- Help
+ Responder ao Tópico
-
Help
Estou tentando fazer um Script para o iptables liberar web na rede através do squid e não funciona , estou colocando o script abaixo.Por favor amigos me ajudem........
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A FORWARD -p tcp -s 0/0 --sport 3128 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --dport 3128 -d 0/0 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0/0 --sport 3128 -d 0/0 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0/0 --dport 3128 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 3128 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 3128 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --sport 80 -d 0/0 -j ACCEPT
iptables -A FORWARD -p tcp -s 0/0 --dport 80 -d 0/0 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0/0 --sport 80 -d 0/0 -j ACCEPT
iptables -A OUTPUT -p tcp -s 0/0 --dport 80 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --sport 80 -d 0/0 -j ACCEPT
iptables -A INPUT -p tcp -s 0/0 --dport 80 -d 0/0 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
-
Help
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
#Agora trocamos o ip interno para o acesso a outras redes
iptables -A PREROUTING -t nat -d 127.0.0.1/24 -j DNAT --to ip_interno
iptables -A POSTROUTING -t nat -s ip_interno -j SNAT --to ip_externo
iptables -A POSTROUTING -t nat -s ip_interno -j MASQUERADE
#Vamos declarar as portas que serão aceitas para redirecionamento
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 127.0.0.1/24 -j ACCEPT
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT #Porta de FTP
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #Porta de http
iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT #Porta Squid
#Vamos declarar as portas que serão aceitas para entrada
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Porta de FTP
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #Porta de http
iptables -A INPUT -p tcp --dport 3128 -j ACCEPT #Porta Squid
Isso deve resolver.... <IMG SRC="images/forum/icons/icon_wink.gif">
-
Help
Futuremax,
Valeu pela ajuda. Mas tenho duvidas :
1) Quando deixo output por padrão accept,não estou correndo risco de ataques ou so vai liberar o acesso da maquinas interna para fora ? E seu eu deixar input accept ai estarei abrindo externamente para acesso a minha rede interna ?Por favor vc consegue me explicar com isto funciona ?
2) O que faz iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT?
Grato mais uma vez pela sua colaboração,espero poder retribuir
Abraços
-
Help
É o seguinte:
1-/Output quer dizer que os pacotes internos podem sair livremente;
2-/ESTABLISHED = Estabilizado | RELATED = Relacionado; Ou seja todas as conexões que estiverem relacionads e estabilizadas são mantidas e aceitas, desde que as portas estejam liberadas, por exemplo o Squid estabelece uma conexão com a porta 80 se não tiver essa regra ninguém acessa..
Ok?? <IMG SRC="images/forum/icons/icon_wink.gif">