IPtables

Imagen de blackrocha
0 puntos

Holas amigos del foro es primera vez que participo por aqui... Espero que me puedan ayudar.

Bueno como el nombre del titulo tengo un problema con iptables y squid lo primero esque tengo configurado es esquid y me funciona de marabilla me bloquea las pagina y todo bien.
pero le agregre algunas reglas de iptables para el firewall y en realidad nose si me esta funcinando o no encontre en internet un comando que muestra el redireccionamiento iptables -nL -t net
y me muestra lo siguiente

Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128
REDIRECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:80 redir ports 3128

Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

que no se si esta bien o no

y mi regla de iptables es la siguiente
firewall.sh

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 0.0.0.0/0 -i eth1 -j ACCEPT
# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 0.0.0.0/0 -o eth2 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 0.0.0.0echo 1 > /proc/sys/net/ipv4/ip_forward

## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red

# Cerramos el rango de puerto bien conocido
#iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
#iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Cerramos un puerto de gestión: webmin
#iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP

bueno no se si estara bien tengo una tarjeta de red llamada eth1 192.168.1.55 y eth0 192.168.1.56

mi otra duda es la siguiente con respecto a la configuracion
el script se llama firewall.sh y esta dentro /etc/squid/firewall/firewall.sh y lo manda a llamar el rc.local de esta forma al inicio del archivo /etc/squid/firewall/firewall.sh

y mi duda es la siguiente al momento de iniciarse el squid automaticamente toma la configuracion de los iptables o hay q hacer algo para iniciarlo cada vez que se reinicia?

bueno amigos hacepto cualquier critica constructiva hacerca del tema y muchas gracias de ante mano

Imagen de peterpan2000355
+1
0
-1

bueno, lo que yo se es que squid nunca llamará a iptables. Lo mejor es (es lo que yo he hecho):

Dentro del directorio /etc/network verás un fichero, interfaces, en él configura la siguiente linea:

(seguramente tendrás lo siguiente)
auto eth0
iface eth0 inet static
pre-up /etc/iptables.sh (esta es la linea a introducir)

aquí lo que le dices es que antes de "levantar" la eth0 ejecute el script, si hay algún error en el script la levantará igual. (yo he puesto como nombre iptables.sh, tu puedes poner lo que gustes, por cierto tienes que darle permisos de ejecución al fichero).
No se si esto te ayuda o estoy equivocado.

+1
0
-1
Imagen de albert_arbiol
+1
-1
-1

Hola, lleva años inactivo el hilo, pero buscando info he llegado a él..

¿sabeis de que forma un firewall puede respoder a ping para poder ser monitorizado?
Gracias de antemano.

Saludos.

+1
-1
-1