[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: duvida iptables

Provelmente pq no seu script vc aceitra o trafego na porta 80 antes de redirecionalo para a 3128 (squid) tenta ai e ve se da certo! passa ela antes

Em 03/08/07, Carlos Augusto Beltrame <zebacking@yahoo.com.br> escreveu:
ola pessoal, estou com uma duvida, quero implantar aqui proxy transparente, usamos akela linha no iptables que redireciona td da porta 80 para a porta 3128, porem travou o apache, mesmo separando as regras (conforme mostrado abaixo ainda trava e a proxy nao funciona e nem o apache, vejam e opinem:
(situacao, servidor com duas placas de rede, uma rede interna eth1 e sai pela eth0)

# Definindo a regra de policiamento como "Negar tudo"
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Libera loopback e redireciona trafego
iptables -A INPUT -i lo -j ACCEPT
iptables -t nat -A POSTROUTING -m iprange --src-range 192.168.0.1-192.168.0.61 -o eth0 -j SNAT --to XXX.XXX.XXX.XXX
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

# LINHA COM PROBLEMA !!!!!!!!!!!!!!!!!!!!!!!!!!!!!
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j ACCEPT
iptables -A FORWARD -d 200.yyy.yyy.yyy -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A INPUT -p tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 1067 -j ACCEPT
iptables -A INPUT -p tcp --dport 3306 -j ACCEPT
iptables -A INPUT -p tcp --dport 4081:4099 -j ACCEPT
iptables -A INPUT -p tcp --dport 27000 -j ACCEPT
iptables -A INPUT -p tcp --dport 10000 -j ACCEPT

iptables -A INPUT -p tcp --dport 3128 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p udp --dport 137 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p udp --dport 138 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 139 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 27000 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 1067 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -m iprange --src-range 192.168.0.1-192.168.0.61 -j ACCEPT     # SSH
iptables -A INPUT -p tcp --dport 80 -m iprange --src-range 192.168.0.1-192.168.0.61 -j DROP


este firewall esta confuso??? errado?? como eu queria q o trafego na porta 80 fosse totalmente blokeado, apenas passasse pela proxy, a porta 80 foi blokeada na rede interna e liberada para o resto. enfim, deem uma luz para implantar a proxy transparente. 
*=================================
 .''`.   Yours Trully
: :'  :  Carlos Beltrame

`. `'`   Eletrical Engineer
  `-     IEEE #80472763
Linux User #442225
UNESP - Câmpus de Ilha Solteira

http://www.ieee.org/unesp-ilha
http://www.ldc.feis.unesp.br
*=================================


Flickr agora em português. Você cria, todo mundo vê. Saiba mais.



--
Lucas Paz
Reply to: