[Ubuntu-BR] IP tables - Squid - RESPOSTAS URGENTE

[Silvio Fonseca]

Maicon,

Se eu entendi direito, você quer habilitar proxy transparente sendo que
o Squid está rodando no próprio Firewall, certo? Como o firewall é o
proxy, não precisa de NAT uma vez que o usuário conecta no firewall e o
firewall conecta no servidor Web (usando o IP publico já). Teste as
regras abaixo:

# Politica: DROP
iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP

# Mantem estado das conexoes
iptables -A FORWARD-m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state INVALID -j DROP
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -m state --state INVALID -j DROP
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state INVALID -j DROP

# Redireciona usuarios para o proxy
iptables -t nat -A PREROUTING -p tcp -i eth2 --dport 80 -j REDIRECT
--to-port 3128
# Aceita usuarios conectando diretamente no proxy
iptables -A INPUT -p tcp --dport 3128 -i eth2 -j ACCEPT
# Aceita Firewall acessando a Internet
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT

Acho que isso vai funcionar sem problemas!

Atenciosamente,

Silvio Gissi
> Ok, mas assim para mandar para a porta 3128,
> mas nao precisa liberar no firewall, tudo o resto eh bloqueado
> entao eu preciso liberar no firewall
> eh um processamento local, na minha ideia ficaria assim
>
> #politica padrao do firewall
> sudo iptables -P FORWARD DROP
> sudo iptables -P OUTPUT DROP
> sudo iptables -P INPUT DROP
> #direcionando porta 80 para o proxy 3128
> sudo iptables -t nat -A PREROUTING -p tcp -i eth2 --sport 80 -j REDIRECT
> --to-port 3128
> #Liberando acesso da Rede Interna para a Internet através do PROXY (3128)
> sudo iptables -A INPUT -p tcp --dport 3128 -i eth2 -j ACCEPT
> sudo iptables -A OUTPUT -p tcp --dport 3128 -j ACCEPT
>
>