[Fedora-users-br] Re: Problema Firewall x msn-proxy

Quarta Dezembro 3 16:55:39 UTC 2008

Pessoal, fiz uma modificação aqui e parece que funcionou, mas gostaria da
opnião de alguém. Troquei as regras de PREROUTING para FORWARD, teria algum
problema??

Abaixo o script:

###Mascaramento da internet para rede interna
iptables -t nat -A POSTROUTING -j MASQUERADE

##Redireciona trafego internet para porta 3128
iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.174.0/24 -p tcp --dport
80 -j REDIRECT --to-port 3128

#iptables -t nat -A PREROUTING -p tcp --dport 2100 -j DNAT --to-destination
192.168.0.1:3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 3128
#iptables -t nat -A PREROUTING -i eth1 -p tcp -m multiport -s
192.168.254.0/24 --dport 80,443,563 -j REDIRECT --to-port 3128

##Bloqueio porta MSN
iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT
--to-port 1863

## Faixa de ip da eth0 (rede interna)
INTERNA=192.168.254.0/24

###Libera portas padroes rede interna
iptables -A FORWARD -p tcp -s $INTERNA --dport 20   -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 21   -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 22   -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 23   -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 25   -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 53   -j ACCEPT
iptables -A FORWARD -p udp -s $INTERNA --dport 53   -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 110  -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 1863  -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 443  -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 445  -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 587  -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 995  -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 2100 -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 5666 -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 27115 -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA --dport 8080 -j ACCEPT
iptables -A FORWARD -p tcp -s $INTERNA -d 192.168.254.254/32 --dport 3128 -j
ACCEPT

# Filtros de portas udp              #
######################################
#iptables -t nat -A PREROUTING -p udp -s $INTERNA --dport 53 -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 53 -j ACCEPT

###Bloqueia o restante
iptables -A FORWARD -s 192.168.254.0/24 -d 0/0 -p tcp -j DROP
iptables -A FORWARD -s 192.168.254.0/24 -d 0/0 -p udp -j DROP

2008/12/3 Alexandre Singulani <alexsing em gmail.com>

> Galera, to tentando rodar um firewall + proxy + msn-proxy. Minha situação é
> a seguinte:
>
> com a configuração logo abaixo:
> 1: Bloqueia as portas que não estão cadastradas. Não consigo acessar nada,
> mas se, por exemplo, no browser eu vou em
>
> http://dominio:5800 (vncviewer), ele ta passando, não era pra passar, mas
> está passando. Quando eu tiro do proxy, ele não
>
> passa mais, somente se eu liberar....
>
> 2: O msn não conecta de forma alguma. Mas quando eu comento as ultimas
> regras (as regras de DROP), o msn passa a conectar e
>
> passar pelo msn-proxy. Eu queria continuar bloqueando as portas que não
> estao na regra de ACCEPT, mas o msn continuasse
>
> funcionando com o msn-proxy. Na regra de redirecionamento pro msn-proxy, eu
> mando a 1863 pra 1863. Mais abaixo eu to
>
> liberando a porta. Mesmo eu tirando ela das regras de ACCEPT, não funciona.
>
> O script tá bem basicão, mas não tenho necessidades de coisas mais
> avançadas, somente monitorar o msn e bloquear o tráfego
>
> que utilizem outras portas que não sejam as que cadastrei.
>
> Alguma ajuda????
>
> []s
>
>
>
> meu script de firewall
>
>
>
>
> ###Mascaramento da internet para rede interna
> iptables -t nat -A POSTROUTING -j MASQUERADE
>
>
>
>
> ##Redireciona trafego internet para porta 3128
> iptables -t nat -A PREROUTING -i eth1 -d ! 200.201.174.0/24 -p tcp --dport
> 80 -j REDIRECT --to-port 3128
>
>
>
>
>
> ##Redirecionamento porta MSN para msn-proxy funcionar
> iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 1863 -j REDIRECT
> --to-port 1863
>
>
> ## Faixa de ip da eth0 (rede interna)
> INTERNA=192.168.254.0/24
>
> ###Libera portas padroes rede interna
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 20   -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 21   -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 22   -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 23   -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 25   -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 53   -j ACCEPT
> iptables -t nat -A PREROUTING -p udp -s $INTERNA --dport 53   -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 110  -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 443  -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 1863  -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 445  -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 587  -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 995  -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 2100 -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 5666 -j ACCEPT
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA --dport 8080 -j ACCEPT
>
>
>
>
>
>
> ###Bloqueia o restante
> iptables -t nat -A PREROUTING -p tcp -s $INTERNA -j DROP
> iptables -t nat -A PREROUTING -p udp -s $INTERNA -j DROP
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20081203/2b3dc4e5/attachment.html 