+ Responder ao Tópico



  1. #1
    Avatar de pagoto
    Ingresso
    Feb 2011
    Localização
    Manaus, Amazonas, Brazil
    Posts
    95

    Padrão Configurar squid / iptables

    Boa tarde amigos.
    Estou enfrentando um problema, por falta de conhecimentos Básicos e gostaria de ajuda.

    Tenho um Servidor Ubuntu aqui, que nele está PROXY / FIREWALL / VPN. (tudo na mesma maquina)


    ip da rede interna: 192.168.0.x/24
    ip da rede externa: 10.3.100.x/24


    Gostaria de montar um Script do iptables, que funciona-se da seguinte maneira:

    Tudo fechado e bloqueado, pra todo mundo.
    Liberar todas as portas e todas as conexões apenas para os ips (Internet Livre mas quero que passe pelo proxy, por causa do cache), ips que estivessem em uma Lista.


    SCRIPT DO IPTABLES.


    Código :
    #-------------------------------
    #
    iptables -F
    iptables -t nat -F
    iptables -t mangle -F
    modprobe iptable_nat
     
    #-------------------------------------------------
    # || INICIALIZANDO COMPARTILHAMENTO DE INTERNET ||
    #-------------------------------------------------
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward
    #
     
    #--------------------------------------------
    # || INICIANDO ROTEAMENTO PARA PROXY SQUID ||
    #--------------------------------------------
     
    #------ port 80
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
     
    #------ port 443
    #iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
     
    #--------------------------------------
    # || BLOQUEIO DE PINGS E IP SPOOFING ||
    #--------------------------------------
    #
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
    iptables -A INPUT -m state --state INVALID -j DROP
    #
     
    #----------------------------------
    # || ABRIR  A INTERFACE LOOPBACK ||
    #----------------------------------
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A INPUT -i eth1 -j ACCEPT
    #
     
    #------------------------------------
    # || ABRIR PARA PORTAS ESPECIFICAS ||
    #------------------------------------
    iptables -A INPUT -p tcp --dport 22 -j ACCEPT
    #
     
    #------------------------------
    # || BLOQUEIA TODAS CONEXÕES ||
    #------------------------------
    iptables -A INPUT -p tcp --syn -j DROP



    SCRIPT DO SQUID

    Código :
     
    http_port 3128 transparent
    visible_hostname Pagoto
     
    cache_mem 128 MB
    maximum_object_size_in_memory 128 KB
    maximum_object_size 512 MB
    cache_dir ufs /var/spool/squid 10240 16 256
    cache_access_log /var/log/squid/access.log
     
    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    acl SSL_ports port 443 563
    acl Safe_ports port 53 80 21 280 443 488 563 591 777 1025-65535
    acl purge method PURGE
    acl CONNECT method CONNECT
     
    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
     
    acl redelocal src 10.3.167.0/24
    http_access allow localhost
    http_access allow redelocal

  2. #2
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    3.925
    Posts de Blog
    1

    Padrão Re: Configurar squid / iptables

    Boa Tarde
    ok amigo mais qual é sua duvida??? o que vc já tendou fazer ???

    pois esta faltando muita coisa nestas regras suas ai
    tem apenas 1 interface de rede ???
    esqueceu de tratar a eth0 ???



  3. #3
    Avatar de pagoto
    Ingresso
    Feb 2011
    Localização
    Manaus, Amazonas, Brazil
    Posts
    95

    Padrão Re: Configurar squid / iptables

    Olá amigo, primeiramente obrigado pela Atenção.

    Os dois Scripts estão assim! não tem mais nada neles.. só isso dai.. que fiz com uns tutoriais que achei mais não me serviram muito..!
    segue as informações..

    Rede interna com usuarios: 10.3.100.2/24 - ETH1
    Rede Externa com Internet: 192.168.0.250/24 - ETH0


    é um HP, que esta servindo de VPN / PROXY / FIREWALL / GATEWAY


    O que eu quero é que somente o Ip da minha maquina (10.3.100.200) , e da maquina do chefe (10.3.100.210), consigam acessar a Internet através deste Gateway com tudo liberado (todas as portas)!

    O restante irá ficar tudo bloqueado, qualquer tipo de acesso a internet..

    (Não faço questão do controle de portas).

  4. #4
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Configurar squid / iptables

    opa amigo tenho varios frirewall funcionado como vc quer, mas teria q adaptar a cada caso, seu VPN e feito com qual protoco, neste firewall tem como determinar ip com acesso total e ip com restricao so de aceso pelo proxy. Mas precisaria de uma analize mais completa na sua rede.



  5. #5
    Avatar de pagoto
    Ingresso
    Feb 2011
    Localização
    Manaus, Amazonas, Brazil
    Posts
    95

    Padrão Re: Configurar squid / iptables

    Boa noite amigo,
    Utilizo o protocolo PPTP, o cenário é o mesmo descrito acima.

    Uma rede com dominio, e esse servidor, faz o compartilhamento de internet, e o proxy, e é um servidor vpn..!

    Poderia me passar seu script para mim analisar, e tentar adapta-lo a minha rede ?

    Necessariamente, temos varias e varias maquinas!

    Mas como eu disse, apenas 2 vão poder se conectar totalmente,
    as outras estarão totalmente bloqueadas !
    ----------------------------------

    A Vpn, tem que ficar aberta para se conectar de qualquer maquina pelo mundo a fora!


    Obrigado pela atenção e ajuda.

  6. #6
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    3.925
    Posts de Blog
    1

    Padrão Re: Configurar squid / iptables

    bom amigo primeiramente como o amigo demattos citou vc tem que saber quais ips vc quer ter acesso a internet qual vc quer que tenha acesso a vpn etc
    pra depois criar seu script
    pois desta forma do seu script vc esta bloquenado to acesso a interface eth0 onde vc tem que tratar tambem
    amigo desculpe a sinceridade mais tem muito material na internet, sei que aqui é um forum, não sei qual o seu conceito de Forum.
    Mais Forum é um logal para de debater ideias e tirar duvidas e não ensinar liberalmente, é claro que que em um debate de boa qualidade todos aprende com o proprio erro
    não me entenda mão ok
    abraços



  7. #7
    Avatar de pagoto
    Ingresso
    Feb 2011
    Localização
    Manaus, Amazonas, Brazil
    Posts
    95

    Padrão Re: Configurar squid / iptables

    Olá Benatto, Obrigado pela resposta.

    Bom, ja procurei e ja li diversos materiais em foruns, mas a maioria deles não se aplica ao meu cenário e os comandos nao serve exatamente para o que eu quero.

    Como eu disse, a VPN poderia ser acessado por qualquer IP em qualquer lugar do mundo.

    e os dois Ips que poderão se conectar a internet foi citados acima... (10.3.100.200) e (10.3.100.210).

    Apesar do forum aqui, continuo pesquisando, pois as respostas aqui são demoradas, e as vezes elas nem existem. Todos tem outras tarefas a fazer.

    Mas de qualquer forma. Obrigado!

  8. #8
    Analista de Suporte em TI Avatar de demattos
    Ingresso
    Jul 2011
    Localização
    Criciuma/SC
    Posts
    1.923
    Posts de Blog
    3

    Padrão Re: Configurar squid / iptables

    Citação Postado originalmente por pagoto Ver Post
    Boa noite amigo,
    Utilizo o protocolo PPTP, o cenário é o mesmo descrito acima.

    Uma rede com dominio, e esse servidor, faz o compartilhamento de internet, e o proxy, e é um servidor vpn..!

    Poderia me passar seu script para mim analisar, e tentar adapta-lo a minha rede ?

    Necessariamente, temos varias e varias maquinas!

    Mas como eu disse, apenas 2 vão poder se conectar totalmente,
    as outras estarão totalmente bloqueadas !
    ----------------------------------

    A Vpn, tem que ficar aberta para se conectar de qualquer maquina pelo mundo a fora!


    Obrigado pela atenção e ajuda.
    Amigo quer uma consultoria, posso personalizar o script para vc e fazer como vc quer, como disse tenho isto q vc pretende funcionando, mas cada caso e um caso e teriammos q analizar com calma, poderia colocar o script aqui mas ficaria dias para justar, numa conversra melhor posso de ajudar, manda um MP para nos conversar. Nao estou querendo vender nada, so fazer algo que possa ajudar e se vc querer apos o servico dar uma gratificacao nao fico brabo rsrsrsr.



  9. #9
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    3.925
    Posts de Blog
    1

    Padrão Re: Configurar squid / iptables

    Boa Tarde Pagato
    é que é assim os tutorias que tem na internet nunca vai dar certo com a sua estrutura
    mais vc tem que tentar entender como funciona, pois no mais não podemos ajudar pois não conhecemos realmente sua estrutura, aconselho uma consultoria