Script Firewall derrubando squid

[juliocm]

pessoALL estou com o seguinte problema.

Quando digito # ./firewall ele derruba o processo do squid rodando.
Já liberei a porta 3128 dentro do firewall.
Alguém pode me ajudar?

Obs: To usando Debian

[ynimigolord]

pessoALL estou com o seguinte problema.

Quando digito # ./firewall ele derruba o processo do squid rodando.
Já liberei a porta 3128 dentro do firewall.
Alguém pode me ajudar?

Obs: To usando Debian

Não tem nenhuma regra no teu firewall que teja usando a mesma porta do squid

[mastellaro]

pessoALL estou com o seguinte problema.

Quando digito # ./firewall ele derruba o processo do squid rodando.
Já liberei a porta 3128 dentro do firewall.
Alguém pode me ajudar?

Obs: To usando Debian

Boa tarde,

Posta sua regra de Firewall para a gente dar uma analisada...

Vlw

[juliocm]

Segue o script para que possam me ajudar!

#!/bin/bash
IF_EXT="eth0"
IF_INT="eth1"
echo 1 >/proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

###################################
#Tabela Filter
###################################
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
## Liberando o SQUID
#
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i $IF_INT -o $IF-EXT -p tcp --dport 3128 -j ACCEPT

#
## Liberando LoopBack
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#
##Bloqueando ping da morte
#
#iptables -A FORWARD -i $IF_INT -o $IF_EXT -p icmp -j DROP
iptables -A INPUT -p icmp -j DROP
#
##Liberar quando não estiver na regra
#
#iptables -A FORWARD -s 192.168.0.x
#
##Liberando as portas necessárias
#
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p tcp -m multiport --dport 20,21,22 -j ACCEPT
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp -i $IF_INT -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
#
##SPRING
iptables -A INPUT -p tcp -s x.x.x.x --sport 10075 -j ACCEPT
iptables -A INPUT -p tcp --dport 10075 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9003 -j ACCEPT
iptables -A INPUT -p tcp --dport 9003 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9004 -j ACCEPT
iptables -A INPUT -p tcp --dport 9004 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9005 -j ACCEPT
iptables -A INPUT -p tcp --dport 9005 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1075 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9003 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9004 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9005 -j ACCEPT
#
##Terminal Server
#
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
#
##Liberando Email
#
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#
## Liberando o Banesfácil na FILTER
#
iptables -A INPUT -p tcp --dport 4226 -j ACCEPT
iptables -A INPUT -p tcp --sport 4226 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4226 -j ACCEPT
iptables -A FORWARD -p tcp --sport 4226 -j ACCEPT
#
##Liberando o autphd
#
iptables -A INPUT -p tcp --dport 113 -j ACCEPT
#
## Liberando porta 80 e 443
#
iptables -A FORWARD -i $IF_INT -o IF_EXT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -m limit --limit 1/s -j LOG
#Liberar o msn para determinado ip
iptables -A FORWARD -s 192.168.0.2 -p tcp -m multiport --dport 1683 -j ACCEPT

###############################
## TABELA NAT
###############################
#
## Liberando o acesso ao Terminal Server
#
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i $IF_EXT --dport 3389 -j DNAT --to 192.168.0.2
#
## Mascarando o IP
#
iptables -t nat -A POSTROUTING -s 192.168.0.0 -j SNAT --to x.x.x.x
#
##Redirect server
#
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 80 -j DNAT --to 192.168.0.5
#
## Liberando o Banesfácil na NAT p/ o IP especifico
#
iptables -t nat -A PREROUTING -s 0/0 -p tcp --sport 20 -m multiport --dport 20,21,4226 -j DNAT --to 192.168.0.114

#
## SPRING
#
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 10075 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9003 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9004 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9005 -j DNAT --to 192.168.0.5

#
## Liberando o Conectividade Social
#
iptables -t nat -A PREROUTING -d ! x.x.x.x/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

#
##Habilitando o squid
#
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

[galahad]

Não vi nas tuas regras nenhuma permitindo o OUTPUT nas portas 80 e 443, que são as portas que o Squid vai tentar acessar quando for atender a uma requisição dos usuários.

O Squid recebe a requisição na porta 3128, que tem que ser liberada (e está) por regra de INPUT e vai na internet buscar as páginas nas portas 80 e 443, que devem ser liberadas por regra de OUTPUT.

iptables -o $IF_EXT -p tcp -m multiport --dports 80,443 -j ACCEPT

essa regra resolve o seu problema.

[juliocm]

Minha regra de OUT está accept para todas as portas

iptables -A OUTPUT -j ACCEPT


Alguém pode me ajudar?

[galahad]

ajudar com?

A sua regra OUTPUT com ACCEPT pra all só quer dizer que as conexões que saem do firewall estão liberadas.

[mastellaro]

Minha regra de OUT está accept para todas as portas

iptables -A OUTPUT -j ACCEPT


Alguém pode me ajudar?

Seguinte, troca a sua regra de redirect do Proxy, por essa:


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Testa a regra acima, se nao der certo, aí faz um outro teste rápido: Tira a política padrão de DROP do FORWARD e coloca ACCEPT e testa novamente. Se funcionar, vc já sabe que é FORWARD embaçando, aí vc faz assim:
iptables -A FORWARD -p tcp --destination-port 3128 -j ACCEPT

Teste isso e retorne, valeu

[juliocm]

Fiz os procedimentos.
Continua ocorrendo os mesmos erros...

[galahad]

Seguem algumas propostas de modificação pro teu script de firewall, veja se isso resolve seu problema:

Segue o script para que possam me ajudar!

#!/bin/bash
IF_EXT="eth0"
IF_INT="eth1"
echo 1 >/proc/sys/net/ipv4/ip_forward

iptables -F
iptables -t nat -F
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp

###################################
#Tabela Filter
###################################
#
## Liberando LoopBack
#
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#
## Liberando o SQUID
#
iptables -A INPUT -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i $IF_INT -o $IF-EXT -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dport 80, 443 -j ACCEPT

#
##Bloqueando ping da morte
#
#iptables -A FORWARD -i $IF_INT -o $IF_EXT -p icmp -j DROP
# Se a política de INPUT já está como DROP, você não precisa negar mais nada,
#ele já tem tudo negado exceto o que é permitido
### iptables -A INPUT -p icmp -j DROP
###
## Libera ICMPs Válidos
##
iptables -N ICMP
iptables -A INPUT -p icmp -j ICMP
iptables -A FORWARD -p icmp -j ICMP
iptables -A OUTPUT -p icmp -j ICMP
iptables -A ICMP -p icmp --icmp-type 0 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 3 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 8 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 30 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -p icmp --icmp-type 40 -j ACCEPT -m limit --limit 5/sec
iptables -A ICMP -j RETURN

##
#
##Liberar quando não estiver na regra
#
#iptables -A FORWARD -s 192.168.0.x
#
##Liberando as portas necessárias
#
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p tcp -m multiport --dports 20,21,22,53 -j ACCEPT
iptables -A FORWARD -i $IF_INT -o $IF_EXT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p icmp -i $IF_INT -j ACCEPT
iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --sport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --sport 22 -j ACCEPT
#
##SPRING
iptables -A INPUT -p tcp -s x.x.x.x --sport 10075 -j ACCEPT
iptables -A INPUT -p tcp --dport 10075 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9003 -j ACCEPT
iptables -A INPUT -p tcp --dport 9003 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9004 -j ACCEPT
iptables -A INPUT -p tcp --dport 9004 -j ACCEPT
iptables -A INPUT -p tcp -s x.x.x.x --sport 9005 -j ACCEPT
iptables -A INPUT -p tcp --dport 9005 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1075 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9003 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9004 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 9005 -j ACCEPT
#
##Terminal Server
#
iptables -A INPUT -p tcp --dport 3389 -j ACCEPT
#
##Liberando Email
#
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --sport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --sport 110 -j ACCEPT
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
#
## Liberando o Banesfácil na FILTER
#
iptables -A INPUT -p tcp --dport 4226 -j ACCEPT
iptables -A INPUT -p tcp --sport 4226 -j ACCEPT
iptables -A FORWARD -p tcp --dport 4226 -j ACCEPT
iptables -A FORWARD -p tcp --sport 4226 -j ACCEPT
#
##Liberando o autphd
#
iptables -A INPUT -p tcp --dport 113 -j ACCEPT
#
## Liberando porta 80 e 443
#
## Se você quer obrigar seus usuários a sairem pelo squid, não libere as portas 80 e 443 para passarem pelo firewall
### Se você quer que eles acessem o conectividade social, libere apenas para o IP específico.
iptables -A FORWARD -i $IF_INT -o IF_EXT -p tcp -m multiport --dport 80,443 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -m limit --limit 1/s -j LOG
#Liberar o msn para determinado ip
iptables -A FORWARD -s 192.168.0.2 -p tcp -m multiport --dport 1683 -j ACCEPT

###############################
## TABELA NAT
###############################
#
## Liberando o acesso ao Terminal Server
#
iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i $IF_EXT --dport 3389 -j DNAT --to 192.168.0.2
#
## Mascarando o IP
#
iptables -t nat -A POSTROUTING -s 192.168.0.0 -j SNAT --to x.x.x.x
#
##Redirect server
#
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 80 -j DNAT --to 192.168.0.5
#
## Liberando o Banesfácil na NAT p/ o IP especifico
#
### Cuidado com essa regra! Toda e qualquer conexão, vinda e qualquer lugar,
### para as portas 20, 21 e 4226 vão ser redirecionadas para uma máquina interna na sua rede!!
### E eu não acho que seja realmente isso que você esteja querendo.
iptables -t nat -A PREROUTING -s 0/0 -p tcp --sport 20 -m multiport --dport 20,21,4226 -j DNAT --to 192.168.0.114

#
## SPRING
#
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 10075 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9003 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9004 -j DNAT --to 192.168.0.5
iptables -t nat -A PREROUTING -i $IF_EXT -p tcp --dport 9005 -j DNAT --to 192.168.0.5

#
## Liberando o Conectividade Social
#
iptables -t nat -A PREROUTING -d ! x.x.x.x/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o $IF_EXT -j MASQUERADE

#
##Habilitando o squid
#
### Esta regra está redundante com a regra logo acima. A diferença é que
### lá você especificou um destino onde ele não redireciona e aqui só especificou a origem.
iptables -t nat -A PREROUTING -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

Espero que te ajude.

[arium]

tira isso do teu script:
iptables -F
iptables -t nat -F


ehehehe ta limpando a regra do teu squid :P

ou no fim do teu script coloca

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

[wps]

Sobe o squid sem firewall e declara no seu navegador o uso dele,

uma coisa importante o squid esta configurado para transparent proxy ??


Abraço