Olá, sou novo na comunidade e gostaria de uma ajuda:

Tenho um servidor debian rodando com squid e iptables. Todas a rede e internet estão funcionando perfeitamente com as devidas restrições. Porém, utilizando a conexão pelo proxy, não consigo acessar um banco de dados mysql que está hospedado em um servidor web. Estou utilizando mysql administrator colocando ip 74.53.x.x porta 3306, usuario root e a senha correta.
Existe alguma regra que posso colocar no iptables ou acl no squid que permita acesso ao servidor web na porta em questão?

ps. fiz um teste conectando com velox/vivo/tim fora do proxy e o acesso está normal.

Desde já agradeço!

Boa tarde.

Insira a regra abaixo no seu Firewall.

iptables -A FORWARD -s ORIGEM -d DESTINO -p tcp --dport 3306 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -d ORIGEM -s DESTINO -p tcp --sport 3306 -m state --state ,ESTABLISHED,RELATED -j ACCEPT


Abraço e fique com DEUS!!!

Minha rede está configurada assim:
eth0 - internet com ip válido
eth1 - rede interna 192.168.1.0 com range até 192.168.1.255 no caso da regra acima ORIGEM=192.168.1.0/24 e destino é o IP do servidor web onde está meu banco de dados?

Nanatinho, blz? Cara não funcionou com essas regras. Mas quando conecto em outra net fora do proxy rola na boa.
O que mais você acha que pode ser?
Vlw

Na tabela NAT já existe o nat para a rede?

Pois a regra é aquela mesmo.

Acredito que esteja faltando o NAT


Poste o restultado do comando abaixo:

iptables -L -nv -t nat


Outra coisa é verificar se o encaminhamento de está ativo. Para verificar digite:
cat /proc/sys/net/ipv4/ip_forward

Se o resultado for "1" está ativado.

Se não for coloque no teu script do firewall:
echo "1" > /proc/sys/net/ipv4/ip_forward



Abraço e fique com DEUS!!!

cara, tenta se com essa regra vai

iptables -A FORWARD -s ip de origem -p protocolo --dport -j ACCEPT
iptables -A FORWARD -s íp de origem -p protocolo --sport -j ACCEPT

Resultado do comando iptables -L -nv -t nat

Chain PREROUTING (policy ACCEPT 75567 packets, 4794K bytes)
pkts bytes target prot opt in out source destination
2297 133K REDIRECT tcp -- eth1 * 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT 4447K packets, 267M bytes)
pkts bytes target prot opt in out source destination
462 117K MASQUERADE all -- * eth1 192.168.1.0/24 0.0.0.0/0

Chain OUTPUT (policy ACCEPT 4443K packets, 267M bytes)
pkts bytes target prot opt in out source destination

Chain POSTROUTING (policy ACCEPT 4447K packets, 267M bytes)
pkts bytes target prot opt in out source destination
462 117K MASQUERADE all -- * eth1 192.168.1.0/24 0.0.0.0/0

Minha rede está configurada assim:
eth0 - internet com ip válido
eth1 - rede interna 192.168.1.0 com range até 192.168.1.255 no caso da regra acima ORIGEM=192.168.1.0/24 e destino é o IP do servidor web onde está meu banco de dados?


Bom, de acordo com Suas informações, este MASQUERADE está informando a interface errada, onde a eth1 deve ser substituído pela eth0, que é a interface de saída para a Internet.


Abraço e fique com DEUS!!!

Para facilitar meu próprio entendimento, eu sempre utilizo assim as regras de NAT:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.0/24 -j SNAT --to 200.200.200.200

onde:

-o -> Interface de saída, neste caso Internet
-s -> Origem
200.200.200.200 -> Deve ser substitúido pelo IP da sua interface ligada à Internet.


Abraço e fique com DEUS!!!