-
squid nat iptables
não consigo fazer este ´proxy transparente funcionar, redireciono certo da porta 80 para 3128 mas o squid responde que a url é invalida, alguem sabe me responder o que fazer?
script
#!/bin/sh
MP=/sbin/modprobe
IPT=/usr/sbin/iptables
INTRANET=172.16.100.0/24
EXTRANET=10.0.0.0/8
echo -n "Carregando Módulos...."
$MP iptable_nat
$MP ip_nat_ftp
$MP ip_conntrack
$MP ip_conntrack_ftp
echo "."
echo "1" > /proc/sys/net/ipv4/ip_forward
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ]; then
echo -n "Setando Proteção contra SPOOF...."
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
echo "."
fi
# Politicas
echo -n "Iniciando Políticas...."
$IPT -P INPUT ACCEPT
$IPT -P FORWARD ACCEPT
$IPT -P OUTPUT ACCEPT
$IPT -F
echo "."
# Navegação
echo -n "Iniciando regras NAT...."
$IPT -t nat -A POSTROUTING -o eth0 -j MASQUERADE
$IPT -A FORWARD -i eth1 -j ACCEPT
$IPT -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "."
$IPT -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
$IPT -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
$IPT -A INPUT -s 169.254.183.96 -i eth1 -j DROP
#echo -n "Redirect pedidos da port 80 para pot 3128 (squid)..."
$IPT -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128
#echo "."
echo -n "Configurando Serviços..."
# Serviços
$IPT -A INPUT -p tcp -s $EXTRANET --dport 21 -j REJECT #ftp
$IPT -A INPUT -p tcp -s $EXTRANET --dport 22 -j REJECT #ssh
$IPT -A INPUT -p tcp -s $EXTRANET --dport 23 -j REJECT #telnet
$IPT -A INPUT -p tcp -s $EXTRANET --dport 25 -j REJECT #smtp
$IPT -A INPUT -p tcp -s $EXTRANET --dport 53 -j REJECT #dns
$IPT -A INPUT -p tcp -s $EXTRANET --dport 110 -j REJECT #pop3
$IPT -A INPUT -p tcp -s $EXTRANET --dport 111 -j REJECT #rpc
$IPT -A INPUT -p tcp -s $EXTRANET --dport 6000 -j REJECT #X11
echo "."
-
squid nat iptables
Voce consegue pingar em um Valido na Net?
ex 200.204.0.10
A Marcio
-
squid nat iptables
sim consigo, eu acho que o problema está no squid, já que consigo rediercionar as portas o q vc me diz?
-
squid nat iptables
bom.. supondo que o squid esteja instaldo no firewall
vc tem essas duas regras..
$IPT -A INPUT -s 192.168.0.0/24 -i eth1 -j DROP
$IPT -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP
uma delas se trata da interface interna do firewall e se vc dropar a mesma.. eles nunca vao chegar no serviço do squid que roda na porta 3128..
retire a regra referente a entrada de pacotes pela interface INTERNA ok?
pois para evitar spoofing vc nao precisa bloquear o trafego que vem da rede interna em direcao a interface interna do firewal.. blz.. pois senao qualquer trafego da rede interna será barrado..
-
squid nat iptables
ai danilo retirei as regras da interface interna e a mesma mensagem continua vindo