Redirecionado no Iptables

**juliocm** · 22-04-2008, 15:05

Pessoal estou usando um bridge firewall e estou fazendo o seguinte:

rede_interna="192.168.0.0"

Iptables -I PREROUTING -t nat -p tcp -s $192.168.0.0 dport 80 -j REDIRECT to-port 3128

O que está errado nessa regra?

**diegofsousarn** · 22-04-2008, 15:21

Postado originalmente por juliocm

Pessoal estou usando um bridge firewall e estou fazendo o seguinte:

rede_interna="192.168.0.0"

Iptables -I PREROUTING -t nat -p tcp -s $192.168.0.0 dport 80 -j REDIRECT to-port 3128

O que está errado nessa regra?

Se eu entendi bem vc esta querendo redirecionar o trafego da porta 80 para porta do squid, se for isso la vai.

IPT=/usr/sbin/iptables (aqui vc coloca o caminho do seu iptables)
SQUID=3128
$IPSOURCE (aqui vc coloca uma regra para sua rede interna)
$IPT -t nat -A PREROUTING -s $IPSOURCE -p tcp --dport 80 -j REDIRECT --to-port $SQUID

Espero ter ajudado!

**alexandrecorrea** · 23-04-2008, 02:05

testa assim

Código :

rede_interna="192.168.0.0"
 
iptables -I PREROUTING -t nat -p tcp -s $rede_interna -–dport 80 -j REDIRECT –to-port 3128

**juliocm** · 23-04-2008, 13:58

Olá pessoal eu esqueci de avisar!

Essa máquina aonde estou tentando instalar o proxy é uma bridge firewall invisivél.
Sendo que eth0 = 127.0.0.2 e eth1 = 127.0.0.3

ok?

**Patrick** · 24-04-2008, 15:15

entao voce vai ter que colocar tanto na eth0 e eth1 ips da sua rede e definir um gateway padrao, por exemplo:
eth0: 192.168.0.100
eth1: 192.168.0.101
gw: 192.168.0.1

tenta colocar as regras iptables assim (presumindo que os pacotes da sua rede interna irão entrar pela eth1):
iptables -I PREROUTING -t nat -i eth1 -p tcp -s $rede_interna -–dport 80 -j REDIRECT --to-port 3128

**juliocm** · 24-04-2008, 20:15

Se eu colocar um ip nessas placas elas não ficarão invisivel mais. Eu preciso deixar essas placas com ip's, 127.0.0.2 e 127.0.0.3, pois essa máquina é uma máquina bridge firewall (IPS) da minha rede.
Eu estou querendo instalar o squid nela, porque não quero colocar mais uma máquina na minha rede. Por isso preciso saber se o squid funciona desse jeito.
Ah só pra lembrar nesse IPS eu uso o projeto HLBR!

Internet ----Roteador---Firewall----IPS----firewall----Rede Interna.

Alguém pode me ajudar?

**zenun** · 25-04-2008, 01:39

Então meu amigo...
Você tem uma topologia que pode ser complicada de se configurar!
Possui 2 firewalls e um IPS!

Outra coisa...
Você não precisa colocar ips 127 nas interfaces!
Simplesmente faça isso:

Código :

ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up
 
brctl addbr br0
brctl addif br0 eth0 eth1
 
ifconfig br0 0.0.0.0 up
 
echo "1" > /proc/sys/net/ipv4/ip_forward

Lembre-se que dessa forma você não terá possibilidade de gerenciar essa máquina remotamente!

O que eu recomendo para você é colocar seu squid no segundo firewall, dessa forma você evita trafego desnecessário passando pelo FW2, se estiver no cache ele libera direto pela interface conectada na LAN!

Código :

NET --RTR--FW1--IPS--FW2+PROXY--LAN.

E outra coisa... como você pensa em fazer isso na pratica?
Vai ter VLANs na parada? Você vai segmentar isso de forma que um espertinho não saia direto pelo seu FW1?

Ou essa galera vai estar ligada tudo com cabo cross??

**juliocm** · 25-04-2008, 08:03

Blza!
Eu to usando nesse IPS o projeto hlbr. Ele é um IPS e quando configurado se torna um bridge.
Eu configurei o squid nessa máquina, porém quando digito
ps aux |grep squid ele mostra o squid rodando normalmente sem erro, e quando vou dentro do arquivo

root@madona# /var/log/squid/access.log

Não tem nada dentro do arquivo!

Alguém pode me ajudar?

**Patrick** · 25-04-2008, 08:41

cara foi o que o zenun disse, se voce nao colocar ip na interface br0 (e nao em eth0 e eth1 como eu disse anteriormente) voce nao vai conseguir acessar essa maquina remotamente e ela nao vai se comunicar com a rede.

faça o que zenun disse só que alterando para
ifconfig br0 192.168.0.100 up
route add default gw 192.168.0.1

lembrando que nao importa se a bridge tem ip ou nao, ela sempre vai ser transparente.

nessa sua topologia eu nao entendi para que 2 firewalls se voce só tem 1 rede...

**alexandrecorrea** · 25-04-2008, 13:58

inseguro rodar o squid na mesma maquina... IPS foi feito para uma maquina dedicada a ele. sem IP inclusive !!

**Patrick** · 25-04-2008, 16:11

Postado originalmente por alexandrecorrea

inseguro rodar o squid na mesma maquina... IPS foi feito para uma maquina dedicada a ele. sem IP inclusive !!

sem ip eu nao concordo...
alias, nunca vi um IPS sem ip, a forma que ele trabalha tem que ter ip para gerenciamento e comunicação com a rede.

**zenun** · 25-04-2008, 20:07

Bom meu amigo...
O fato de você não concordar não faz disso ser a melhor opção do ponto de vista de segurança!

Sobre o squid eu bato na tecla que deve estar fora do IPS, como disse antes!

**alexandrecorrea** · 26-04-2008, 05:45

sao palavras dos desenvolvedores... como o ips (no caso o hlbr) cria uma bridge transparente.. ela ficara invisivel.. entao seguro por inseguro.. melhor deixar sem ip :P

e fazer o gerenciamento localmente... sao palavras e sugestoes ateh de dentro da propria lista do hlbr !!

**Patrick** · 26-04-2008, 17:26

ok, voces estao falando do hlbr...
nunca vi e nunca mexi, mas no Cisco ASA por exemplo que é firewall e pode ser adicionado um modulo de IPS (transparente ou nao) o uso de endereço ip nele é praticamente "obrigatorio"... tanto que ele tem 1 ip para o firewall e 1 ip para o modulo de IPS mesmo os 2 estando na mesma caixa...

eu disse apenas que nao concordo e nao que por causa disso é melhor ou nao, eu estava apenas expressando a minha opniao...

Redirecionado no Iptables

Ferramentas de Tópicos

Redirecionado no Iptables