Ol� pessoal!
Coloquei um servidor na rede para que seja somente o firewall (sem
nenhum servi�o a mais rodando no mesmo) de um acesso ISDN e estou com
alguns problemas agora no redirecionamento.
Vejam o gr�fico abaixo:
_______ ________
| DNS | | |
| HTTP | | |
| PROXY |192.168.1.2 |Firewall|
| SAMBA | | | acesso discado
| DHCP | | |------ <==> INTERNET
|_______| |________|
| 192.168.1.1 | 200.x.x.x
| |
| |
|___________________ |
| |
__|_|___
| switch |
--------
|
______|________
| rede interna |
|192.168.1.0/24 |
---------------
O problema � que agora n�o consigo navegar via proxy. J� coloquei o
gateway para a rede interna como sendo o firewall (192.168.1.1) ou o
proxy server (192.168.1.2), onde este tem como gateway o firewall
(192.168.1.1) e n�o tem jeito. Quando o pacote chega no firewall, vem
com destino na porta 80.
O que poderia fazer para que o usu�rio navegasse via proxy
(192.168.1.2) sendo que o gateway do mesmo fosse o firewall
(192.168.1.1)?
Qualquer ajuda seria bem vinda.
Obrigado,
Tato
O script que estou usando � o seguinte:
#!/bin/sh
##### Defini��o de Policiamento #####
# Tabela filter
iptables -F
iptables -t nat -F
iptables -X
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD DROP
# Tabela nat
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t nat -P POSTROUTING DROP
##### Chain INPUT #####
iptables -N ippp-input
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -i eth0 -j ACCEPT
# Conex�es vindas da interface ippp0 s�o tratadas pelo chain ippp-
input
iptables -A INPUT -i ippp+ -j ippp-input
# Qualquer outra conex�o desconhecida � imediatamente registrada e
derrubada
iptables -A INPUT -j LOG --log-prefix "FIREWALL: INPUT "
iptables -A INPUT -j DROP
##### Chain FORWARD ####
# Permite redirecionamento de conex�es entre as interfaces locais
# especificadas abaixo. Qualquer tr�fego vindo/indo para outras
# interfaces ser� bloqueado neste passo
#iptables -A FORWARD -p tcp -d 0/0 --dport 80 -j DROP
iptables -A FORWARD -d 192.168.1.0/24 -i ippp+ -o eth0 -j ACCEPT
iptables -A FORWARD -s 192.168.1.0/24 -i eth0 -o ippp+ -j ACCEPT
iptables -A FORWARD -j LOG --log-prefix "FIREWALL: FORWARD "
iptables -A FORWARD -j DROP
##### Chain ppp-input ####
# Aceito todas as mensagens icmp vindas de ppp0 com certa limita��o
iptables -A ippp-input -p icmp -m limit --limit 2/s -j ACCEPT
# A tentativa de acesso externo a estes servi�os ser�o registrados no
syslog
# do sistema e ser�o bloqueados pela �ltima regra abaixo.
iptables -A ippp-input -p tcp --dport 1:1023 -j LOG --log-
prefix "Portas principais: "
iptables -A ippp-input -p tcp --dport 1:1023 -j DROP
# Bloqueia qualquer tentativa de nova conex�o de fora para esta
m�quina
iptables -A ippp-input -m state --state ! ESTABLISHED,RELATED -j LOG -
-log-prefix "FIREWALL: ppp-in "
iptables -A ippp-input -m state --state ! ESTABLISHED,RELATED -j DROP
# Qualquer outro tipo de tr�fego � aceito
iptables -A ippp-input -j ACCEPT
iptables -t nat -A POSTROUTING -o lo -j ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j ACCEPT
# Com uso proxy, o acesso direto � porta 80 � bloqueado
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ippp+ -p tcp --
dport 80 -j LOG --log-prefix "FIREWALL: SNAT-www "
#iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ippp+ -p tcp --
dport 80 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ippp+ -j
MASQUERADE
# Qualquer outra origem de tr�fego desconhecida indo para eth0
(conex�es vindas
# de ppp+) s�o bloqueadas aqui
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j LOG --log-
prefix "FIREWALL: SNAT unknown"
iptables -t nat -A POSTROUTING -o eth0 -d 192.168.1.0/24 -j DROP
iptables -t nat -A POSTROUTING -o ippp+ -j ACCEPT
# Registra e bloqueia qualquer outro tipo de tr�fego desconhecido
iptables -t nat -A POSTROUTING -j LOG --log-prefix "FIREWALL: SNAT "
iptables -t nat -A POSTROUTING -j DROP
Assinantes em 05/09/2002: 2231
Mensagens recebidas desde 07/01/1999: 181964
Historico e [des]cadastramento: http://linux-br.conectiva.com.br
Assuntos administrativos e problemas com a lista:
mailto:[EMAIL PROTECTED]
