Galera!
Já tenho o proxy funcionando no Conectiva 8.0; queria implementar um firewall com iptables
para transformar o meu proxy em proxy transparente e poder habilitar o envio e recebimento
de e-mails (pop3 - smtp).
Tenho a seguinte estrutura de rede:
range: 172.16.64.0 - 172.16.64.255 (Vou distribuir a internet, smtp e ´pop3 somente para
esta rede)
netmask: 255.255.248.0
roteador cisco: integra a minha rede com a minha mantenedora - FrameRaley (estou integrado
a uma Wan)
ip do meu server proxy: 172.16.64.206
Como deve ser o meu arquivo firewall?
Fiz um assim:
/etc/iptables (Dei #chmod 775 iptables - para transformar o arquivo em executável);
Coloquei o arquivo iptables no /etc/rc.d/init.d - para ser executado durante a
inicialização do sistema.
Conteúdo do arquivo /etc/rc.d/init.d/iptables
#Início
#!/bin/bash
# Script de Firewall e Compartilhamento
# Apagando as regras antigas
iptables -F
#Setando o kernel para dinamico IP masquerado
if [ -e /proc/sys/net/ipv4/ip_dynaddr ]
then
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
fi
#
# Carrega os módulos
modprobe iptables
modprobe iptable_nat
# Compartilha a conexão
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
#>Protege contra pacotes danificados
iptables -A INPUT -m unclean -j DROP
iptables -A FORWARD -m unclean -j DROP
# Porta de SSH # LOG --> /var/log/messages
iptables -A INPUT -p tcp --destination-port 22 -j LOG --log-prefix
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Abre para a rede local
iptables -A INPUT -p tcp --syn -s 172.16.64.0/255.255.248.0 -j ACCEPT
#Transferindo da 80 para a 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Fim do script
Alterei as seguintes linhas no meu squid.conf (Coloquei exatamente como está abaixo):
# HTTPD-ACCELERATOR OPTIONS
# ---------------------------------------
#
#
#
httpd_accel_port 80
httpd_accel_host virtual
E o Seguinte Grupo:
#
# TAG: httpd_accel_with_proxy
# --------------------------------------
#
#
httpd_accel_with_proxy on
#
#
# TAG: httpd_accel_uses_host_header on|off
#
#
httpd_accel_uses_host_header on
Observações:
- se eu seto na estação de trabalho o meu server proxy como gateway ...na rola navegação;
- se eu seto no brouser (se é proxy transparente pra que eu tenho que fazer isto?) a
navegação funciona normalmente;
- Como eu sei se o firewall (as regras que eu coloquei estão funcionando)?
- Se houver erros no script, onde estão localizados?
- como testar o firewall?
- como transformar o proxy em proxy transparente e habilitar o envio e recebimento de e-mail?
Agradeço todas as dicas.
Obrigado.