Fórum Debian
Firewall + squid, alguem pode me mandar?? - Versão para Impressão

+- Fórum Debian (http://www.forumdebian.com.br)
+-- Fórum: Debian (/forum-4.html)
+--- Fórum: Redes (/forum-17.html)
+--- Tópico: Firewall + squid, alguem pode me mandar?? (/thread-10737.html)

Páginas: 1 2


Firewall + squid, alguem pode me mandar?? - brunodisk - 13/02/2007 15:38

Alguem tem algum firewall simples, com proxy transpareten e squid.conf simples.?
prioridade: que seja testado para enviar e receber e-mails, atraves dos gerenciadores de e-mails convencionais, pois já desiste de tentar fazer o meu server enviar e receber e-mails...
mandem para mim fazendo favor...
obrigado...


- spikey - 13/02/2007 16:18

Bom, para isso existem vários tutoriais pela net, você pode pegar um e implementar suas regras, com quantas máquinas vc irá trabalhar?


- brunodisk - 13/02/2007 16:25

Vou trabalhar com umas 10 máquinas, tutoriais, já vi os monte, e implementei os montes, só que não consigo enviar e nem receber e-mails pelog gerenciador.. Por esse motivo eu estou querendo um .conf de um Firewall e squid, que esteja funcionando essa configuração...


- spikey - 13/02/2007 16:29

Só não entendi a aparte dos emails, pelo visto você não terá um servidor de email, não é? Que contas vai usar? pop e smtp, como as do UOL ou Terra por exemplo?


- brunodisk - 13/02/2007 16:33

Isso, não é um server de e-mail, e sim para usar contas aleatórias na rede, como: uol, yahoo etc...
não consigo enviar e nem receber e-mails atravez dos gerenciadores de e-mail... já fiz todo os tipos de configuração e não consegui.. por isso eu quero os .conf


- spikey - 13/02/2007 16:35

Passa aí suas configurações que corrigimos...


- allex.p - 13/02/2007 17:29

Se são estes e-mails gratuitos, não seria apenas liberar a porta 80? Vc esta navegando ou não saiu do zero ainda?


- spikey - 13/02/2007 19:23

Então, a observação do saboya é importante, seria somente webmail ou iria utilizar pop3 e smtp? se for o caso, seria interessante montar o script de firewall do zero...


- brunodisk - 13/02/2007 19:37

Pelo web mail funciona perfeitamante, a internet funiona perfeitamente.. só que pelo gerenciador não funciona, outlook express...
se alguem puder me ajudar,, estou no google talk [email protected]
msn: [email protected]
as minhas configurações eu já coloquei em outro tópico que eu coloquei, mais eu já desisti de mecher. por isso eu quero outras configurações...


- brunodisk - 14/02/2007 15:16

UP????
alguem se abilita a continuar.... ajuda....


- spikey - 14/02/2007 15:52

Então, é mais facil postar suas confs e ver o que está errado, montar um script agora na nossa forma fica mais difícil...pois vc tem suas proprias configurações de rede...


- brunodisk - 14/02/2007 19:33

firewall + Proxy transparente, aqui está o meu fireall, e as máquinas são windows...
#!/bin/bash
#BY BRUNO CONTIN
#
EXTERNAL=eth0
INTERNAL=eth1
IP=192.168.0.0/24
#LINUX=192.168.254.10

flush_rules()
{
iptables -F
iptables -t nat -F
iptables -t mangle -F
}

add_rules()
{
echo 1 > /proc/sys/net/ipv4/ip_forward

#CARREGANDO MODULOS
/sbin/modprobe iptable_nat
/sbin/modprobe ip_tables
/sbin/modprobe ipt_state
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ipt_multiport
/sbin/modprobe ip_nat_ftp
/sbin/modprobe iptable_mangle
/sbin/modprobe ipt_tos
/sbin/modprobe ipt_limit

#REDIRECIONAMENTOS
#Terminal Service
#iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 3389 -j DNAT --to 192.168.0.36
#iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 4662 -j DNAT --to 192.168.0.10
#iptables -t nat -A PREROUTING -i $EXTERNAL -p udp --dport 4672 -j DNAT --to 192.168.0.10
#iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 50000 -j DNAT --to 192.168.0.10
#iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 6881:6889 -j DNAT --to 192.168.0.10
#iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 80 - DNAT --to 192.168.0.13
#OUTLOOK
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 25 -o $EXTERNAL
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 110 -o $EXTERNAL
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p udp --dport 53 -o $EXTERNAL

#PORTAS
#TERMINAL
#iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 3389 -o $EXTERNAL
#SERASA
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp -d sitenet11.serasa.com.br --dport 443 -o $EXTERNAL
#FTP
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 21 -o $EXTERNAL
#
#RECEITA
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 3456 -o $EXTERNAL
#
#SINTEGRA
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 8017 -o $EXTERNAL
#
#HTTPS
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 443 -o $EXTERNAL
#
#IRC
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 6667 -o $EXTERNAL
#
#CONECTIVIDADE CAIXA ECONOMICA
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp -d 200.201.174.207 --dport 80 -o $EXTERNAL
#
#RADIO ONLINE
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 50000 -o $EXTERNAL
#
#FIREBIRD
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 3050 -o $INTERNAL
iptables -I POSTROUTING -j MASQUERADE -t nat -s $IP -p tcp --dport 3051 -o $INTERNAL

#Liberando acesso por ping
iptables -A INPUT -p icmp --icmp-type 8 -i eth0 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -j ACCEPT
iptables -A INPUT -p icmp -s $IP -d 0/0 -j ACCEPT

#Liberando acesso ao SSH
iptables -A INPUT -p TCP --dport 22 -j ACCEPT
iptables -A INPUT -p TCP --dport 1194 -j ACCEPT

#Liberando acesso ao DNS Local
iptables -A INPUT -p UDP --dport 53 -j ACCEPT

#Liberando acesso ao Proxy
#iptables -A INPUT -p TCP --dport 3128 -j ACCEPT

#VNC
iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 5900 -j DNAT --to 192.168.0.10
iptables -t nat -A PREROUTING -i $EXTERNAL -p tcp --dport 5800 -j DNAT --to 192.168.0.10

#Contra ataques Syn-flood
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#Contra Port scanners avançados (nmap)
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST SYN -m limit --limit 1/s -j ACCEPT

# Allow all connections OUT and only related ones IN
iptables -A FORWARD -i $EXTERNAL -o $INTERNAL -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i $INTERNAL -o $EXTERNAL -j ACCEPT
}

case $1 in
start)
echo -n Starting Firewall...
add_rules
echo "Done"
;;
stop)
echo -n Stoping Firewall...
flush_rules
echo "Done"
;;
restart)
echo -n Restarting Firewall...
flush_rules
add_rules
echo "Done"
;;
status)
echo "============================ Firewall rules:"
iptables -L -n
echo "============================ Masquerade tables:"
iptables -t nat -L -n
echo "============================ Mangle table:"
iptables -t mangle -L -n
;;
*)
echo Usar: "$0 { status | start | stop | restart }"
;;
esac

meu squid...


http_port 3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 16 MB

maximum_object_size_in_memory 64 KB

maximum_object_size 16 MB
minimum_object_size 0 KB

cache_swap_low 90
cache_swap_high 95

cache_dir ufs /var/spool/squid 512 16 256

cache_access_log /var/log/squid/access.log

visible_hostname sentinela

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 #https, snews
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wai
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

acl total src 192.168.0.10 192.168.0.28
acl plebe src 192.168.0.01-192.168.0.149/255.255.255.0

acl liberados url_regex -i "/etc/squid/liberados"

# W: Comentei aqui
# acl redelocal src 192.168.0.0/24
# http_access allow redelocal
#http_access allow all total
http_access allow all liberados
http_access allow all total
http_access deny all

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on


- brunodisk - 14/02/2007 19:34

estás são as minhas configuraçãoes;;;


- spikey - 14/02/2007 20:01

Certo, agora deu para entender, dê uma olhada nesse artigo ( http://www.vivaolinux.com.br/dicas/verD ... odigo=1159 ), seu problema pode estar nas suas regras de firewall...


- brunodisk - 15/02/2007 06:07

Já emplementei essas regras e não deu certo também..