Forums:
Buenas tardes.
Actualmente tengo input y output en drop y forward en accept.
Puedo navegar, pero cuando activo el redirect al puerto del proxy no navega.
Si pongo input y output en accept puedo navegar tanto desde el servidor que tiene el firewall y proxy como desde la lan.
Inicialmente mi intención era poner forward en drop, pero no lograba navegar, detalles sobre este punto también son bienvenidos.
Router --- eth0 --- Firewall-proxy --- eth1 --- lan
eth0: 192.168.1.1
eth1: 192.168.10.1
Detalles de mi script
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto: DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Bit forward
echo 1 > /proc/sys/net/ipv4/ip_forward
# Guardar los accesos con paquetes fragmentados, recurso utilizado para tirar
# servidores y otras maldades (bug en Apache por ejemplo)
iptables -A INPUT -i eth0 -f -j LOG --log-prefix "Fragmento! "
iptables -A INPUT -i eth0 -f -j DROP
# Operar en localhost sin limitaciones
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
# Enmascaramiento
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
# Navegacion desde el firewall
/sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
# Y tambien a webs seguras
/sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state RELATED,ESTABLISHED -j ACCEPT
# Permitimos la consulta a un primer DNS desde el firewall
/sbin/iptables -A INPUT -s 200.40.220.245 -p udp -m udp --sport 53 -j ACCEPT
/sbin/iptables -A OUTPUT -d 200.40.220.245 -p udp -m udp --dport 53 -j ACCEPT
# Permitimos la consulta a un segundo DNS
iptables -A INPUT -s 200.40.30.245 -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 200.40.30.245 -p udp -m udp --dport 53 -j ACCEPT
# Squid transparente
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Permitir msn
/sbin/iptables -A INPUT -p tcp -m tcp --sport 1863 -m state --state RELATED,ESTABLISHED -j ACCEPT
/sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1863 -j ACCEPT
El problema sería poder navegar a través del proxy transparente, y si se puede dejar este firewall más seguro con drop en forward.
Cualquier consejo será bienvenido en cuanto al script aunque no sea lo que consulto.
Muchas gracias por su tiempo a todos.
Ahora quedó claro! Está bueno
Ahora quedó claro!
Está bueno el manual, si puedo probarlo comento como me fue.
Saludos!
clarines cualquier cosa
clarines cualquier cosa comentas y te damos un hilo
Páginas