regras de FORWARD

jmsb
(usa Outra)

Enviado em 28/10/2016 - 13:47h

galera blz! me ajuda ai, estou montando um farewall com iptables , nunca apanhei tanto na minha vida kkk

o firewall vai ser padronizado com INPUT DROP, FORWARD DROP, OUTPUT ACCEPT
problema , não consigo libera site para passar sem que ele entre na regra de squid,
SCRIPTFW.SH
iptables -F
iptables -Z
iptables -X

iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -Z

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

iptables -I INPUT -i lo -j ACCEPT
iptables -I OUTPUT -o lo -j ACCEPT

iptables -I INPUT -p udp --dport 53 -j ACCEPT ##porta dns
iptables -I OUTPUT -p udp --sport 53 -j ACCEPT ##porta dns

iptables -I INPUT -p tcp --dport 3005 -j ACCEPT ##squid
iptables -I OUTPUT -p tcp --sport 3005 -j ACCEPT ##squid
#############libera conexõpre-estabelecidas
iptables -I INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -I FORWARD -p udp --dport 53 -j ACCEPT ## porta dns
iptables -I FORWARD -p udp --sport 53 -j ACCEP ##porta dns
################ LIBERA IPS QUE NÃO VÃO PASSA PELO SQUID
iptables -I FORWARD -m iprange --src-range 192.168.0.190-192.168.0.252 -p tcp -i eth0 -m multiport --dports 443,80 -j ACCEPT
iptables -I FORWARD -m iprange --dst-range 192.168.0.190-192.168.0.252 -p tcp -o eth0 -m multiport --dports 443,80 -j ACCEPT
###############LIBERA IPS QUE NÃO PASSA PELO PROXY
iptables -t nat -I PREROUTING -m iprange --src-range 192.168.0.190-192.168.0.252 -p tcp -m multiport --dports 443,80 -j ACCEPT

echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth2 -j MASQUERADE

blz, dessa forma acima todos consegue navega , os que usar proxy passar e os que estão livres do proxy squid
vamos ao problema , observa as portas estão todas fechadas , só e libera aos ips com acesso livre, o que ocorre!! , existe um site da empresa que e cessado por alguns colaboradores por table através do navegador do mesmo, esse site seria o ERP da empresa! nesses tables não e pra seta configuração de proxy, quando eles abri o navegador vai esta configurado para acessar direto o ERP
crie as regras para o livrando o ERP , para que ele passar livre , porem não esta dando certo , na teoria seria a mesma forma que libera os ips para acesso livre
segue as regras
iptables -I FORWARD -p udp --dport 53 -j ACCEPT
iptables -I FORWARD -p udp --sport 53 -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.0.0/24 -d erp.com.br --dport 80 -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.0.0/24 -d erp.com.br --dport 443 -j ACCEPT

iptables -I FORWARD -p tcp -s 192.168.0.0/24 -d erp.com.br --dport 80 -j ACCEPT
iptables -I FORWARD -p tcp -s 192.168.0.0/24 -d erp.com.br --dport 443 -j ACCEPT

iptables -t nat -I PREROUTING -p tcp -d erp.com.br --dport 80 -j ACCEPT
iptables -t nat -I PREROUTING -p tcp -d erp.com.br --dport 443 -j ACCEPT


não passa nem ferrando, onde esta o ERRO! ajude !
valeu.!

souzacarlos
(usa Outra)

Enviado em 29/11/2016 - 21:36h

Boa noite.
Add+ por favor e vamos conversar!

Network Analyst
contact skype: carlossouzainfo