Qual o problema com esse meu iptbles?? (urgente)
Seguinte.....
estou com o iptbles e squid rodando aqui, está funcionando normalmente, mas acontece que os micros estão conseguindo acessar a internet diretamente, o correto era para ser bloqueado todos os micros, exceto alguns que já estão liberados, mas não está bloqueando alguem pode me ajudar, este é o arquivo iptables, deve está faltando alguma coisa, porque ele foi recuperado depois de um acidente que o ocorreu onde foi apagado.
*nat
# Generated by iptables-save v1.2.6a on Thu Jan 30 13:43:46 2003
# Completed on Thu Jan 30 13:43:46 2003
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 2000 -j DNAT --to-destination 10.0.0.55:2000
-A PREROUTING -i eth1 -p 47 -d 200.174.109.130 -j DNAT --to-destination 10.0.0.1
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1723 -j DNAT --to-destination 10.0.0.1:1723
-A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 135 -j DNAT --to-destination 10.0.0.1:135
-A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 443 -j DNAT --to-destination 10.0.0.1:443
-A PREROUTING -i eth1 -p tcp -d 200.174.109.130 --dport 80 -j DNAT --to-destination 10.0.0.1:80
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3388 -j DNAT --to-destination 10.0.0.251:3389
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 1999 -j DNAT --to-destination 10.0.0.55:80
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3390 -j DNAT --to-destination 10.0.0.3:3389
-A PREROUTING -i eth1 -p tcp -m tcp -d 200.174.109.130 --dport 3389 -j DNAT --to-destination 10.0.0.1:3389
-A PREROUTING -m state --state ESTABLISHED -j ACCEPT
-A PREROUTING -m state -i eth0 --state NEW -j ACCEPT
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
*filter
:OUTPUT ACCEPT [0:0]
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
-A FORWARD -p tcp -m tcp -i eth2 --dport 1863 -j DROP
-A FORWARD -p tcp -m tcp -i eth0 --dport 1863 -j DROP
-A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP
-A FORWARD -p tcp -d 10.0.0.1 --dport 135 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 444 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 443 -j ACCEPT
-A FORWARD -p tcp -d 10.0.0.1 --dport 80 -j ACCEPT
-A FORWARD -p 47 -d 10.0.0.1 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 1723 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.55 --dport 1999 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.251 --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.3 --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp -d 10.0.0.1 --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.25 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.55 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.110 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 192.168.1.3 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 192.168.1.2 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.250 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.18 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.17 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.16 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.15 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.14 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.13 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.12 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.11 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.10 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.9 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.3 --dport 80 -j ACCEPT
-A FORWARD -p tcp -m tcp -s 10.0.0.1 --dport 80 -j ACCEPT
-A INPUT -j DROP
# -A INPUT -j LOG
-A INPUT -m state ! -i eth1 --state NEW -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -s 200.207.50.117 -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
Se alguem puder me ajudar...
Re: Qual o problema com esse meu iptbles?? (urgente)
Opa,
segue uma dica
http://www.guiadohardware.net/linux/dicas/76.htm
Abrs,
Marcos Vinicius M. da Silva Junior
Re: Qual o problema com esse meu iptbles?? (urgente)
obrigado, mas ainda nao funcionou......porque não está bloqueando a porta 80 geral e liberando para os ips indicados será??
Re: Qual o problema com esse meu iptbles?? (urgente)
Vc esta usando Proxy ? Aqui montei um server assim:
Proxy Transparente
Autenticação por usuário
Liberação por IP
Esse controle esta todo no proxy(squid), tanto a liberação de estação por ip. Além disso todo usuário tem que autenticar. Mesmo o usuário tirando o proxy de opções da internet ele não irá conseguir passar.
No squid a configuração fica mais ou menos assim:
#bin/bash
#Carlos Valcir Ramos - 11/05/2006
#Arquivo de Configuração SQUID PROXY SERVER
http_port 3128
visible_hostname ServerInternet
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 800 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#Libera LOCAL
acl proibidos dstdomain "/etc/squid/siteproibido"
acl ipliberado src "/etc/squid/ipliberados"
acl redelocal src 192.168.X.X/XX
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #fielmaker
acl Safe_ports port 777 #multing http
acl Safe_ports port 901 #Swat
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny proibidos
http_access deny redelocal !ipliberado
#Autenticacao de Usuarios
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
http_access allow localhost
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
O que esta destacado é onde vc deve observar mais e mudar ai.
Espero ter ajudado. Veja que libero somente o que esta no arquivo ipliberado. Foi uma dica do nosso expert xstefanox(nome dificil) acho que é isto mesmo.
Espero ter ajudado.
t+
Re: Qual o problema com esse meu iptbles?? (urgente)
aqui ta autenticando os usuarios, está funcioanando normalmente a autenticação, no squid não foi alterado nada, apenas no iptables que teve um problema e agora qualquer maquina consegue acessar a net sem atutenticação, eu entendo que deveria estar bloqueado a 80 pelo comando:
-A FORWARD -p tcp -m tcp -i eth2 --dport 80 -j DROP
-A FORWARD -p tcp -m tcp -i eth0 --dport 80 -j DROP
mas não está.......
pra começar do zero, oq preciso para bloquear a porta 80 para a rede 80 no iptables?