Benötige Hilfe mit iptables [dringend]

Lightslayer

Lightslayer

Registered User
Hallo Leute,
ich benötige leider Hilfe mit iptables. Habe einen Proxy Server mit folgender Software hier laufen:
- Ubuntu Server 8.10
- transparenter Squid
- Bind9 (DNS-Server mit verweis auf weiteren DNS 192.168.2.1)
- Samba

Damit der transparente Squid überhaupt funktioniert habe ich diese iptables-Regeln als Startscript auf meinem Proxy eingerichtet.
iptables -t nat -A PREROUTING -i eth4 -p tcp --dport 80 -j DNAT --to 192.168.2.100:3128

iptables -t nat -A PREROUTING -i eth4 -p tcp --dport 80 -j REDIRECT --to-port 3128

Nun würde die Firewall noch gerne komplett absichern, sodass nur Ports offen sind, die auch sein müssen.

Dienste mit Ports:
ssh: 22/tcp
domain: 53/tcp
netbios-ssn: 139/tpc
microsoft-ds: 445/tcp
squid-http: 3128/tcp
snet-sensor-mgmt: 10000/tcp
dns: 53/tcp

Auf dem Proxy Server läuft Webmin als Weboberfläche.

Aufbau meines Netzwerks:
Router (IP 192.168.2.1)---> Switch --> Proxy IP: 192.168.2.100 Squid-Port: 3128 DNS: 192.168.2.1
Router (IP 192.168.2.1)---> Switch --> ClientIP: 192.168.2.113 Gateway: 192.168.2.100 DNS: 192.168.2.100

Beschreibung: Der Router stellt die Inet-Verbindung her, am Router befindet sich ein Switch, an diesem Switch ist der Proxy und der Client-PC angestöpselt!

Wäre jemand so nett und würde mir bitte helfen, soll bis heute Abend fertiggestellt sein.

Ich bedanke mich im Voraus!
 
Meine bisher erstellten iptables-Regeln:
iptables -F
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 22 -j ACCEPT
--- SSH port
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
--- Zugriff auf loopback Interface
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 80 -j ACCEPT
--- Open HTTP port
iptables -A INPUT -p tcp -i eth0 --dport 3128 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 3128 -j ACCEPT
--- Open Squid port
iptables -A INPUT -p udp -m udp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT
--- Ports > 1000 frei geben
iptables -A INPUT -p tcp -i eth0 --dport 139-j ACCEPT
--- Accept DNS connection
iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 --destination-port 53 -j ACCEPT
--- Accept local Samba connection
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.2.100:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -P INPUT DROP
--- transparenter Proxy umleitung Port 80 auf 3128
iptables -P INPUT DROP

Doch irgendwie kann ich mit diesen Regeln nicht mehr alle Seiten laden. Manche Seiten kann ich durch den transparenten Proxy laden, z. B: bei amazon.de kommt der Fehler: Der Server unter Amazon.de konnte nicht gefunden werden.

Über Hilfe würde ich mich freuen!
 
Last edited by a moderator:
Vielleicht für Leute, die das gleiche machen wollen wie ich.

Es läuft nun alles bei mir, anbei meine iptables-Regeln, die per Startscript bei jedem Tag automatisch gestartet werden:
iptables -F
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 22 -j ACCEPT
iptables -A INPUT -i lo -p all -j ACCEPT
iptables -A OUTPUT -o lo -p all -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 3128 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 3128 -j ACCEPT
iptables -A INPUT -p udp -m udp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 139 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 953 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 953 -j ACCEPT
iptables -A INPUT -p tcp -i eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p udp -i eth0 --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.2.0/24 --destination-port 53 -j ACCEPT
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.2.100:3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -P INPUT DROP
 
You must log in or register to reply here.
Back
Top