REF problemas no squid/iptables [RESOLVIDO]

kamiloko
(usa Debian)

Enviado em 13/03/2014 - 11:07h

Bom dia, estou precisando de ajuda!

Estou testando um firewall para estudo, pelo virtualbox.
A internet esta em um roteador(192.168.1.1) e o servidor esta numa maquina(192.168.1.34)

Quando eu uso uma 3 maquina virtualizada(192.168.1.39) com o proxy configurado (192.168.1.34:3128) o firewall bloqueia o retorno dos pacotes.
Estou usando o Debian.

Como apenas estopu testando estou usando uma placa de rede eth0
configurações do servidor:
ip: 192.168.1.34
gw:192.168.1.1

segue iptables:

###################################################################
# Generated by iptables-save v1.4.14 on Sun Aug 25 18:35:31 2013
*filter
:INPUT ACCEPT [18:2087]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [42:6560]
:C_DNS - [0:0]
:C_GERAL - [0:0]
:C_HTTP - [0:0]
:C_SSH - [0:0]

###Atribuicoes
-A INPUT -p udp -m udp --dport 53 -j C_DNS
-A INPUT -p tcp -m tcp --dport 22 -j C_SSH
-A INPUT -p tcp -m tcp --dport 3128 -j C_HTTP
-A INPUT -j C_GERAL
-A FORWARD -p udp -m udp --dport 53 -j C_DNS
-A FORWARD -p tcp -m tcp --dport 22 -j C_SSH
-A FORWARD -p tcp -m tcp --dport 3128 -j C_HTTP
-A FORWARD -j C_GERAL
####/Atribuicoes

###regras http
-A C_HTTP -d 192.168.1.34/32 -j ACCEPT
-A C_HTTP -j LOG --log-prefix "BLOCKED C_HTTP: "
-A C_HTTP -j DROP
###/regras http

###regras ssh
-A C_SSH -d 192.168.1.34/32 -j ACCEPT
-A C_SSH -j LOG --log-prefix "BLOCKED C_SSH: "
-A C_SSH -j DROP
###/regras ssh

###regras dns
-A C_DNS -d 192.168.1.34/32 -j ACCEPT
-A C_DNS -j LOG --log-prefix "BLOCKED C_DNS: "
-A C_DNS -j DROP
###/regras dns

###regras geral
-A C_GERAL -j LOG --log-prefix "BLOCKED GERAL: "
-A C_GERAL -j DROP
###/regras GERAL


COMMIT
# Completed on Sun Aug 25 18:35:31 2013
######################################################################

Segue msg de bloqueio do firewall

########################################
Mar 13 10:00:55 srv11 kernel: [ 755.439291] BLOCKED GERAL: IN=eth0 OUT= MAC=08:00:27:79:6c:16:08:00:27:78:bb:0e:08:00 SRC=173.194.118.127 DST=192.168.1.34 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=177 DF PROTO=TCP SPT=1055 DPT=80 WINDOW=64240 RES=0x00 SYN URGP=0

###############################################

Com isso o proxy com o firewall ativado não funciona!



Desde já agradeço!

souzacarlos
(usa Outra)

Enviado em 13/03/2014 - 14:00h

Bom dia, esse é teu arquivo onde está teu script ou é a saída de algum comando?

aguardo,

kamiloko
(usa Debian)

Enviado em 13/03/2014 - 18:47h

script, estou usando pelo

iptables-save e iptables-restore

souzacarlos
(usa Outra)

Enviado em 13/03/2014 - 22:37h

Boa noite, é meu camarada, neste formato eu não consigo entender, acredito que tenha outros no fórum que possa te ajudar, caso queira posta teu script em vamos chamar de formato "tradicional" que ajudamos.

Abraço.

kamiloko
(usa Debian)

Enviado em 14/03/2014 - 12:28h

Sim, estou fazendo uma alteração pra 2 placas de rede e usando o script, vou postar assim que acabar!

Mas pelo que vejo p problemas está sendo o seguinte:

A maquina pede o site pelo squid na porta 3128, vai pro meu servidor e o servidor chama o site externo, porém o site esterno responde na porta 80 e o servidor nesta hora bloqueia....

andrecanhadas
(usa Debian)

Enviado em 14/03/2014 - 16:22h

Habilitou o roteamento de pacotes?:

echo 1 >/proc/sys/net/ipv4/ip_forward

 

kamiloko
(usa Debian)

Enviado em 16/03/2014 - 22:18h

Olá pessoal,
Mudei para scrit e acabei achando o erro!!!
Pelo que percebi eram 2!
Um era que a porta 80 não estava aberta para o servidor e outra foi resolvido com estes comandos:

#permite que conexoes ja criadas pela LAN retornem sem criar novas regras
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT


segue código:

#!/bin/sh
#interface de internet:

iface="eth0:1"

#interface de rede local

ifacelocal="eth0"


iniciar(){

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $iface -j MASQUERADE

echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter



iptables -t nat -A PREROUTING -i $ifacelocal -p tcp --dport 80 -j REDIRECT --to 3128
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
#iptables -A INPUT -i eth0 -j ACCEPT

#permite que conexoes ja criadas pela LAN retornem sem criar novas regras
iptables -t filter -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -t filter -A OUTPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -t filter -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT

#liberando passagem de pacotes entre interfaces
iptables -t filter -A FORWARD -i $ifacelocal -o $iface -j ACCEPT


####criando cadeias
iptables -N C_DNS
iptables -N C_SSH
iptables -N C_HTTP_SQUID
iptables -N C_HTTP
iptables -N C_NETBIOS
iptables -N C_GERAL_INPUT
iptables -N C_GERAL_FORWARD

###Atribuicoes

iptables -A INPUT -p udp -m udp --dport 53 -j C_DNS
iptables -A INPUT -p tcp -m tcp --dport 137 -j C_NETBIOS
iptables -A INPUT -p udp -m udp --dport 137 -j C_NETBIOS
iptables -A INPUT -p tcp -m tcp --dport 22 -j C_SSH
iptables -A INPUT -p tcp -m tcp --dport 3128 -j C_HTTP_SQUID
iptables -A INPUT -p tcp -m tcp --dport 80 -j C_HTTP

iptables -A INPUT -j C_GERAL_INPUT

iptables -A FORWARD -p udp -m udp --dport 53 -j C_DNS
iptables -A FORWARD -p tcp -m tcp --dport 137 -j C_NETBIOS
iptables -A FORWARD -p udp -m udp --dport 137 -j C_NETBIOS
iptables -A FORWARD -p tcp -m tcp --dport 22 -j C_SSH
iptables -A FORWARD -p tcp -m tcp --dport 3128 -j C_HTTP_SQUID
iptables -A FORWARD -p tcp -m tcp --dport 80 -j C_HTTP

iptables -A FORWARD -j C_GERAL_FORWARD



#####https
iptables -t filter -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -t filter -A FORWARD -i $ifacelocal -p tcp --dport 443 -j ACCEPT

#####


###regras http squid
iptables -A C_HTTP_SQUID -s 192.168.1.0/24 -j ACCEPT
iptables -A C_HTTP_SQUID -s 192.168.2.0/24 -j ACCEPT
iptables -A C_HTTP_SQUID -j LOG --log-prefix "BLOCKED C_HTTP_SQUID: "
iptables -A C_HTTP_SQUID -j DROP
###/regras http squid


###regras http
iptables -A C_HTTP -d 192.168.1.34 -j ACCEPT
iptables -A C_HTTP -s 192.168.1.34 -j ACCEPT
iptables -A C_HTTP -j LOG --log-prefix "BLOCKED C_HTTP: "
iptables -A C_HTTP -j DROP
###/regras http

###regras ssh
iptables -A C_SSH -d 192.168.1.34/32 -j ACCEPT
iptables -A C_SSH -d 192.168.2.1/32 -j ACCEPT
iptables -A C_SSH -j LOG --log-prefix "BLOCKED C_SSH: "
iptables -A C_SSH -j DROP
###/regras ssh

###regras dns
iptables -A C_DNS -d 192.168.1.0/24 -j ACCEPT
iptables -A C_DNS -d 192.168.2.0/24 -j ACCEPT
iptables -A C_DNS -j LOG --log-prefix "BLOCKED C_DNS: "
iptables -A C_DNS -j DROP
###/regras dns


###regras netbios


iptables -A C_NETBIOS -s 192.168.1.0/24 -j ACCEPT
iptables -A C_NETBIOS -s 192.168.2.0/24 -j ACCEPT
iptables -A C_NETBIOS -j DROP
###/regras nrtbios

###regras geral INPUT
iptables -A C_GERAL_INPUT -j LOG --log-prefix "BLOCKED GERAL INPUT : "
iptables -A C_GERAL_INPUT -j DROP
###/regras GERAl INPUT

###regras geral INPUT
iptables -A C_GERAL_FORWARD -j LOG --log-prefix "BLOCKED GERAL FORWARD : "
iptables -A C_GERAL_FORWARD -j DROP
###/regras GERAl INPUT


}

parar(){
iptables -F
iptables -F -t nat
}

case "$1" in
"start") iniciar ;;
"stop") parar ;;
"restart") parar; iniciar;;
*) echo "use os parametros start, stop ou reestart"

esac

**************************************************************************************************************

souzacarlos
(usa Outra)

Enviado em 17/03/2014 - 15:14h

Show!!! não esqueci de marcar como resolvido!!!