Duvida Sobre Iptables com Squid e NAT

elton · 03-01-2005, 10:25

Pessoal, Bom dia Achei uma dica que funcionou perfeito para o que ru estava querendo.

Queria um Servidor linux com Squid e que fosse liberado para Envio de E-mails no Outlook.

Mas notei que quanto tiro a configuração do Proxy a Internet continua funcionando.

Outra duvida... Para manter este script permanente na configuração do Meu Linux tenho que colocar as configurações no arquivo rc.local ???

Segue o Script abaixo para analise.

http://www.linuxplace.com.br/sqush_p...%2Boutlook.txt

Danilo_Montagna · 03-01-2005, 13:06

se vc seguiu esse script a RISCA nao deveria estar acontecendo isso..

claro que tem muita regra ae nesse tutorial desnecessaria e que nao esta fazendo efeito nenhum.. mais mesmo assim.. ele esta dando um DROP na politica do FORWARD e so liberando as portas 25 e 110.. sendo assim.. a porta 80 nao passa pelo FORWARD.. o que nao poderia acontecer das estacoes navegarem sem proxy..

provevelmente é um problema de configuracao do seu iptables e suas regras..

digite isso aqui com o script carregado.. e poste aqui o resultado..

# iptables -nL FORWARD

[]'s

elton · 03-01-2005, 14:02

Segue

[root@GFMI74 root]# iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT udp -- 192.0.0.0/24 200.204.0.10 udp dpt:53
ACCEPT udp -- 192.0.0.0/24 200.204.0.138 udp dpt:53
ACCEPT udp -- 200.204.0.10 192.0.0.0/24 udp spt:53
ACCEPT udp -- 200.204.0.138 192.0.0.0/24 udp spt:53
ACCEPT tcp -- 192.0.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 192.0.0.0/24 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0

Att

Elton

elton · 03-01-2005, 14:03

[root@GFMI74 root]# iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT udp -- 192.0.0.0/24 200.204.0.10 udp dpt:53
ACCEPT udp -- 192.0.0.0/24 200.204.0.138 udp dpt:53
ACCEPT udp -- 200.204.0.10 192.0.0.0/24 udp spt:53
ACCEPT udp -- 200.204.0.138 192.0.0.0/24 udp spt:53
ACCEPT tcp -- 192.0.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 192.0.0.0/24 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110

Danilo_Montagna · 03-01-2005, 14:05

Postado originalmente por elton

Segue

[root@GFMI74 root]# iptables -nL FORWARD
Chain FORWARD (policy ACCEPT)
target prot opt source destination
DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
ACCEPT udp -- 192.0.0.0/24 200.204.0.10 udp dpt:53
ACCEPT udp -- 192.0.0.0/24 200.204.0.138 udp dpt:53
ACCEPT udp -- 200.204.0.10 192.0.0.0/24 udp spt:53
ACCEPT udp -- 200.204.0.138 192.0.0.0/24 udp spt:53
ACCEPT tcp -- 192.0.0.0/24 0.0.0.0/0 tcp dpt:25
ACCEPT tcp -- 192.0.0.0/24 0.0.0.0/0 tcp dpt:110
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0

Att

Elton

o seu problema esta justamente aqui..,

Chain FORWARD (policy ACCEPT)

sua default police esta em ACCEPT.. sendo assim.. qualquer pacote esta passando.. ponha em DROP.. pois do jeito que esta nem precisa por nenhuma regra na chain FORWARD.. pois nao esta fazendo efeito nenhum.. uma vez a police estando em ACCEPT.. vc nao precisa colocar nenhuma regra na chain.. que seja do tipo ACCEPT..

tb nao existe a necessidade dessas regras aqui..

ACCEPT udp -- 200.204.0.10 192.0.0.0/24 udp spt:53
ACCEPT udp -- 200.204.0.138 192.0.0.0/24 udp spt:53
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110

pode tirar isso ae..

elton · 03-01-2005, 14:55

Cara, Este Script pode deixar a Internet Mais Lenta???
Pois os usuários estão reclamando.
Também o Webmin não funciona mais da estação, Apenas no servidor.
É preciso alterar alguma porta?
Se colocar o Script no rc.local a regra fixa no Iptables?

Obrigado pela ajuda.

Danilo_Montagna · 03-01-2005, 14:58

bom.. o webmin nao tem nada a ver com o FORWARD.. para acessar o webmin vc tem que liberar a porta 10000 tcp no INPUT..

isso deve ter acontecido pois vc deve ter colocado todas as politicas em DROP.. quando se faz isso.. tem que saber o que ewsta fazendo.. pois tem que liberar algumas portas de serviços ... porem vale a pena.. pois se tem muito mais seguranca naquilo que se oferece..

sim.. pode pode por isso carregar no rc.local

elton · 03-01-2005, 17:34

Cara, me diz uma coisa.

Com essas regras a Internet fica mais lenta?
Pode ser que o Cache está desabilitado?
Como saber se o cache está habilitado?
Pra carregar os sites fica lento pacas, mas pra download está normal.

Obrigado mais uma vez.

Elton

Danilo_Montagna · 03-01-2005, 18:27

Com essas regras a Internet fica mais lenta?

Com certeza nao..

Pode ser que o Cache está desabilitado?

Se o squid esta rodando.. acho meio dificil.. como eu falei antes .. vc deve ter colocado todas as politicas em DROP.. e esta faltando liberar serviços essenciais para o funcionamento de tudo..

Como saber se o cache está habilitado?

Se o squid estiver rodando.. ou seja.. se o deamon esta no ar.. entao ele esta ativo..

wrochal · 03-01-2005, 21:45

Caro,

Para você habilitar o NAT junto com o Proxy, e evitar que usuários saiam para internet pelo NAT.

use esta regra:

iptables -A FORWARD -p tcp --dport 80 -d 0/0 -j DROP

Ou apenas mascara as portas que for usar:

http://www.linuxit.com.br/section-viewarticle-630.html

Falou,

Duvida Sobre Iptables com Squid e NAT

Ferramentas de Tópicos