Iptables

Question

Estou com um problema...e ateh agora nao arranjei uma solu&ccedil;&atilde;o vi&aacute;vel, eh seguinte:

Estou com um servidor iptables e squid, quero obrigar todos a passar pelo squid, exceto 10 faixas de ip&acute;s
quero que essas 10 faixas acessem a internet direto
as outras faixas quero que sejam obrigadas a configurar o proxy, para usar a internet!!!

J&aacute; tentei o comando:
iptables -t nat -A PREROUTING -i $iflocal ! -s 192.168.8.31 -p tcp  --dport 80 -j REDIRECT --to-port 3128

Onde consigo acessar a internet direto com ip 192.168.8.31, os demais ip's sao redirecionados para a porta 3128, obrigando a usar o squid!!!

O Problema...eh que preciso de mais 9 faixas de ip's para acessar a internet direto!!!!!

Alguem sabe alguma alternativa????

Answer

Faz assim:

#----FORWARD-----
$IPTABLES -A FORWARD -s 192.168.0.1 -j ACCEPT #Libera totalmente a rede para 192.168.0.1
$IPTABLES -A FORWARD -s 192.168.0.2 -j ACCEPT #Libera totalmente a rede para 192.168.0.2
$IPTABLES -A FORWARD -s 192.168.0.3 -j ACCEPT #Libera totalmente a rede para 192.168.0.3

#----CONEXAO AO SQUID-----
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.0.1 -j RETURN
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.0.2 -j RETURN
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -s 192.168.0.3 -j RETURN
$IPTABLES -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128

Obs. Substitua os IPs que coloquei acima pelos IPs que vc quer liberar...

flw

Answer

iptables -t nat -A PREROUTING -p tcp --dport 80 -j TESTA_REDIR

iptables -t nat -N TESTA_REDIR

iptables -t nat -A TESTA_REDIR -s 192.168.8.31 -j RETURN
iptables -t nat -A TESTA_REDIR -s 192.168.8.32 -j RETURN
...
iptables -t nat -A TESTA_REDIR -s 192.168.8.200 -j RETURN
iptables -t nat -A TESTA_REDIR -j REDIRECT --to-port 3128

Answer

Ok deu certo...

estou com um outro problema, tenho um servidor de cameras que utiliza a porta 7070 para ser acessado pela internet!!!]
por&eacute;m n&atilde;o estou conseguindo acess&aacute;-lo

jah fiz os seguintes procedimentos:
primeiro liberei o ip para nao passar pelo proxy
iptables -A FORWARD -s 192.168.8.x -j ACCEPT

liberei a porta tcp e upd
iptables -A FORWARD -p tcp --dport 7070 -j ACCEPT
iptables -A FORWARD -p udp --dport 7070 -j ACCEPT

Answer

[quote=Fndiaz, post: 4815637]Ok deu certo...

estou com um outro problema, tenho um servidor de cameras que utiliza a porta 7070 para ser acessado pela internet!!!]
por&eacute;m n&atilde;o estou conseguindo acess&aacute;-lo

jah fiz os seguintes procedimentos:
primeiro liberei o ip para nao passar pelo proxy
iptables -A FORWARD -s 192.168.8.x -j ACCEPT[/quote]
Isso n&atilde;o &eacute; necess&aacute;rio, quando a m&aacute;quina &eacute; acessada de fora. S&oacute; quando a m&aacute;quina inicia as conex&otilde;es de dentro para fora.


liberei a porta tcp e upd
iptables -A FORWARD -p tcp --dport 7070 -j ACCEPT
iptables -A FORWARD -p udp --dport 7070 -j ACCEPT

S&atilde;o poucas as aplica&ccedil;&otilde;es que usam TCP e UDP ao mesmo tempo. Voc&ecirc; confirmou a necessidade disso, em algum lugar? N&atilde;o que atrapalhe, mas &eacute; desnecess&aacute;rio.

S&oacute; faltou o mais importante: redirecionar os acessos externos recebidos na porta 7070 para o IP da m&aacute;quina servidora das c&acirc;meras na rede local.

iptables -t nat -A PREROUTING -p tcp -i  --dport 7070 -j DNAT --to 192.168.8.x

Eu sinceramente n&atilde;o acho que seja necess&aacute;rio o redirecionamento da porta UDP. Se for, a regra fica como exerc&iacute;cio pra vc. ;)

Ferramentas

Mover Tópico