Re: Squid i Iptables

To: Ramon Cuñé <ramoncunye@gmail.com>
Cc: debian-user-catalan@lists.debian.org
Subject: Re: Squid i Iptables
From: "Ferran Pegueroles" <ferran@pegueroles.cat>
Date: Thu, 17 May 2007 12:07:41 +0200 (CEST)
Message-id: <[🔎] 56980.194.224.15.34.1179396461.squirrel@mail.pegueroles.com>
In-reply-to: <3cfec61c0705170243x60f80ec3k2b50919e6229e288@mail.gmail.com>
References: <[🔎] 3cfec61c0705170112p5e7bcbdeo331d00dd37f2af0f@mail.gmail.com> <[🔎] 464C13C0.5040202@etsetb.upc.edu> <[🔎] 57500.194.224.15.34.1179393349.squirrel@mail.pegueroles.com> <3cfec61c0705170243x60f80ec3k2b50919e6229e288@mail.gmail.com>

Hola,

Si es un proxy, la opcio

 # Activo el forwarding
 echo "1" > /proc/sys/net/ipv4/ip_forward

no cal, a mes a mes no te efecte perque amb

 iptables -P FORWARD DROP

fas que no hi hagui forward de res.

Jo no se com fer amb iptables que nomes es deixi sortir els paquets
generats per un programa. Normalment es molt dificil perque les conexions
sortints poden agafar qualsevol port i poden anar a qualsevol lloc.

a mes a mes no se si es gaire biona idea, aixo t'impedira establir
qualsevol conexio des del servidor amb el mon exterior i per execmple no
podras actualitzar-lo etc..

Una cosa que pots fer es deixar sortir nomes alguns protocols :

iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
Per a consultes DNS

iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Per a trafic HTTP i HTTPS

iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
Per a trafic FTP

Aixo es una solucio pero no et permetra accedir a altres coses ni
impredeix que altres programes accedeix a internet.



> Ara tinc el codi així:
>
> #!/bin/bash
>
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> # Política per defecte
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> # Deixo que funcioni el localhost
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> # Activo el forwarding
> echo "1" > /proc/sys/net/ipv4/ip_forward
>
> # Accepto les connexions que ja estant funcionat
> iptables -A INPUT -mstate --state ESTABLISHED,RELATED -j ACCEPT
>
> # Obro el port 8080 que és el del proxy
> iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
>
>
> I així el proxy no em funciona.
>
> En canvi posant la linia:
> iptables -P OUTPUT ACCEPT
> El proxy ja funciona, però m'agradaria saber com puc fer per que sols
> passin els paquests de sortida que venen del proxy i no tots com ara.
>
> Salut!
>
>
>
>
>
>
>
>
>
>
> 2007/5/17, Ferran Pegueroles <ferran@pegueroles.cat>:
>>
>> Si vols rebre alguna resposta del servidor tambe hauries de obrir la
>> sortida
>>
>> Normalment
>>
>> iptables -P OUTPUT ACCEPT
>>
>> no ha de ser un forat de seguretat, sino des del teu servidor no podras
>> accedir a cap lloc.
>>
>> > -----BEGIN PGP SIGNED MESSAGE-----
>> > Hash: SHA1
>> >
>> > En/na Ramon Cuñé ha escrit:
>> >> Tinc un servidor amb un Debian Sarge i proxy squid funcionant
>> >> perfectament. Ara volia afegir regles iptables al servidor, perque
>> >> sols és pogues accedir a aquest servei que dono pel port 8080. He fet
>> >> el següent:
>> >>
>> >> he creat un fitxer a /etc/network/if.up.d/cfg_iptables amb el següent
>> >> contingut:
>> >>
>> >> #Flush de les regles
>> >> iptables -F
>> >> iptables -X
>> >> iptables -Z
>> >> iptables -t nat -F
>> >>
>> >> # Política per defecte
>> >> iptables -P INPUT DROP
>> >> iptables -P OUTPUT DROP
>> >> iptables -P FORWARD DROP
>> >>
>> >> #Obro el port del squid
>> >> iptables -A INPUT -p tcp --dport 8080 -j ACCEPT
>> >>
>> >>
>> >> I quan llanço aquest script ja no puc accedir al proxy,  que tinc
>> >> malament? Vaig ben encarat?
>> >
>> > ni al proxy ni a res, et falta com a mínim:
>> > iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
>> >
>> > potser també t'anirà bé tenir:
>> > - -A INPUT -i lo -j ACCEPT
>> >
>> > i si afegeixes aquesta linia veuràs els accessos rebutjats
>> > al /var/log/messages:
>> >
>> > - -A INPUT -j LOG
>> > -----BEGIN PGP SIGNATURE-----
>> > Version: GnuPG v1.4.6 (GNU/Linux)
>> > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>> >
>> > iD8DBQFGTBO9VfvsWQAffzIRAs8NAJ43OivLz+fAcGF77ntSjdvHKmzuXgCeIjbj
>> > g5LM3PjNe/V+yDd2LlWawis=
>> > =vun8
>> > -----END PGP SIGNATURE-----
>> >
>> >
>> > --
>> > To UNSUBSCRIBE, email to debian-user-catalan-REQUEST@lists.debian.org
>> > with a subject of "unsubscribe". Trouble? Contact
>> > listmaster@lists.debian.org
>> >
>> >
>>
>>
>> --
>> Salutacions / Regards
>> --------------------------------------------------------
>>  Ferran Pegueroles Forcadell
>>  mailto:ferran@pegueroles.cat
>>  http://www.pegueroles.cat
>>  Tels (+34)937252106 - (+34)667658535
>>
>>
>>
>


-- 
Salutacions / Regards
--------------------------------------------------------
 Ferran Pegueroles Forcadell
 mailto:ferran@pegueroles.cat
 http://www.pegueroles.cat
 Tels (+34)937252106 - (+34)667658535

Reply to:

References:
- Squid i Iptables
  - From: "Ramon Cuñé" <ramoncunye@gmail.com>
- Re: Squid i Iptables
  - From: Francesc Guasch <frankie@etsetb.upc.edu>
- Re: Squid i Iptables
  - From: "Ferran Pegueroles" <ferran@pegueroles.cat>

Prev by Date: Re: Squid i Iptables
Next by Date: Re: Squid i Iptables
Previous by thread: Re: Squid i Iptables
Next by thread: Re: Squid i Iptables
Index(es):
- Date
- Thread