+ Responder ao Tópico



  1. 23-01-2003, 14:23 #1
    Itise
    Itise está desconectado
    Avatar de Itise
    Ingresso
    Jan 2003
    Posts
    208

    Padrão Help

    Estou tentando fazer um Script para o iptables liberar web na rede através do squid e não funciona , estou colocando o script abaixo.Por favor amigos me ajudem........

    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    iptables -A FORWARD -p tcp -s 0/0 --sport 3128 -d 0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 0/0 --dport 3128 -d 0/0 -j ACCEPT
    iptables -A OUTPUT -p tcp -s 0/0 --sport 3128 -d 0/0 -j ACCEPT
    iptables -A OUTPUT -p tcp -s 0/0 --dport 3128 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --sport 3128 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 3128 -d 0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 0/0 --sport 80 -d 0/0 -j ACCEPT
    iptables -A FORWARD -p tcp -s 0/0 --dport 80 -d 0/0 -j ACCEPT
    iptables -A OUTPUT -p tcp -s 0/0 --sport 80 -d 0/0 -j ACCEPT
    iptables -A OUTPUT -p tcp -s 0/0 --dport 80 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --sport 80 -d 0/0 -j ACCEPT
    iptables -A INPUT -p tcp -s 0/0 --dport 80 -d 0/0 -j ACCEPT
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128



    Citação Citação
  2. 23-01-2003, 14:28 #2
    Futuremax
    Visitante

    Padrão Help

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    #Agora trocamos o ip interno para o acesso a outras redes
    iptables -A PREROUTING -t nat -d 127.0.0.1/24 -j DNAT --to ip_interno
    iptables -A POSTROUTING -t nat -s ip_interno -j SNAT --to ip_externo
    iptables -A POSTROUTING -t nat -s ip_interno -j MASQUERADE
    #Vamos declarar as portas que serão aceitas para redirecionamento
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -s 127.0.0.1/24 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 21 -j ACCEPT #Porta de FTP
    iptables -A FORWARD -p tcp --dport 80 -j ACCEPT #Porta de http
    iptables -A FORWARD -p tcp --dport 3128 -j ACCEPT #Porta Squid
    #Vamos declarar as portas que serão aceitas para entrada
    iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A INPUT -s 127.0.0.1/24 -j ACCEPT
    iptables -A INPUT -p tcp --dport 21 -j ACCEPT #Porta de FTP
    iptables -A INPUT -p tcp --dport 80 -j ACCEPT #Porta de http
    iptables -A INPUT -p tcp --dport 3128 -j ACCEPT #Porta Squid

    Isso deve resolver.... <IMG SRC="images/forum/icons/icon_wink.gif">
    Citação Citação
  3. 23-01-2003, 14:45 #3
    Itise
    Itise está desconectado
    Avatar de Itise
    Ingresso
    Jan 2003
    Posts
    208

    Padrão Help

    Futuremax,

    Valeu pela ajuda. Mas tenho duvidas :

    1) Quando deixo output por padrão accept,não estou correndo risco de ataques ou so vai liberar o acesso da maquinas interna para fora ? E seu eu deixar input accept ai estarei abrindo externamente para acesso a minha rede interna ?Por favor vc consegue me explicar com isto funciona ?

    2) O que faz iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT?

    Grato mais uma vez pela sua colaboração,espero poder retribuir

    Abraços
    Citação Citação
  4. 23-01-2003, 15:10 #4
    Futuremax
    Visitante

    Padrão Help

    É o seguinte:

    1-/Output quer dizer que os pacotes internos podem sair livremente;
    2-/ESTABLISHED = Estabilizado | RELATED = Relacionado; Ou seja todas as conexões que estiverem relacionads e estabilizadas são mantidas e aceitas, desde que as portas estejam liberadas, por exemplo o Squid estabelece uma conexão com a porta 80 se não tiver essa regra ninguém acessa..

    Ok?? <IMG SRC="images/forum/icons/icon_wink.gif">
    Citação Citação



« Tópico Anterior | Próximo Tópico »