Liberar ips no Squid/Iptables [RESOLVIDO]
1. Liberar ips no Squid/Iptables [RESOLVIDO]
marceloprimon
(usa Debian)
Enviado em 17/05/2011 - 11:34h
Olá, preciso liberar alguns ips da autenticação do Squid. Analizando diversas postagens nos foruns aqui do vol, inseri regras no iptables e no squid.conf, mas não consigo fazer a liberação.Desde já agradeço a atenção.
Segue meu squid.conf e meu firewall:
#squid.conf
http_port 3128
visible_hostname servidor
cache_mem 512 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 1024 MB
minimum_object_size 2 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 21 59 70 80 210 280 443 465 488 563 587 777 901 1025-65535
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
#Libera ips especificos da autenticacao
acl ips_liberados src "/etc/squid/ips_liberados"
http_access allow ips_liberados
#Bloqueia acessos de fora da rede local antes de passar pela autenticacao
acl redelocal src 192.168.0.0/24
http_access deny !redelocal
#Outras regras de restricao vao aqui, de forma que o aceso seja negado
#antes mesmo de passar pela autenticacao
#Bloqueia sites indesejados
acl bloqueados url_regex -i "/etc/squid/bloqueados"
http_access deny bloqueados
#Bloqueia palavras indesejadas na url
acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas"
http_access deny palavrasproibidas
# Libera sites especificos de autenticacao
acl sites_liberados url_regex -i "/etc/squid/sites_liberados"
http_access allow sites_liberados
#Bloqueia download de extensoes indesejadas
#acl extban url_regex -i \.avi \.mp3 \.torrent \.wmv \.iso \.mpg \.mpeg
#http_access deny extban
#Autentica o usuario ncsa_auth:
auth_param basic realm Acesso restrito - digite seu login e senha
authenticate_ip_ttl 20 minutes
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
# Limitar a banda por usuario:
#delay_pools 1 # esta linha e as proximas 3 limitam a banda por usuario
#delay_class 1 2
#delay_parameters 1 114688/114688 16384/16384
#delay_access 1 allow redelocal
# redirect_program /usr/bin/squidGuard
#Libera o acesso da rede local e do localhost para os autenticados,
#bloqueia os demais:
http_access allow localhost
http_access allow redelocal
http_access deny all
---------------------------------------------------------------------------------
#firewall
#!/bin/sh
#
#!/bin/bash
#
# Local
iniciar(){
# Carregando os modulos
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
#Compartilha a conexao:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo "Compartilhamento ativado"
#Libera IPs da diretoria para nao passar pelo Squid
#Direcao1
iptables -t nat -I PREROUTING -s 192.168.0.111 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.111 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.111 -j ACCEPT
#Direcao2
iptables -t nat -I PREROUTING -s 192.168.0.112 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.112 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.112 -j ACCEPT
#Marcelo Vaio
iptables -t nat -I PREROUTING -s 192.168.0.98 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.98 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.98 -j ACCEPT
#Voip
iptables -t nat -I PREROUTING -s 192.168.0.209 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.0.209 -o eth1 -j MASQUERADE
iptables -I FORWARD -s 192.168.0.209 -j ACCEPT
#Aceita tudo na interface de rede local:
iptables -A INPUT -i eth0 -j ACCEPT
# Libera porta SSH
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Libera Voip do Aparelho Opticom Voip 690
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5060 -j DNAT --to-dest 192.168.0.209
iptables -A FORWARD -i eth1 -s 0/0 -p tcp -d 192.168.0.209 --dport 5060 -j ACCEPT
#Libera portas diversas
iptables -A INPUT -p tcp --destination-port 10000 -j ACCEPT #Webmin
iptables -A INPUT -p tcp --destination-port 5900 -j ACCEPT #VNC
iptables -A INPUT -p tcp --destination-port 901 -j ACCEPT #Swat
iptables -A INPUT -p tcp --destination-port 3001 -j ACCEPT #ntop
iptables -A INPUT -p tcp --destination-port 3389 -j ACCEPT #rdp
#Libera conexao das cameras
#echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 1100 -j DNAT --to 10.1.1.99
#iptables -t nat -A POSTROUTING -d 10.1.1.99 -j SNAT --to 10.1.1.1
#iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3550:7550 -j DNAT --to 10.1.1.99
#iptables -t nat -A POSTROUTING -d 10.1.1.99 -j SNAT --to 10.1.1.1
#Ignora pings:
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
#Protege contra IP spoofing:
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
#Descarta pacotes malformados, protegendo contra ataques diversos:
iptables -A INPUT -m state --state INVALID -j DROP
#Abre para a interface de loopback:
iptables -A INPUT -i lo -j ACCEPT
#Bloqueia as portas UDP de 0 a 1023:
iptables -A INPUT -p udp --dport 0:1023 -j DROP
#Libera Squid
iptables -A INPUT -i eth0 -p tcp --dport 3128 -j ACCEPT
#Impede a abertura de novas conexoes, efetivamente bloqueando o acesso externo
#ao seu servidor, com excecao das portas e faixas de enderecos
#especificados anteriormente:
iptables -A INPUT -p tcp --syn -j DROP
echo "Regras de firewall ativadas"
}
parar(){
iptables -F
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
echo 0 > /proc/sys/net/ipv4/ip_forward
echo "Regras de firewall e compartilhamento desativados"
}
case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar ;;
*) echo "Use os parametros start ou stop"
esac
exit 0