Configurar squid / iptables

[pagoto]

Boa tarde amigos.
Estou enfrentando um problema, por falta de conhecimentos Básicos e gostaria de ajuda.

Tenho um Servidor Ubuntu aqui, que nele está PROXY / FIREWALL / VPN. (tudo na mesma maquina)


ip da rede interna: 192.168.0.x/24
ip da rede externa: 10.3.100.x/24


Gostaria de montar um Script do iptables, que funciona-se da seguinte maneira:

Tudo fechado e bloqueado, pra todo mundo.
Liberar todas as portas e todas as conexões apenas para os ips (Internet Livre mas quero que passe pelo proxy, por causa do cache), ips que estivessem em uma Lista.


SCRIPT DO IPTABLES.

Código :

#-------------------------------
#
iptables -F
iptables -t nat -F
iptables -t mangle -F
modprobe iptable_nat
 
#-------------------------------------------------
# || INICIALIZANDO COMPARTILHAMENTO DE INTERNET ||
#-------------------------------------------------
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#
 
#--------------------------------------------
# || INICIANDO ROTEAMENTO PARA PROXY SQUID ||
#--------------------------------------------
 
#------ port 80
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
 
#------ port 443
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
 
#--------------------------------------
# || BLOQUEIO DE PINGS E IP SPOOFING ||
#--------------------------------------
#
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
#
 
#----------------------------------
# || ABRIR  A INTERFACE LOOPBACK ||
#----------------------------------
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
#
 
#------------------------------------
# || ABRIR PARA PORTAS ESPECIFICAS ||
#------------------------------------
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#
 
#------------------------------
# || BLOQUEIA TODAS CONEXÕES ||
#------------------------------
iptables -A INPUT -p tcp --syn -j DROP

SCRIPT DO SQUID

Código :

 
http_port 3128 transparent
visible_hostname Pagoto
 
cache_mem 128 MB
maximum_object_size_in_memory 128 KB
maximum_object_size 512 MB
cache_dir ufs /var/spool/squid 10240 16 256
cache_access_log /var/log/squid/access.log
 
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 53 80 21 280 443 488 563 591 777 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
 
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
 
acl redelocal src 10.3.167.0/24
http_access allow localhost
http_access allow redelocal

[Bruno]

Boa Tarde
ok amigo mais qual é sua duvida??? o que vc já tendou fazer ???

pois esta faltando muita coisa nestas regras suas ai
tem apenas 1 interface de rede ???
esqueceu de tratar a eth0 ???

[pagoto]

Olá amigo, primeiramente obrigado pela Atenção.

Os dois Scripts estão assim! não tem mais nada neles.. só isso dai.. que fiz com uns tutoriais que achei mais não me serviram muito..!
segue as informações..

Rede interna com usuarios: 10.3.100.2/24 - ETH1
Rede Externa com Internet: 192.168.0.250/24 - ETH0


é um HP, que esta servindo de VPN / PROXY / FIREWALL / GATEWAY


O que eu quero é que somente o Ip da minha maquina (10.3.100.200) , e da maquina do chefe (10.3.100.210), consigam acessar a Internet através deste Gateway com tudo liberado (todas as portas)!

O restante irá ficar tudo bloqueado, qualquer tipo de acesso a internet..

(Não faço questão do controle de portas).

[demattos]

opa amigo tenho varios frirewall funcionado como vc quer, mas teria q adaptar a cada caso, seu VPN e feito com qual protoco, neste firewall tem como determinar ip com acesso total e ip com restricao so de aceso pelo proxy. Mas precisaria de uma analize mais completa na sua rede.

[pagoto]

Boa noite amigo,
Utilizo o protocolo PPTP, o cenário é o mesmo descrito acima.

Uma rede com dominio, e esse servidor, faz o compartilhamento de internet, e o proxy, e é um servidor vpn..!

Poderia me passar seu script para mim analisar, e tentar adapta-lo a minha rede ?

Necessariamente, temos varias e varias maquinas!

Mas como eu disse, apenas 2 vão poder se conectar totalmente,
as outras estarão totalmente bloqueadas !
----------------------------------

A Vpn, tem que ficar aberta para se conectar de qualquer maquina pelo mundo a fora!


Obrigado pela atenção e ajuda.

[Bruno]

bom amigo primeiramente como o amigo demattos citou vc tem que saber quais ips vc quer ter acesso a internet qual vc quer que tenha acesso a vpn etc
pra depois criar seu script
pois desta forma do seu script vc esta bloquenado to acesso a interface eth0 onde vc tem que tratar tambem
amigo desculpe a sinceridade mais tem muito material na internet, sei que aqui é um forum, não sei qual o seu conceito de Forum.
Mais Forum é um logal para de debater ideias e tirar duvidas e não ensinar liberalmente, é claro que que em um debate de boa qualidade todos aprende com o proprio erro
não me entenda mão ok
abraços

[pagoto]

Olá Benatto, Obrigado pela resposta.

Bom, ja procurei e ja li diversos materiais em foruns, mas a maioria deles não se aplica ao meu cenário e os comandos nao serve exatamente para o que eu quero.

Como eu disse, a VPN poderia ser acessado por qualquer IP em qualquer lugar do mundo.

e os dois Ips que poderão se conectar a internet foi citados acima... (10.3.100.200) e (10.3.100.210).

Apesar do forum aqui, continuo pesquisando, pois as respostas aqui são demoradas, e as vezes elas nem existem. Todos tem outras tarefas a fazer.

Mas de qualquer forma. Obrigado!

[demattos]

Boa noite amigo,
Utilizo o protocolo PPTP, o cenário é o mesmo descrito acima.

Uma rede com dominio, e esse servidor, faz o compartilhamento de internet, e o proxy, e é um servidor vpn..!

Poderia me passar seu script para mim analisar, e tentar adapta-lo a minha rede ?

Necessariamente, temos varias e varias maquinas!

Mas como eu disse, apenas 2 vão poder se conectar totalmente,
as outras estarão totalmente bloqueadas !
----------------------------------

A Vpn, tem que ficar aberta para se conectar de qualquer maquina pelo mundo a fora!


Obrigado pela atenção e ajuda.

Amigo quer uma consultoria, posso personalizar o script para vc e fazer como vc quer, como disse tenho isto q vc pretende funcionando, mas cada caso e um caso e teriammos q analizar com calma, poderia colocar o script aqui mas ficaria dias para justar, numa conversra melhor posso de ajudar, manda um MP para nos conversar. Nao estou querendo vender nada, so fazer algo que possa ajudar e se vc querer apos o servico dar uma gratificacao nao fico brabo rsrsrsr.

[Bruno]

Boa Tarde Pagato
é que é assim os tutorias que tem na internet nunca vai dar certo com a sua estrutura
mais vc tem que tentar entender como funciona, pois no mais não podemos ajudar pois não conhecemos realmente sua estrutura, aconselho uma consultoria