Configurando Squid/IpTables

1. Configurando Squid/IpTables

delphixer
(usa Fedora)

Enviado em 24/06/2008 - 13:43h

Alguém pode olhar os meus scripts squid e iptables para verificar se tem alguma falha escabrosa que eu deixei passar como sou iniciante nisso é a primeira vez que monto um servidor de internet

squid.conf:

#INICIANDO CONFIGURACAO DO SQUID
http_port 3128 transparent
visible_hostname Firewall

###########################################################################

#INICIANDO CONFIGURACAO DO CACHE
cache_mem 128 MB
maximum_object_size_in_memory 256 KB
maximum_object_size 500 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid/cache 2048 16 256

###############################################################################

#CONFIGURANDO IDIOMA PARA MENSAGENS DE ERRO
error_directory /usr/share/squid/errors/Portuguese

###############################################################################

#CONFIGURANDO DIRETORIO PARA ARQUIVO DE LOG
cache_access_log /var/spool/squid/log/access.log

###############################################################################

#echo CONFIGURANDO ATUALIZACAO DO CACHE
#refresh_pattern ^ftp: 15 20% 2280
#refresh_pattern ^gopher: 15 20% 2280
#refresh_pattern . 15 20% 22820

###############################################################################

#IP's da rede local liberado tudo
#acl ip_liberado src "/etc/squid/ip_liberado"
#http_access allow ip_liberado

# Regras de Acesso Restrito
#acl site_restrito dstdomain "/etc/squid/site_restrito"
#acl ip_restrito src "/etc/squid/ip_restrito"
#http_access deny ip_restrito !site_restrito

#IP's da rede local bloqueados
#acl ip_negado src "/etc/squid/ip_negado
#http_access deny ip_negado

# Regras de bloqueio de site por palavras
#acl palavra dstdom_regex "/etc/squid/palavras_negadas"
#http_access deny palavra

# Regras de bloqueio de site por url
#acl site url_regex -i "/etc/squid/sites_negados"
#http_access deny site

#Bloqueio por download de arquivo
#acl videos url_regex -i .avi$ .wmv$ .mpg$ .rmvb$ mpeg$ .mpe$ .mov$ .asf$ .flv$
#http_access deny videos

#acl audio url_regex -i .mp3$ .wav$
#http_access deny audio

#CRIANDO REGRAS ACL
acl all src 192.168.0.0/255.255.255.0
http_access allow all
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
http_access allow localhost
acl SSL_ports port 443 563 # Portas com acesso de segurança
acl Safe_ports port 80 #http
acl Safe_ports port 25 #smtp
acl Safe_ports port 110 #pop
acl Safe_ports port 143 #imap
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, news
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1433 #MS-SQL SERVER
acl purge method PURGE
acl CONNECT method CONNECT

#APLICANDO REGRAS
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

###############################################################################

#CONTROLAR USO DE BANDA INTERNO
#delay_pools 1
#delay_class 1 2
#delay_parameters 1 114688/114688 16384/16384 #com a conexao de 1024 kbps
#delay_access 1 allow redelocal

###############################################################################

#BLOQUEANDO ACESSOS EXTERNOS
http_access deny !all

#FIM DA CONFIGURACAO DO SQUID

script iptables:

#CARREGANDO MODULOS DE FIREWALL
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_state
/sbin/modprobe ipt_MASQUERADE

###########################################################################

#DESABILITANDO GATEWAY

echo 0 > /proc/sys/net/ipv4/ip_forward

###########################################################################

#RESETANDO REGRAS DE FIREWALL
iptables -F
iptables -Z
iptables -X
iptables -t nat -F

###########################################################################

#REGRAS DE ENTRADA, SAIDA E ENCAMINHAMENTO
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

###########################################################################

#IGNORANDO BROADCAST
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

###########################################################################

#SOLICITACOES DAS PLACAS DE REDE INTERNAS
iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 192.168.0.100 -i lo -j ACCEPT
iptables -A INPUT -p ALL -s 201.XX.XX.XX -i lo -j ACCEPT

###########################################################################

#SOLICITACOES DE ENTRADA E SAIDA DA REDE LOCAL
iptables -A INPUT -p ALL -s 192.168.0.0/24 -i eth1 -j ACCEPT

###########################################################################

#MANTER COMUNICACOES ESTABELECIDAS
iptables -A INPUT -m state –state RELATED,ESTABLISHED -j ACCEPT

###########################################################################

#BLOQUEIO DE SPOOFING PELA PLACA DE INTERNET
iptables -A INPUT -i eth0 -s 0.0.0.0/0.0.0.0 -j DROP

###########################################################################

#APLICANDO REGRAS ICMP
iptables -A INPUT -p icmp –icmp-type 8 -j ACCEPT
iptables -A INPUT -p icmp –icmp-type 0 -j ACCEPT

###########################################################################

#LIBERANDO A PORTA DO SQUID PARA REDE LOCAL
iptables -A INPUT -p TCP -i eth1 –dport 3128 -j ACCEPT

###########################################################################

#HABILITANDO SSH E WEBMIN PARA REDE LOCAL
iptables -A INPUT -p TCP -i eth1 -s 192.168.0.0/24 –dport 22 -j ACCEPT
iptables -A INPUT -p TCP -i eth1 –dport 10000 -j ACCEPT

###########################################################################

#REJEITAR ACESSO A PORTA DE 3128 DE PACOTES RESETADOS
iptables -A INPUT -p TCP –dport 3128 -j REJECT –reject-with tcp-reset

###########################################################################

#IGNORANDO LOG DE BROADCAST
iptables -A INPUT -d 192.168.0.255 -j DROP

###########################################################################

#APLICANDO REGRAS PADRAO FORWARD
iptables -A FORWARD -p tcp –dport 443 -j ACCEPT
iptables -A FORWARD -p icmp –icmp-type 8 -j ACCEPT
iptables -A FORWARD -p icmp –icmp-type 0 -j ACCEPT
iptables -A FORWARD -m state –state INVALID -j DROP
iptables -A FORWARD -m state –state RELATED,ESTABLISHED -j ACCEPT

###########################################################################

#ACEITANDO SOLICITACOES DO DNS DE INTERNET
iptables -A FORWARD -p udp -d 200.XX.XX.XX –dport 53 -j ACCEPT
iptables -A FORWARD -p udp -d 200.XX.XX.XX –dport 53 -j ACCEPT

###########################################################################

#ACEITANDO SOLICITACOES POP e SMTP
iptables -A FORWARD -p tcp -m tcp –dport 25 -d 200.XX.XX.XX -j ACCEPT
iptables -A FORWARD -p tcp -m tcp –dport 25 -d 200.XX.XX.XX -j ACCEPT
iptables -A FORWARD -p tcp -m tcp –dport 110 -d 200.XX.XX.XX -j ACCEPT
iptables -A FORWARD -p tcp -m tcp –dport 110 -d 200.XX.XX.XX -j ACCEPT

###########################################################################

#HABILITANDO PROXY
iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT –to-port 3128

###########################################################################

#CRIANDO UM SOURCE NAT DA REDE LOCAL
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT –to 201.XX.XX.XX

###########################################################################

#HABILITANDO GATEWAY
echo 1 > /proc/sys/net/ipv4/ip_forward

###########################################################################

#SALVANDO REGRAS DE FIREWALL
iptables-save

#SAIR
exit 0

0 0

Quote