Dúvidas de como liberar acesso total para um IP na rede com squid/ iptables

1. Dúvidas de como liberar acesso total para um IP na rede com squid/ iptables

z3pp3lin
(usa Debian)

Enviado em 07/10/2016 - 16:59h

Olá!
Precisava deixar um PC (IP) na minha rede local com acesso livre total (sem bloqueio de nada). Com acesso livre a sites, todas as portas, etc. Já verifiquei tutoriais e dicas pela net e principalmente aqui no fórum, mas não deu certo. Uso proxy não transparente. Por favor, alguém poderia dar alguma orientação?!

OBS: Existe a possibilidade de fazer um IP interno não passar pelo proxy e nem pelo firewall da rede?

OBS2: aqui esta o post de como está configurado o IPTABLES da rede:

----------------------------------------------------IPTABLES-------------------------------------------------------
/etc/init.d/firewall
#!/bin/bash
#
echo "firewall-inicialização"
echo "setando variaveis"

ipt=/sbin/iptables
if_int=eth1
if_ext=eth0
rede_int=10.50.52.0/255.255.252.0
io=localhost

echo "carregando módulos"

/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_tables
#--------------------------------
echo "limpando regras"

$ipt -t nat -F
$ipt -t nat -X
$ipt -t nat -Z
$ipt -F
$ipt -X
$ipt -Z
#---------------------------------
#compartilhamento de conexão
#echo 1 > /proc/sys/net/ipv4/ip_forward

echo "Aplicando política padrão"

$ipt -P INPUT DROP
$ipt -P FORWARD DROP
#-------------------------------------------
echo "liberando localhost"

$ipt -A INPUT -s $io -j ACCEPT
$ipt -A FORWARD -s $io -j ACCEPT
#---------------------------------------------
echo "liberando FORWARD para rede interna"

$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -s $rede_int -j ACCEPT
$ipt -A FORWARD -p icmp -j ACCEPT
$ipt -A FORWARD -s 172.16.0.0 -p tcp -m tcp -j ACCEPT
$ipt -A FORWARD -s 172.16.0.0 -p udp -m tcp -j ACCEPT
$ipt -A FORWARD -p tcp -m tcp --dport 3389 -j ACCEPT
#-----------------------------------------------------------------
echo "liberando INPUT"

$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -p tcp -m --dport 5000 -j ACCEPT
$ipt -A INPUT -p tcp -m --dport 3000 -j ACCEPT
$ipt -A INPUT -p tcp -m --dport 25 -j ACCEPT
$ipt -A INPUT -S 10.50.52.0/255.255.252.0 -p tcp -m tcp --dport 53 -j ACCEPT
$ipt -A INPUT -S 10.50.52.0/255.255.252.0 -p udp -m udp --dport 53 -j ACCEPT
$ipt -A INPUT -S 10.50.52.0/255.255.252.0 -p tcp -m tcp --dport 80 -j ACCEPT
$ipt -A INPUT -S 200.203.249.10 -p tcp -m tcp --dport 80 -j ACCEPT
$ipt -A INPUT -S 200.203.249.100 -p tcp -m tcp --dport 80 -j ACCEPT
$ipt -A INPUT -S 10.50.52.0/255.255.252.0 -p tcp -m tcp --dport 3128 -j ACCEPT
$ipt -A INPUT -p icmp -j ACCEPT
#
$ipt -I FORWARD -S 10.50.52.0/255.255.252.0 -p tcp --dport 1863 -j ACCEPT
$ipt -I FORWARD -S 10.50.52.0/255.255.252.0 -p tcp --dport 5190 -j ACCEPT
$ipt -I FORWARD -S 10.50.52.0/255.255.252.0 -p tcp --dport 1863 -j ACCEPT
$ipt -I FORWARD -S 10.50.52.0/255.255.252.0 -p tcp --dport 5190 -j ACCEPT
#
$ipt -A OUTPUT -p tcp --dport 1863 -j DROP
$ipt -A OUTPUT -p tcp --dport 5190 -j DROP
#
$ipt -A FORWARD -p tcp --dport 25 -j ACCEPT
$ipt -A FORWARD -p tcp --dport 110 -j ACCEPT
#
$ipt -A FORWARD -p udp -s 10.50.52.0/255.255.252.0 -d 200.175.5.139 --dport 53 -j ACCEPT
$ipt -A FORWARD -p udp -s 200.175.5.139 -sport 53 -d 10.50.52.0/255.225.252.0 -j ACCEPT
$ipt -A FORWARD -p udp -s 10.50.52.0/255.255.252.0 -d 201.10.120.2 --dport 53 -j ACCEPT
$ipt -A FORWARD -p udp -s 201.10.120.2 -sport 53 -d 10.50.52.0/255.225.252.0 -j ACCEPT
$ipt -A FORWARD -p tcp -s 10.50.52.0/255.255.252.0 --dport 25 -j ACCEPT #SMTP
$ipt -A FORWARD -p tcp -s 10.50.52.0/255.255.252.0 --dport 587 -j ACCEPT #SMTP
$ipt -A FORWARD -p tcp -s 10.50.52.0/255.255.252.0 --dport 110 -j ACCEPT #POP3
#-----------------------------------------------------------------
echo "redirecionando portas para o squid"

$ipt -t nat -A PREROUTING -s 10.50.52.0/255.255.252.0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#-----------------------------------------------------------------
echo "liberando mascaramento de rede"

$ipt -t nat -A POSROUTING -o eth0 -j MASQUARADE

0 0

Quote

2. Re: Dúvidas de como liberar acesso total para um IP na rede com squid/ iptables

lpossamai
(usa Arch Linux)

Enviado em 09/10/2016 - 19:03h

OBS: Existe a possibilidade de fazer um IP interno não passar pelo proxy e nem pelo firewall da rede?

Sim, existe:

Vamos supor que você deseja que o IP 10.50.52.5 não passe pelo Proxy. Que tenha tudo liberado.
No seu arquivo de Firewall (iptables) acrescente esta linha:

iptables -t nat -A PREROUTING -s 10.50.52.5 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -s 10.50.52.0/255.255.252.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

0 0

Quote

3. Re: Dúvidas de como liberar acesso total para um IP na rede com squid/ iptables

z3pp3lin
(usa Debian)

Enviado em 10/10/2016 - 11:47h

psyscrew escreveu:

Sim, existe:

Vamos supor que você deseja que o IP 10.50.52.5 não passe pelo Proxy. Que tenha tudo liberado.
No seu arquivo de Firewall (iptables) acrescente esta linha:

iptables -t nat -A PREROUTING -s 10.50.52.5 -p tcp --dport 80 -j ACCEPT

iptables -t nat -A PREROUTING -s 10.50.52.0/255.255.252.0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Oi psyscrew, valeu por responder!

Então fiz o q vc sugeriu e me deparei com um outro problema! Fiz as alterações no arquivo firewall, reiniciei o serviço e não funcionou! Fiz algumas alterações nas regras por desencargo de consciência para teste, reiniciei o serviço e...nda! Parece que ele não está salvando as alterações que faço no arquivo /etc/init.d/firewall !! Existe uma causa?!

0 0

Quote