0.0/24 anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:3128
ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:pop3
ACCEPT tcp -- 10.0.0.0/24 anywhere tcp dpt:smtp

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Debian1:~#


# Squid.conf

Debian1:~# cat /etc/squid.conf
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
acl internal_net src 10.0.0.0/24

acl blockedsites dstdomain -i "/etc/squid/block/block.txt"
acl unblockedsites dstdomain -i "/etc/squid/block/unblock.txt"

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

http_access allow internal_net
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny blockedsites !unblockedsites
http_access deny all
icp_access allow all
Debian1:~#

ohh galera, da um toque ai!!! o proxy transparente nao ta funfando!!!

https://under-linux.org/noticia4730.html

fui que publiquei, qualquer duvida, entra em contato...

Valu Breno, eu acho que usei aquele artigo do Squid Ninja pra configurar, So me fala uma coisa, como estavao as politicas das suas chains, tudo DROP?