Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. Boa tarde amigos.
    Estou enfrentando um problema, por falta de conhecimentos Básicos e gostaria de ajuda.

    Tenho um Servidor Ubuntu aqui, que nele está PROXY / FIREWALL / VPN. (tudo na mesma maquina)


    ip da rede interna: 192.168.0.x/24
    ip da rede externa: 10.3.100.x/24


    Gostaria de montar um Script do iptables, que funciona-se da seguinte maneira:

    Tudo fechado e bloqueado, pra todo mundo.
    Liberar todas as portas e todas as conexões apenas para os ips (Internet Livre mas quero que passe pelo proxy, por causa do cache), ips que estivessem em uma Lista.


    SCRIPT DO IPTABLES.


    Código :
    #-------------------------------
    #
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    modprobe iptable_nat
     
    #-------------------------------------------------
    # || INICIALIZANDO COMPARTILHAMENTO DE INTERNET ||
    #-------------------------------------------------
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #
     
    #--------------------------------------------
    # || INICIANDO ROTEAMENTO PARA PROXY SQUID ||
    #--------------------------------------------
     
    #------ port 80
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    #------ port 443
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
     
    #--------------------------------------
    # || BLOQUEIO DE PINGS E IP SPOOFING ||
    #--------------------------------------
    #
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    iptables -A INPUT -m state --state INVALID -j DROP
    #
     
    #----------------------------------
    # || ABRIR  A INTERFACE LOOPBACK ||
    #----------------------------------
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i eth1 -j ACCEPT
    #
     
    #------------------------------------
    # || ABRIR PARA PORTAS ESPECIFICAS ||
    #------------------------------------
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #
     
    #------------------------------
    # || BLOQUEIA TODAS CONEXÕES ||
    #------------------------------
    iptables -A INPUT -p tcp --syn -j DROP



    SCRIPT DO SQUID

    Código :
     
    http_port 3128 transparent
    visible_hostname Pagoto
     
    cache_mem 128 MB
    maximum_object_size_in_memory 128 KB
    maximum_object_size 512 MB
    cache_dir ufs /var/spool/squid 10240 16 256
    cache_access_log /var/log/squid/access.log
     
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 53 80 21 280 443 488 563 591 777 1025-65535
    acl purge method PURGE
    acl CONNECT method CONNECT
     
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
     
    acl redelocal src 10.3.167.0/24
    http_access allow localhost
    http_access allow redelocal

  2. Boa Tarde
    ok amigo mais qual é sua duvida??? o que vc já tendou fazer ???

    pois esta faltando muita coisa nestas regras suas ai
    tem apenas 1 interface de rede ???
    esqueceu de tratar a eth0 ???



  3. Olá amigo, primeiramente obrigado pela Atenção.

    Os dois Scripts estão assim! não tem mais nada neles.. só isso dai.. que fiz com uns tutoriais que achei mais não me serviram muito..!
    segue as informações..

    Rede interna com usuarios: 10.3.100.2/24 - ETH1
    Rede Externa com Internet: 192.168.0.250/24 - ETH0


    é um HP, que esta servindo de VPN / PROXY / FIREWALL / GATEWAY


    O que eu quero é que somente o Ip da minha maquina (10.3.100.200) , e da maquina do chefe (10.3.100.210), consigam acessar a Internet através deste Gateway com tudo liberado (todas as portas)!

    O restante irá ficar tudo bloqueado, qualquer tipo de acesso a internet..

    (Não faço questão do controle de portas).

  4. opa amigo tenho varios frirewall funcionado como vc quer, mas teria q adaptar a cada caso, seu VPN e feito com qual protoco, neste firewall tem como determinar ip com acesso total e ip com restricao so de aceso pelo proxy. Mas precisaria de uma analize mais completa na sua rede.



  5. Boa noite amigo,
    Utilizo o protocolo PPTP, o cenário é o mesmo descrito acima.

    Uma rede com dominio, e esse servidor, faz o compartilhamento de internet, e o proxy, e é um servidor vpn..!

    Poderia me passar seu script para mim analisar, e tentar adapta-lo a minha rede ?

    Necessariamente, temos varias e varias maquinas!

    Mas como eu disse, apenas 2 vão poder se conectar totalmente,
    as outras estarão totalmente bloqueadas !
    ----------------------------------

    A Vpn, tem que ficar aberta para se conectar de qualquer maquina pelo mundo a fora!


    Obrigado pela atenção e ajuda.






Tópicos Similares

  1. Desafio Squid + Iptables
    Por Valhalla no fórum Servidores de Rede
    Respostas: 36
    Último Post: 20-08-2003, 18:40
  2. Bloquear ICQ - Squid/Iptables
    Por Elvis no fórum Servidores de Rede
    Respostas: 12
    Último Post: 07-05-2003, 20:45
  3. SQUID - IPTABLES
    Por no fórum Segurança
    Respostas: 7
    Último Post: 08-02-2003, 07:53
  4. Squid - IpTables
    Por no fórum Segurança
    Respostas: 7
    Último Post: 04-02-2003, 17:09
  5. squid+iptable-smtp.pop
    Por APeixoto no fórum Segurança
    Respostas: 3
    Último Post: 27-09-2002, 17:12

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L