Proxy, IPTables e IPS por fora

1. Proxy, IPTables e IPS por fora

DouglasDuZZ
(usa Deepin)

Enviado em 09/08/2016 - 11:06h

Bom dia, tenho um proxy configurado e funcionando e um firewall que me atende "bem" até o momento, mas estou com dificuldades de fazer com que alguns ips passem por fora do proxy.
Segue meu script de firewall:

IFWAN1="eth0" #INTERNET

IFLAN1="eth2" #REDE LOCAL

IFLAN2="eth1" #ANTENA

REDE="192.168.1.0/24"



#ACEITA CONEXOES JA ESTABELECIDAS

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



#LIBERA ICMP

iptables -A INPUT -p icmp -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT



#LIBERA FLUXO INTERNO

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -o lo -j ACCEPT



#LIBERA SSH PRA REDE LOCAL

iptables -A INPUT -s $REDE -p tcp --dport 22 -j ACCEPT



#LIBERA ACESSO APACHE

iptables -A INPUT -s $REDE -p tcp --dport 80 -j ACCEPT



#LIBERA SQUID

iptables -A INPUT -s $REDE -p tcp --dport 3128 -j ACCEPT



#LIBERA CONSULTA AO DNS

iptables -A INPUT -s $REDE -p udp --dport 53 -j 



#LIBERA IPERF

iptables -A INPUT -s $REDE -p tcp --dport 5001 -j 

iptables -A INPUT -s $REDE -p udp --dport 5001 -j ACCEPT



#LIBERA PORTAS ALTAS

iptables -A FORWARD -i $IFLAN1 -o $IFWAN1 -s $REDE -p tcp --dport 1024:65535 -j ACCEPT



#LIBERA TEAMVIEWER

iptables -A FORWARD -s $REDE -o $IFWAN1 -p tcp --dport 5938 -j ACCEPT

iptables -A FORWARD -m string --algo bm --string "teamviewer" -j ACCEPT

iptables -A INPUT -m string --algo bm --string "teamviewer" -j ACCEPT



#IPS SEM PROXY

for IP in $(cat /etc/squid3/ips_fora_proxy); do

iptables -t nat -I PREROUTING -s $IP -p tcp --dport 80 -j ACCEPT

done



#FAZ MASQUERADE DE CONEXOES

iptables -t nat -A POSTROUTING -o $IFWAN1 -j MASQUERADE

0 0

Quote

2. Re: Proxy, IPTables e IPS por fora

ericktorres
(usa )

Enviado em 09/08/2016 - 12:00h

DouglasDuZZ escreveu:

Bom dia, tenho um proxy configurado e funcionando e um firewall que me atende "bem" até o momento, mas estou com dificuldades de fazer com que alguns ips passem por fora do proxy.
Segue meu script de firewall:

IFWAN1="eth0" #INTERNET

IFLAN1="eth2" #REDE LOCAL

IFLAN2="eth1" #ANTENA

REDE="192.168.1.0/24"



#ACEITA CONEXOES JA ESTABELECIDAS

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT



#LIBERA ICMP

iptables -A INPUT -p icmp -j ACCEPT

iptables -A FORWARD -p icmp -j ACCEPT



#LIBERA FLUXO INTERNO

iptables -A INPUT -i lo -j ACCEPT

iptables -A FORWARD -o lo -j ACCEPT



#LIBERA SSH PRA REDE LOCAL

iptables -A INPUT -s $REDE -p tcp --dport 22 -j ACCEPT



#LIBERA ACESSO APACHE

iptables -A INPUT -s $REDE -p tcp --dport 80 -j ACCEPT



#LIBERA SQUID

iptables -A INPUT -s $REDE -p tcp --dport 3128 -j ACCEPT



#LIBERA CONSULTA AO DNS

iptables -A INPUT -s $REDE -p udp --dport 53 -j 



#LIBERA IPERF

iptables -A INPUT -s $REDE -p tcp --dport 5001 -j 

iptables -A INPUT -s $REDE -p udp --dport 5001 -j ACCEPT



#LIBERA PORTAS ALTAS

iptables -A FORWARD -i $IFLAN1 -o $IFWAN1 -s $REDE -p tcp --dport 1024:65535 -j ACCEPT



#LIBERA TEAMVIEWER

iptables -A FORWARD -s $REDE -o $IFWAN1 -p tcp --dport 5938 -j ACCEPT

iptables -A FORWARD -m string --algo bm --string "teamviewer" -j ACCEPT

iptables -A INPUT -m string --algo bm --string "teamviewer" -j ACCEPT



#IPS SEM PROXY

for IP in $(cat /etc/squid3/ips_fora_proxy); do

iptables -t nat -I PREROUTING -s $IP -p tcp --dport 80 -j ACCEPT

done



#FAZ MASQUERADE DE CONEXOES

iptables -t nat -A POSTROUTING -o $IFWAN1 -j MASQUERADE

Desvio de Proxy

iptables -t nat -A PREROUTING -s 192.168.1.XXX -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.1.XXX -j RETURN
iptables -A FORWARD -s 192.168.1.XXX -j ACCEPT

Troque pelas suas configurações.

0 0

Quote