Qual o problema com esse meu iptbles?? (urgente)

Seguinte.....
estou com o iptbles e squid rodando aqui, está funcionando normalmente, mas acontece que os micros estão conseguindo acessar a internet diretamente, o correto era para ser bloqueado todos os micros, exceto alguns que já estão liberados, mas não está bloqueando alguem pode me ajudar, este é o arquivo iptables, deve está faltando alguma coisa, porque ele foi recuperado depois de um acidente que o ocorreu onde foi apagado.

*nat
# Generated by iptables-save v1.2.6a on Thu Jan 30 13:43:46 2003
# Completed on Thu Jan 30 13:43:46 2003
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 2000 -j DNAT --to-destination 10.0.0.55:2000
-A PREROUTING -i eth1 -p 47 -d 200.174.109.130 -j DNAT --to-destination 10.0.0.1
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1723 -j DNAT --to-destination 10.0.0.1:1723
-A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 135 -j DNAT --to-destination 10.0.0.1:135
-A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 443 -j DNAT --to-destination 10.0.0.1:443
-A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 80 -j DNAT --to-destination 10.0.0.1:80
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3388 -j DNAT --to-destination 10.0.0.251:3389
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1999 -j DNAT --to-destination 10.0.0.55:80
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3390 -j DNAT --to-destination 10.0.0.3:3389
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3389 -j DNAT --to-destination 10.0.0.1:3389
-A PREROUTING -m state --state ESTABLISHED -j ACCEPT
-A PREROUTING -m state -i eth0 --state NEW -j ACCEPT
-A POSTROUTING -o eth1 -j MASQUERADE

COMMIT

*filter
:OUTPUT ACCEPT [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
-A FORWARD -p tcp -m tcp -i eth2 --dport 1863 -j DROP
-A FORWARD -p tcp -m tcp -i eth0 --dport 1863 -j DROP
-A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP
-A FORWARD -p tcp -d 10.0.0.1 --dport 135 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 444 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 443 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 80 -j ACCEPT
-A FORWARD -p 47 -d 10.0.0.1 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 1723 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.55 --dport 1999 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.251 --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.3 --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.25 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.55 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.110 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 192.168.1.3 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 192.168.1.2 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.250 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.18 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.17 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.16 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.15 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.14 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.13 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.12 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.11 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.10 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.9 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.3 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.1 --dport 80 -j ACCEPT
-A INPUT -j DROP
# -A INPUT -j LOG
-A INPUT -m state ! -i eth1 --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 200.207.50.117 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT

Se alguem puder me ajudar...

Re: Qual o problema com esse meu iptbles?? (urgente)

Opa,

segue uma dica
http://www.guiadohardware.net/linux/dicas/76.htm

Abrs,
Marcos Vinicius M. da Silva Junior

Re: Qual o problema com esse meu iptbles?? (urgente)

obrigado, mas ainda nao funcionou......porque não está bloqueando a porta 80 geral e liberando para os ips indicados será??

Re: Qual o problema com esse meu iptbles?? (urgente)

Vc esta usando Proxy ? Aqui montei um server assim:

Proxy Transparente
Autenticação por usuário
Liberação por IP

Esse controle esta todo no proxy(squid), tanto a liberação de estação por ip. Além disso todo usuário tem que autenticar. Mesmo o usuário tirando o proxy de opções da internet ele não irá conseguir passar.

No squid a configuração fica mais ou menos assim:

#bin/bash
#Carlos Valcir Ramos - 11/05/2006
#Arquivo de Configuração SQUID PROXY SERVER

http_port 3128
visible_hostname ServerInternet
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 800 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#Libera LOCAL

acl proibidos dstdomain "/etc/squid/siteproibido"

acl ipliberado src "/etc/squid/ipliberados"

acl redelocal src 192.168.X.X/XX

acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #fielmaker
acl Safe_ports port 777 #multing http
acl Safe_ports port 901 #Swat
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access deny proibidos
http_access deny redelocal !ipliberado

#Autenticacao de Usuarios
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED

http_access allow autenticados
http_access allow localhost
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

O que esta destacado é onde vc deve observar mais e mudar ai.

Espero ter ajudado. Veja que libero somente o que esta no arquivo ipliberado. Foi uma dica do nosso expert xstefanox(nome dificil) acho que é isto mesmo.

Espero ter ajudado.

t+

Re: Qual o problema com esse meu iptbles?? (urgente)

aqui ta autenticando os usuarios, está funcioanando normalmente a autenticação, no squid não foi alterado nada, apenas no iptables que teve um problema e agora qualquer maquina consegue acessar a net sem atutenticação, eu entendo que deveria estar bloqueado a 80 pelo comando:

-A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP

mas não está.......

pra começar do zero, oq preciso para bloquear a porta 80 para a rede 80 no iptables?

Re: Qual o problema com esse meu iptbles?? (urgente)

Citação:

Postado originalmente por mchiareli

aqui ta autenticando os usuarios, está funcioanando normalmente a autenticação, no squid não foi alterado nada, apenas no iptables que teve um problema e agora qualquer maquina consegue acessar a net sem atutenticação, eu entendo que deveria estar bloqueado a 80 pelo comando:

-A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP

mas não está.......

pra começar do zero, oq preciso para bloquear a porta 80 para a rede 80 no iptables?

Cara vamos do começo. Num to entendendo nada.
O que está acontecendo ?
Você tem um proxy autenticado + um firewall.
O que esta pegando é que todos estão burlando a autenticação ?

Re: Qual o problema com esse meu iptbles?? (urgente)

eh os seguinte, tenho um firewall + nat com iptables e o proxy autenticado com squid.

Se o usuario tiver acesso a internet um script já configura o proxy do IE para o squid, isso funciona normalmente, oque não funciona é o seguinte, se o usuario tirar a opçao do proxy do IE a internet é acessada normalmente não está ocorrendo o bloqueio.....

Esse bloqueio é feito no iptables certo?
ou devo fazer no squid mesmo?

Re: Qual o problema com esse meu iptbles?? (urgente)

Isso ai é um grande problema que ocorre com o proxy autenticado.
Usuarios burlando o Proxy.
Não fiz até hj um autenticado, sempre fiz transparente.
Tente fazer o seguinte. Num sei se vai dar certo. procure informaçoes até mesmo aqui no forum sobre isso.
Acredito que seu problema realmente seja do fato do drible na autenticação.

"
Transparent Proxy

Esse recurso é muito útil para evitar que seus usuários "burlem" o proxy removendo as configurações do browser. Eles serão obrigados a passar pelo proxy, mesmo que as máquinas não estejam configuradas para tal. Extremamente recomendado, principalmente em casos de bloqueio de sites ou limitação de banda.

Experiências pessoais comprovam que usuários com um pouco mais de conhecimentos irão remover a configuração de proxy assim que o administrador sair da sala, seja por ignorância das funcionalidades, seja por medo de ser auditado ou simplesmente por má conduta.

Para ser possível o uso de proxy transparente com o Squid, o firewall deve ser configurado adequadamente. Se o seu firewall não está listado abaixo, procure na documentação do mesmo qual é a sintaxe equivalente.

Algumas pessoas desejam trabalhar ao mesmo tempo com autenticação e proxy transparente. Isso é possível de ser feito com uma interação entre o firewall e um cgi, ou algo do gênero.

Apesar de não ser do escopo do howto abranger regras de firewall específicas e programação, uma boa olhada no google e um pouco de pesquisa deve resolver o problema. "
Fonte: http://www.linuxman.pro.br/squid/

a regra de redirecionamento do proxy e abaixo dela a de
$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 80 -j DROP

Re: Qual o problema com esse meu iptbles?? (urgente)

tipo mas eu nao queria isso, eu queria apenas bloquear a net geral...e liberar apenas para ips determinados....

Re: Qual o problema com esse meu iptbles?? (urgente)

Então eu acho que vc tem que criar as regras no seu iptables liberando host por host. Esses hosts que estiverem liberados passarao pelo proxy e os outros vc fecha no proprio firewall

echo " liberando navegacao a alguns HOST "
$IPTABLES -A FORWARD -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.11 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.12 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.13 -p tcp --dport 80 -j ACCEPT

echo " FECHANDO NAVEGACAO A REDE "
$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 80 -j DROP

echo " REDIRCT for PROXY "
$IPTABLES -t nat -A PREROUTING -s 192.168.0.10 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s 192.168.0.11 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s 192.168.0.12 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s 192.168.0.13 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT