Ir para conteúdo

POWERED BY:

Arquivado

Este tópico foi arquivado e está fechado para novas respostas.

Edeson Manoel

Firewall + Squid: Problemas !

Por , em Docker, Kubernets e outros ambientes

Recommended Posts

Edeson Manoel    0

Edeson Manoel
Postado

Pessoal bom dia, sou iniciante em linux e estou tendo um probleminha:

 

 

 

Estou testando um rede ponto a ponto como Servidor estou testando um Kurumin e como cliente uma maquina com o WinXP, quando ativo o firewall o squid não funciona, porem quando eu paro ele o squid volta a funcionar, vou colocar a minha configuração de firewall em baixo e se alguem puder me ajudar desde ja agradeço muito! Alem disso minhas maquinas não estão se pingando, pq sera?

 

 

 

Eu utilizo virtua configurado altomaticamente por dhcp na placa eth0 e tenho a placa eth1 configurada como 192.168.0.1 para minha rede local !

 

 

 

-----------------------------------------------------------------------

 

 

 

#!/bin/bash

 

firewall_start(){

 

# Para rede local receber e-mail

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

 

# Para nao fugirem do proxy

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128

 

# Encaminhamento de IP

echo 1 > /proc/sys/net/ipv4/ip_forward

 

# Abre uma porta (inclusive para a Internet)

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

 

# Abre uma porta (inclusive para a Internet)

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

 

# Abre para uma faixa de endereços da rede local

iptables -A INPUT -s 192.168.0.0/255.255.255.0 -j ACCEPT

 

# Protege contra synflood

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

 

# Proteção contra ICMP Broadcasting

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

 

# Bloqueia traceroute

iptables -A INPUT -p udp --dport 33435:33525 -j DROP

 

 

# Proteções diversas contra portscanners, ping of death, ataques DoS, etc.

iptables -A INPUT -m state --state INVALID -j DROP

 

 

# Abre para a interface de loopback.

# Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.

iptables -A INPUT -i lo -j ACCEPT

 

 

# Fecha as portas udp de 1 a 1024

iptables -A INPUT -p udp --dport 1:1024 -j DROP

 

iptables -A INPUT -p udp --dport 59229 -j DROP

 

# Redireciona uma faixa de portas para um micro da rede local

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 1433:1433 -j DNAT --to 192.168.0.2

iptables -t nat -A POSTROUTING -d 192.168.0.2 -j SNAT --to 192.168.0.1

 

 

# Esta regra é o coração do firewall do Kurumin,

# ela bloqueia qualquer conexão que não tenha sido permitida acima, justamente por isso ela é a última da cadeia.

iptables -A INPUT -p tcp --syn -j DROP

 

echo "O Kurumin Firewall está sendo carregado..."

sleep 1

echo "Tudo pronto!"

sleep 1

}

firewall_stop(){

iptables -F

iptables -X

iptables -P INPUT ACCEPT

iptables -P FORWARD ACCEPT

iptables -P OUTPUT ACCEPT

}

 

case "$1" in

"start")

firewall_start

;;

"stop")

firewall_stop

echo "O kurumin-firewall está sendo desativado"

sleep 2

echo "ok."

;;

"restart")

echo "O kurumin-firewall está sendo desativado"

sleep 1

echo "ok."

firewall_stop; firewall_start

;;

*)

iptables -L -n

esac

 

 

-----------------------------------------------------------------------

Compartilhar este post

Link para o post
Compartilhar em outros sites

Edeson Manoel    0

Edeson Manoel
Postado

Mais uma vez o grande prog hehehe..........entaum, pelo raciocinio seria assim :

 

iptables -A INPUT -p tcp --dport 3128 -j ACCEPT

 

tbm.... antes ou dpois do

 

# Para nao fugirem do proxy

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to 3128

 

seria antes correto ?

 

ceto?

 

Outra coisa prog, você tem ideia do motivo real da minha rede não estar conseguindo se pingar se ela compartilha a net entre as duas maquinas?

Compartilhar este post

Link para o post
Compartilhar em outros sites

Prog    183

Prog
Postado

O lista de filtro do firewall do linux funciona tem precedência de regras, ou seja, se uma determinada requisição enquadrar-se logo na primeira ou segunda regras, todas as demais serão ignoradas. As vezes temos a regra escrita corretamente, mas por estar com precedência incorreta, nada funciona.

 

Teoricamente, por haver um redirecionamento da porta 80 para a porta 3128 (proxy transparente) não haveria a necessidade de uma regra específica também para a porta 3128, apenas para a porta 80, uma vez que esta é a porta de entrada (input).

 

Com o comando tcpdump, no terminal do linux, é possível identificar quais conexões estão acontecendo, desta forma você pode identificar o que esta chegando no servidor ou o que esta sendo barrado pelo firewall.

 

O ping utiliza um protocolo específico chamado icmp, tem que desbloquear.

 

Após a alteração das regras liste com o seguinte comando:

iptables -L (isto lista as regras de input, output e forward)

iptables -t nat -L (isto lista as regras de prerouting, postrouting e output)

 

Se puder colocar o resultado das suas listas, fica mais fácil de diagnosticar.

Compartilhar este post

Link para o post
Compartilhar em outros sites
Ir para a lista de tópicos Docker, Kubernets e outros ambientes
×

Informação importante

Ao usar o fórum, você concorda com nossos Termos e condições.

  Aceito