Opa Alexandre, Primeiramente obrigado a todos O Tobias me encaminhou este link e é exatamente o mesmo caso porém não é um site de banco http://www.vivaolinux.com.br/topico/Squid-Iptables/Como-lidar-com-sites-de-bancos-OU-Permitir-determinados-sites-de-sairem-pela-porta-80/ Meu squid esta na versão 3.1.6 que é a versão do debian squeeze e segue o squid.conf http_port 192.168.1.1:3128 error_directory /usr/share/squid3/errors/Portuguese httpd_suppress_version_string on cache_mem 512 MB maximum_object_size_in_memory 64 KB maximum_object_size 800 MB minimum_object_size 10 KB cache_swap_low 90 cache_swap_high 95 cache_dir ufs /var/spool/squid3 2048 32 512 cache_access_log /var/log/squid3/access.log refresh_pattern ^ftp: 5 20% 2280 refresh_pattern ^gopher: 5 0% 2280 refresh_pattern . 5 20% 2280 acl manager proto cache_object acl localhost src 127.0.0.1/32 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregister ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl purge method PURGE acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access allow purge localhost http_access deny purge http_access deny !Safe_ports http_access deny CONNECT !SSL_ports auth_param basic realm SQUID auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/.squid_passwd auth_param basic children 5 acl palavras_comuns url_regex -i "/etc/squid3/palavras_comuns" acl diretoria proxy_auth usuario acl autenticados proxy_auth REQUIRED http_access allow diretoria http_access deny palavras_comuns http_access allow autenticados acl redelocal src 192.168.1.0/24 http_access allow localhost http_access deny to_localhost http_access allow redelocal http_access deny all Meu firewall: IPTABLES=`which iptables` EXT=eth1 EXT2=eth2 INT=eth0 REDE=192.168.1.0/24 #----CARREGA OS MODULOS DO IPTABLES---- modprobe ip_tables modprobe iptable_nat #----LIMPA AS TABELAS JA EXISTENTES---- $IPTABLES -F $IPTABLES -X $IPTABLES -t nat -F $IPTABLES -t filter -F $IPTABLES -t mangle -F $IPTABLES -X -t nat #----PROTEGE CONTRA SYN-FLOOD------ echo 1 > /proc/sys/net/ipv4/tcp_syncookies #----CONTRA TRACEROUTE----- echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route #----PROTEGE CONTRA RESPONSES BOGUS----- echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses #----NAO RESPONDE A PING------ #echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #----DESATIVA O PING BROADCAST----- echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts #----IMPEDE ALTERACAO DE ROTAS---- echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects #----DESCARTA PACOTES MAL FORMADOS---- $IPTABLES -A INPUT -m state --state INVALID -j DROP #-----BLOQUEANDO TRACEROUTE------ $IPTABLES -A INPUT -p udp -s 0/0 -i $EXT --dport 33435:33525 -j DROP # Habilitar verificacao de rota de origem (Protecao p/ IP Spoofing) for RP in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $RP ; done #----SETA A POLITICA PADRAO DO FIREWALL---- $IPTABLES -P INPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -P OUTPUT ACCEPT $IPTABLES -I FORWARD -p tcp -s 192.168.1.0/24 -i $INT --dport 80 -j DROP #$IPTABLES -A INPUT -j LOG #----LIBERA A PORTA 7022 E LOGA OS ACESSOS NELA---- $IPTABLES -A INPUT -p tcp --dport 22 -j LOG --log-prefix "FIREWALL SSH " $IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT #----LIBERA A PORTA 80 APENAS PARA A REDE INTERNA E LOGA OS ACESSOS NELA---- $IPTABLES -A INPUT -p tcp --dport 80 -j LOG --log-prefix "APACHE " $IPTABLES -A INPUT -p tcp -s $REDE --dport 80 -j ACCEPT #----LIBERA A PORTA 2564 E LOGA OS ACESSOS NELA---- $IPTABLES -A INPUT -p udp --dport 1194 -j LOG --log-prefix "OPENVPN " $IPTABLES -A INPUT -p udp --dport 1194 -j ACCEPT $IPTABLES -t nat -s $REDE -A POSTROUTING -o $EXT -j MASQUERADE $IPTABLES -t nat -s 10.0.0.0/24 -A POSTROUTING -o $INT -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward #----LIMITA O PING PARA UMA RESPOSTA POR SEGUNDO---- $IPTABLES -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT #----PERMITE PACOTES DE CONEXOES JA INICIADAS----- $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT #----LOGA OS PACOTES MORTOS POR INATIVIDADE---- $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG #----PROTECAO CONTRA ATAQUES DO TIPO SYN-FLOOD,DOS,ETC---- $IPTABLES -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT #----PROTECAO CONTRA PACOTES QUE PODEM PROCURAR E OBTER INFORMACOES DA REDE INTERNA--- $IPTABLES -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP #----PRECAUCAO CONTRA FALHAS NO NAT---- $IPTABLES -A OUTPUT -m state -p icmp --state INVALID -j DROP $IPTABLES -A INPUT -p udp -s 208.67.222.222 -j ACCEPT $IPTABLES -A FORWARD -p udp -d 208.67.222.222 -j ACCEPT $IPTABLES -A INPUT -p udp -s 208.67.220.220 -j ACCEPT $IPTABLES -A FORWARD -p udp -d 208.67.220.220 -j ACCEPT $IPTABLES -A FORWARD -p udp --dport 53 -j ACCEPT #$IPTABLES -A FORWARD -p tcp --dport 53 -j ACCEPT #---LIBERA A PORTA NTP--- $IPTABLES -A FORWARD -p udp --dport 123 -j ACCEPT #----ABRE PARA A REDE LOCAL #$IPTABLES -A INPUT -p tcp --syn -s $REDE -j ACCEPT #---LIBERA PARA A REDE INTERNA---- $IPTABLES -A INPUT -s $REDE -j ACCEPT $IPTABLES -A FORWARD -s $REDE -j ACCEPT $IPTABLES -A FORWARD -d $REDE -j ACCEPT #---LIBERA O LOCALHOST---- $IPTABLES -A INPUT -s 127.0.0.1/255.0.0.0 -j ACCEPT #----FECHA O RESTO DA REDE---- $IPTABLES -A INPUT -p tcp -j DROP O problema é que as requisições chegam na porta 3128 e nao na 80 então no firewall nao consegui fazer isso Quando eu tento acessar o site ele me retorna ou TCP/000 ou TCP/304 Obrigado Patrick Em 04-06-2013 08:30, Alexandre Borges
Souza escreveu:
|