Duda regla iptables

Imagen de Nico84
0 puntos

Hola a todos. Tengo una pequeña subred en casa, con un servidor con dos tarjetas de red, eth0 (LAN) y eth2 (inet). Tengo instalado squid y dansguardian, y dansguardian me da problemas con los clientes de la red.
Para que dansguardian me corra en el servidor, con squid en modo transparente, he de configurar el firefox para que utilice el proxy, indicandole como ip localhost, y el puerto el 8081 (dansguardian) y en iptables hice una redirección en Nat del puerto 80 al 8081. Y el servidor corre sin problemas, y dansguardian funcionando.
Ahora bien, el hecho de configurar el firefox de esa forma me da problemas con los clientes (vamos, creo que el problema esta ahí, no estoy seguro). Que regla deberia añadir al iptables para que los clientes corrieran sin problemas, y con el dansguardian funcionando en todos?
Supuse que habia que hacer un fordward, diciendo que todo lo que viniera de la eth0 por el puerto 80 fuera redireccionado al 8081, pero nada...
Ando un poco perdido la verdad, agradeceria todo tipo de ayuda :) Gracias a todos!
Nico.

Adjunto las reglas del iptables actuales, por si pudieran ayudar:


*nat
:PREROUTING ACCEPT [6432:434479]
:POSTROUTING ACCEPT [464:34931]
:OUTPUT ACCEPT [554:51688]
#-A POSTROUTING --out-interface eth2 -j MASQUERADE
-A POSTROUTING -o eth0 -j MASQUERADE
# Redireccionamos a OpenExpertia (Sacarino)
-A PREROUTING -d 10.0.0.2/32 -i eth2 -p tcp -m tcp --dport 2280 -j DNAT --to-destination 192.168.1.38:80
# Redireccionamos a SSH (Server)
-A PREROUTING -d 10.0.0.2/32 -i eth2 -p tcp -m tcp --dport 22 -j DNAT --to-destination 192.168.1.25:22
# Redireccionamos a SSH (Sacarino) por el puerto 2222
-A PREROUTING -d 10.0.0.2/32 -i eth2 -p tcp -m tcp --dport 2222 -j DNAT --to-destination 192.168.1.38:22
# Para hacer un proxy transparente, redireccionamos todo lo que vaya al puerto 80, al puerto 8080
-A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8081
# redireccionamos a squid todo lo que venga de la web
#-A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT --to-port 3128
# redireccionamos a dansguardian todo lo que vaya a SQUID
#-A PREROUTING -i eth0 -p tcp --dport 3128 -j REDIRECT --to-port 8081
-A POSTROUTING -s ! 10.0.0.2/32 -o eth2 -j SNAT --to-source 10.0.0.2

COMMIT
#*mangle
#:PREROUTING ACCEPT [424568:382871613]
#:INPUT ACCEPT [5557:1671587]
#:FORWARD ACCEPT [419000:381197653]
#:OUTPUT ACCEPT [3304:722870]
#:POSTROUTING ACCEPT [422120:381898423]
#-A PREROUTING -j CONNMARK --restore-mark
#-A PREROUTING -m mark --mark 0x0/0xff -m mac --mac-source 00:02:CF:6E:4C:54 -j MARK --set-mark 0x1
#-A PREROUTING -m mark --mark 0x0/0xff -j MARK --set-mark 0x1
#-A PREROUTING -j CONNMARK --save-mark
#-A OUTPUT -j CONNMARK --restore-mark
#-A OUTPUT -m mark --mark 0x0/0xff -j MARK --set-mark 0x1
#COMMIT

*filter
:INPUT DROP [1:60]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
:fdns - [0:0]
:ffwdrules - [0:0]
:fglobal - [0:0]
:fnoexternal - [0:0]
:fredirects - [0:0]
:ftoexternalonly - [0:0]
:iexternal - [0:0]
:iexternalmodules - [0:0]
:iglobal - [0:0]
:imodules - [0:0]
:inoexternal - [0:0]
:inointernal - [0:0]
:log - [0:0]
:ointernal - [0:0]
:omodules - [0:0]
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -j iexternalmodules
-A INPUT -j iexternal
-A INPUT -j inoexternal
-A INPUT -j imodules
-A INPUT -p tcp --dport 9100 -m state --state NEW -j ACCEPT
-A INPUT -j iglobal
#-A INPUT -j LOG
-A INPUT -j DROP
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -p tcp --dport 6667 -j ACCEPT
-A FORWARD -p tcp --dport 9100 -m state --state NEW -j ACCEPT
#-A FORWARD --in-interface eth0 -j ACCEPT
-A FORWARD -j fredirects
-A FORWARD -j ffwdrules
-A FORWARD -j fnoexternal
-A FORWARD -j fdns
-A FORWARD -j fglobal
-A FORWARD -j LOG
-A FORWARD -j DROP
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -j ointernal
-A OUTPUT -j omodules
#HTTPS
-A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
#printer
-A OUTPUT -p tcp -m tcp --dport 9100 -m state --state NEW -j ACCEPT

#SSH
-A OUTPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
#irc
-A OUTPUT -p tcp -m tcp --dport 6667 -m state --state NEW -j ACCEPT
#-A OUTPUT -j LOG
-A OUTPUT -j DROP
-A fdns -d 80.58.61.250/32 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A fdns -d 80.58.61.254/32 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A ffwdrules -i eth0 -j RETURN
-A fglobal -p tcp -j ACCEPT
-A fglobal -p tcp -m tcp --dport 80 -j ACCEPT
-A fnoexternal -i eth2 -m state --state NEW -j DROP
#-A fredirects -d 192.168.1.38/32 -i eth2 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
#-A fredirects -d 192.168.1.25/32 -i eth2 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
#-A fredirects -d 192.168.1.38/32 -i eth2 -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A ftoexternalonly -o eth2 -j ACCEPT
-A ftoexternalonly -j DROP
-A iexternal -i eth0 -j RETURN
-A iexternalmodules -i eth0 -j RETURN
-A iexternalmodules -p tcp -m tcp --dport 1701 -j ACCEPT
-A iexternalmodules -i eth2 -d 192.168.1.25 -p tcp -m tcp --dport 22 -j ACCEPT
#VPN
#-A iglobal -p tcp -m tcp --dport 993 -m state --state NEW -j ACCEPT
#SSL-IMAP4
-A iglobal -p tcp -m tcp --dport 25 -m state --state NEW -j ACCEPT
#Microsoft-Server
-A iglobal -p tcp -m tcp --dport 143 -m state --state NEW -j ACCEPT
#Pop3-SSL
-A iglobal -p tcp -m tcp --dport 995 -m state --state NEW -j ACCEPT
#Pop3
-A iglobal -p tcp -m tcp --dport 110 -m state --state NEW -j ACCEPT
#Gmail
-A iglobal -p tcp -m tcp --dport 465 -m state --state NEW -j ACCEPT

#-A iglobal -m state --state NEW -j ACCEPT
#Netbios
-A iglobal -p tcp -m tcp -s 192.168.1.0/24 --dport 137 -j ACCEPT
-A iglobal -p tcp -m tcp -s 192.168.1.0/24 --dport 138 -j ACCEPT
-A iglobal -p tcp -m tcp -s 192.168.1.0/24 --dport 139 -j ACCEPT
-A iglobal -p udp -m udp -s 192.168.1.0/24 --dport 137 -j ACCEPT
-A iglobal -p udp -m udp -s 192.168.1.0/24 --dport 138 -j ACCEPT
-A iglobal -p udp -m udp -s 192.168.1.0/24 --dport 139 -j ACCEPT

#Active Directory (equivalente LDAP Windows)
-A iglobal -p tcp -m tcp -s 192.168.1.0/24 --dport 445 -j ACCEPT
-A iglobal -p udp -m udp -s 192.168.1.0/24 --dport 445 -j ACCEPT

#-A iglobal -p tcp -m tcp --dport 901 -m state --state NEW -j ACCEPT

#CUPS
-A iglobal -p tcp -m tcp --sport 631 --dport 631 -m state --state NEW -j ACCEPT
-A iglobal -p tcp -m tcp --dport 631 -m state --state NEW -j ACCEPT
#Apache
-A iglobal -p tcp -m tcp --dport 80 -m state --state NEW -j ACCEPT
#NTP (obtener la hora)
-A iglobal -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT
#LDAP
-A iglobal -p tcp -m tcp --dport 389 -m state --state NEW -j ACCEPT
#DNS
-A iglobal -p udp -m udp --dport 53 -m state --state NEW -j ACCEPT
#DHCP
-A iglobal -p udp -m udp --dport 67 -m state --state NEW -j ACCEPT
#TFTP
# -A iglobal -p udp -m udp --dport 69 -m state --state NEW -j ACCEPT
#SSH
-A iglobal -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
#HTTPS
-A iglobal -p tcp -m tcp --dport 443 -m state --state NEW -j ACCEPT
#irc
-A iglobal -p tcp -m tcp --dport 6667 -m state --state NEW -j ACCEPT
#JABBER
-A imodules -i eth0 -p tcp -m state --state NEW -m tcp --dport 5222 -j ACCEPT
-A imodules -i eth0 -p udp -m state --state NEW -m udp --dport 5222 -j ACCEPT
-A imodules -i eth0 -p tcp -m state --state NEW -m tcp --dport 5223 -j ACCEPT
-A imodules -i eth0 -p udp -m state --state NEW -m udp --dport 5223 -j ACCEPT

-A inoexternal -i eth2 -m state --state NEW -j DROP
-A ointernal -d 80.58.61.250/32 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A ointernal -d 80.58.61.254/32 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
#DNS
-A ointernal -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A ointernal -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
#JABBER
-A omodules -o eth0 -p tcp -m state --state NEW -m tcp --sport 5222 -j ACCEPT
-A omodules -o eth0 -p udp -m state --state NEW -m udp --sport 5222 -j ACCEPT
-A omodules -o eth0 -p tcp -m state --state NEW -m tcp --sport 5223 -j ACCEPT
-A omodules -o eth0 -p udp -m state --state NEW -m udp --sport 5223 -j ACCEPT
#Apache
-A omodules -p tcp -m tcp --dport 80 -j ACCEPT
COMMIT