Iptables + Outlook + Squid

[ZEDjjs]

Galera eu já sei que aqui existe um artigo com esse tema;
"IPTABLES + OUTLOOK + SQUID" https://under-linux.org/modules.php?...icle&artid=247.

Dei um boa lida e não consegui nenhum resultado, pois fiz vários testes usando os exemplos e nada... Preciso de algo mais claro, de fácil endentimento, pois pra mim ficou meio confuso... Minha distro é RedHat 9.

Gostaria que alguém pudesse me ajudar...
Estou usando o Squid como Proxy Transparente, juntamente com o Iptables. O problema é que não consigo fazer o Outlook funcionar!!!

Me ajudem!!

ZEDjjs.®

[Danilo_Montagna]

qual é sua politica default do iptables ?

DROP ou ACCEPT na chain filter?

[ZEDjjs]

Minha politica é ACCEPT

[Danilo_Montagna]

existe algum regra de POSTROUTING ? poste aqui para conferir se esta ok..

[ZEDjjs]

-A POSTROUTING -o eth0 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 110 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 1234 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 4899 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 5555 -j MASQUERADE

[Danilo_Montagna]

no client.. vc esta apontando o "default gateway" para o IP do linux ?

o IP_Forward esta habilitado no firewall ?

[ZEDjjs]

Sim esta Ok!

[felco]

Ok, posta pra gente o resultado desses comandos:

# iptables -t nat -L POSTROUTING -n
# iptables -t nat -L PREROUTING -n
# iptables -t filter -L FORWARD -n

Por favor nao poste o save do seu iptables poste o resultado dos comandos acima!

[ZEDjjs]

Estou com problema. Não consigo fazer funcionar meu Otlook.
Abaixo segue meu firewall:

#### INICIO ########

# Generated by iptables-save v1.2.7a on Tue Sep 7 20:08:24 2004
*mangle
:PREROUTING ACCEPT [6882:1875721]
:INPUT ACCEPT [6882:1875721]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5886:2657751]
:POSTROUTING ACCEPT [5886:2657751]
COMMIT
# Completed on Tue Sep 7 20:08:24 2004
# Generated by iptables-save v1.2.7a on Tue Sep 7 20:08:24 2004
*nat
:PREROUTING ACCEPT [10:661]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
#
-A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -d 200.207.131.143 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.254
#
-A POSTROUTING -o eth1 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j MASQUERADE
COMMIT
# Completed on Tue Sep 7 20:08:24 2004
# Generated by iptables-save v1.2.7a on Tue Sep 7 20:08:24 2004
*filter
:INPUT ACCEPT [5:1081]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:296]
:22 - [0:0]
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -i eth1 -m state --state INVALID,NEW -j DROP
-A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 10000 -j ACCEPT
-A FORWARD -i eth1 -m state --state INVALID,NEW -j DROP
COMMIT
# Completed on Tue Sep 7 20:08:24 2004

#### FIM ########


Ajudem-me!

[Danilo_Montagna]

se a sua placa de rede conectada a internet for a eth0 suas regras estao incompletas..

-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j MASQUERADE

se a placa de rede conectada a internet for a eth0 vc tem que ter mais duas regras ae...


-A POSTROUTING -o eth0 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 110 -j MASQUERADE

Dica:

A plice de sua tabela Filter... esta toda em ACCEPT..
:INPUT ACCEPT [5:1081]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:296]

sendo assim.. nao existe necessidade nenhuma de vc ficar cadastrando regra de ACCEPT nessas chains..

falow

[ZEDjjs]

Eae Danilo_Montagna!

Cara não resolveu...

O que mais eu devo fazer?


Ajudem!!!

[Danilo_Montagna]

antes de qualquer coisa...

poste o seu ambiente..(ips,range,interfaces do firewall, quem conversa com quem.. e como) pois somente mostrando suas regras nao tem como saber o problema..

outra... poste o resultado dos comandos

# iptables -t nat -nL -v
# iptables -nL -v

com as regras geradas pelo RH-Lokkit nao tem como saber.. pois sao regras proprietarias.. poste a saida nativa do iptables..

[ZEDjjs]

# iptables -t nat -nL -v
# iptables -nL -v

Segue o resultado...

[root@server root]# iptables -t nat -nL -v
Chain PREROUTING (policy ACCEPT 22 packets, 1542 bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 12 packets, 1111 bytes)
pkts bytes target prot opt in out source destination

Chain OUTPUT (policy ACCEPT 8 packets, 855 bytes)
pkts bytes target prot opt in out source destination
[root@server root]#

[ZEDjjs]

Se é o que entendi, segue o que vc me pediiu:

Minha distro é o Red Hat 9
eth0: 200.207.131.143
eth1: 192.168.1.254
Iptables v1.2.7a
politica default do iptables: ACCEPT na chain filter

[Danilo_Montagna]

Chain POSTROUTING (policy ACCEPT 12 packets, 1111 bytes)
pkts bytes target prot opt in out source destination

cade as regras?

deveria aparecer as regras de NAT ae.. abaixo dessa ultima linha..

se nao tiver aquelas regras de NAT que eu te passei.. realmente nao vai funcionar mesmo..

[ZEDjjs]

Danilo segue o resultado que faltava...
------------------------------------------

# iptables -nL -v
Chain INPUT (policy ACCEPT 4133K packets, 462M bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
475 25157 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1234
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4899
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
324 50133 DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW

Chain FORWARD (policy ACCEPT 11590 packets, 4471K bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:1234
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:4899
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:5555
0 0 ACCEPT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:10000
0 0 DROP all -- eth1 * 0.0.0.0/0 0.0.0.0/0 state INVALID,NEW

Chain OUTPUT (policy ACCEPT 5756K packets, 5588M bytes)
pkts bytes target prot opt in out source destination

Chain 22 (0 references)
pkts bytes target prot opt in out source destination
#

------------------------------------------------------

Era isso? Essas são as regras que vc se refere?

Abraço.

[Danilo_Montagna]

nao..

eu preciso das regras que esta sendo adicionada na tabela NAT.. que pelo o que vi o que vc postou antes.. nao aparece regra nenhuma.. ae logico que sua rede nao vai funcionar..

[felco]

Suas regras tao tudo sem fundamento e ta faltando regra, vc ta aplicando Policy ACCEPT e criando regras de ACCEPT(que nao tem necessidade), vc esta DROP novas coneccoes em FORWARD e nao esta ACCEPT RELATED, ESTABLISHED conexoes, vc nao tem regras de MASQUERADE, seu ip_forward esta habilitado?
http://iptables.under-linux.org
Recomendo uma estudada no site da under pra iptables, ja que acho q toda a galera aqui ta achando melhor que a galera aprenda a fazer suas proprias rulesets nao agente ficar passando script pronto!

[ZEDjjs]

Galera eu de novo:

Concordo com o que o Felco disse, "...achando melhor que a galera aprenda a fazer suas proprias rulesets..."
Como ja sabem sou leigo neste assunto. Estou começando a entender alguma coisas agora... O problema é que estou desesperado e como já disse antes, já andei dando um estudada por ai, inclusive no próprio http://iptables.under-linux.org, e não obtive exito.

Segue meu iptables + uma vez...
Por favor me digam o que devo fazer. Preciso resolver isso + que urgente!! Estou com alguns problemas aqui na empresa...

##################################################################
# Generated by iptables-save v1.2.7a on Wed Dec 1 08:00:00 2004
*mangle
:PREROUTING ACCEPT [6882:1875721]
:INPUT ACCEPT [6882:1875721]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [5886:2657751]
:POSTROUTING ACCEPT [5886:2657751]
##################################################################
# Completed on Wed Dec 1 08:00:00 2004
# Generated by iptables-save v1.2.7a on Wed Dec 1 08:00:00 2004
*nat
:PREROUTING ACCEPT [10:661]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A PREROUTING -d 200.207.131.143 -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.254
#####################################################################################################
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 110 -j MASQUERADE
##################################################################
# Completed on Wed Dec 1 08:00:00 2004
# Generated by iptables-save v1.2.7a on Wed Dec 1 08:00:00 2004
*filter
:INPUT ACCEPT [5:1081]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [4:296]
:22 - [0:0]
-A INPUT -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -i eth1 -p tcp -m tcp --dport 1234 -j ACCEPT
-A INPUT -m state -i eth1 --state NEW,INVALID -j DROP
############################################################
-A FORWARD -i eth1 -p tcp -m tcp --dport 80 -j ACCEPT
-A FORWARD -i eth1 -p tcp -m tcp --dport 1234 -j ACCEPT
-A FORWARD -m state -i eth1 --state NEW,INVALID -j DROP
#########################################
# Completed on Wed Dec 1 08:00:00 2004

##### Fim ####

O que esta faltando?
O que esta sobrando?
Como devo proceder?

Ajudem! Socorro!!!

[felco]

Tira essa regra
-A INPUT -m state -i eth1 --state NEW,INVALID -j DROP

Substitui essa:
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 80 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 25 -j MASQUERADE
-A POSTROUTING -o eth0 -p tcp -m tcp --dport 110 -j MASQUERADE

Por essa:
-A POSTROUTING -o eth0 -p tcp -m tcp -j MASQUERADE