Bloquear acesso externo ao proxy

[lfernandosg]

Tenho iptables + squid + htb e etc...e os clientes da rede interna estão acessando por exemplo o modem da internet(rede externa). Como faço para bloquear no iptables o acesso a rede externa?

[laerciomotta]

A resposta pode estar na linha do firewall que contem o MASQUERADE..
Se vc fizer um simples:

iptables -t nat -A POSTROUTING -j MASQUERADE

vc estará dizendo que mascare tudo de um lado para outro em todas as placas de rede..
então sugiro que limite isso...

[lfernandosg]

o meu está assim:

iptables -A POSTROUTING --src $IP_INTERNO/$INTMASK -o $IF_EXTERNO -j MASQUERADE -t nat # Mascarar trafego de rede interna para ip externo
iptables -t nat -A POSTROUTING -o $IF_EXTERNO -j MASQUERADE


Então, aí só digo só estou colocando o destino a interface externa.Preciso tirar essa segunda linha?

[laerciomotta]

Faz assim:
iptables -t nat -A POSTROUTING -s $IP_INTERNO/$INTMASK ! -d <ip-modem> -o $IF_EXTERNO -j MASQUERADE

Isso se aplica se quem conecta na internet é o servidor que vc esta fazendo o firewall..
Se for o modem que conecta, tire, pois alem de não ter controle completo, vc pode ter problemas de lentidao na internet dependendo a quantidade de máquinas..