Re: Iptables + Squid
Harlei Liguori escreveu:
Bem amigos, pelo que percebi a porta 53 UDP e TCP são as usadas para
pesquisas DNS.
Sim, são utilizados UDP e TCP mas se você não incluir o TCP
provavelmente notará um ou outro erro em um período de meses, o TCP só é
utilizado em pesquisas quando a resposta recebida não couber em um único
datagrama UDP e isso não é muito comum de acontecer.
OK... porém, ainda não entendi qual o tipo de liberação que devo
fazer, se é INPUT, OUTPUT, FORWARD, ou oque, será que alguém poderia
me ajudar com relação a isso?
Na tabela filter:
INPUT: Processa pacotes com destino à máquina onde o iptables está.
OUTPUT: Processa pacotes com origem na máquina onde o iptables está.
FORWARD: Processa pacotes roteados, com origem/destino que NÃO é a
máquina onde o iptables está.
Você precisa liberar a comunicação da máquina onde o iptables está com o
seus servidores de DNS (ida e volta obviamente), os clientes não fazem
consultas aos servidores de DNS quando estão utilizando um proxy, eles
simplesmente requisitam um endereço e o proxy que resolve isso.
Quero deixar uma regra que libere a navegação http e downloads por
essa navegação e bloquear todo o resto, entendem?
Tentei usar a segunte regra:
iptables -A INPUT -s 'rede_interna' -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -j DROP
iptables -A INPUT -j DROP
Pessoalmente não gosto de colocar regras prontas, principalmente vendo
que quem ler vai simplesmente copiar e não vai entender para quê servem.
Inclusive não há como fazer isso sem saber como sua rede foi conectada.
e assim, pelo que parece o proxy não consegue fazer pesquisas DNS.
Pelo que vi, preciso trabalhar a porta 53 TCP e UDP para isso.
Sim e aparentemente a resposta já está no seu próprio e-mail (ver abaixo).
Eu precisaria liberar mais alguma coisa para que a navegação esteja limpa?
Não sei o que significa "navegação esteja limpa", mas mesmo assim não há
como alguém sugerir um firewall pronto sem ter noção de como está a
disposição de seus servidores e o resto da rede, e quais os serviços que
se deseja que sejam liberados e onde eles estão.
agradeço e muito a ajuda de todos
att
Harlei Liguori Marcelino
(...)
----- Mensagem original ----
De: Marcelo Castilho Manzano <manzano.marcelo@gmail.com <mailto:manzano.marcelo@gmail.com>>
Para: Julio Gimenes <j.gimenes@yahoo.com.br <mailto:j.gimenes@yahoo.com.br>>
Cc: debian-user-portuguese@lists.debian.org <mailto:debian-user-portuguese@lists.debian.org>
Enviadas: Quinta-feira, 2 de Agosto de 2007 16:48:28
Assunto: Re: Iptables + Squid
Lembre-se que o squid faz bloqueios/liberações somente a nível de protocolo "http".
Requisições e respostas dos servidores DNS deveram ser tratadas no firewall "iptables" se baseando no protocolo UDP porta 53....
um exemplo de como tratar a regra de DNS é:
tratando a saída das requisições do teu firewall com destino ao servidor DNS:
iptables -A OUTPUT -p udp -s 192.168.0.0/24 <http://192.168.0.0/24> --sport 1025:65535 -j ACCEPT
tratando a entrada das respostas do servidor DNS com destino ao teu firewall:
iptables -A INPUT -p udp -s 0/0 --sport 53 -d 192.168.0.0/24 <http://192.168.0.0/24> --sport 53 -d
192.168.0.0/24 <http://192.168.0.0/24> --dport 1025:65535 -j ACCEPT
o 192.168.0.0/24 <http://192.168.0.0/24> é a tua rede local
0/0 é qualquer ip.
Você utilizará essa regra se suas políticas padrões de INPUT e OUTPUT estiverem DROP..
abraços
Marcelo Manzano
(...)
Acima está um exemplo de como liberar a conecção com servidores de DNS.
Obs.:
Portas não privilegiadas ficam no intervalo 1024:65535.
E também não vejo razão para colocar um endereço de rede nas cadeias
INPUT e OUTPUT, deveria ser o IP da interface por onde serão
recebidos/enviados os pacotes.
Você pode duplicar as regras e trocar udp por tcp para liberar os dois
protocolos.
Atenciosamente.
Edmundo Valle Neto
Reply to: