[Ayuda] Squid y Firewall

valeck en axtel.net valeck en axtel.net
Mar Dic 14 18:29:29 CST 2004


Saludos a todos.
Estoy implementando a nivel experimental y casero un proxy y un firewall,
para esto estoy usando slackware 10 en modo texto, squid 2.5 (el cual
compile directamente) y como firewall estoy usando actualmete gShield pero
con la opcion de cambiar a Shorewall para poder administralo de una forma
grafica instale webmind.

Despues de configurar el squid y arrancarlo puedo navegar en mis demas
maquinas, posterior mente instale y configure el gShield, pero no me es
posible accesar mi correo electronico y los mensajeros, aunque ya le
determien que me permita el acceso a los puertos correspondientes.

Ya llevo un buen rato meneandole al asunto y en lugar de entenderle siento
que me estoy confundiendo cada vez mas.

Ahora estoy intentando con el Shorewall pero sale peor la cosa pues pierdo
toda  navegacion.

No uso FireStarter porque necesito que todo sea en modo texto o por medio
del  webmind.

Segun declare en mis politicas que me permita el acceso desde mi red
interna a la externa y en la reglas le estoy indicando que me permita el
acceso a los puertos necesarios.

Agradeceria enormemente su ayuda y si me indican que hacer y como hacerlo
paso a paso.

Si mi experiencia en redes no es muy grande y fuerte pero es necesario
darle a esta etapa.

Anexo lo que me indica el iptables al arrancar mi firewall con gShield

 Generated by iptables-save v1.2.10 on Tue Dec 14 18:30:01 2004
*mangle
:PREROUTING ACCEPT [149544:24531198]
:INPUT ACCEPT [149544:24531198]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [144974:187227400]
:POSTROUTING ACCEPT [144917:187223740]
-A PREROUTING -p tcp -m tcp --sport 20 -j TOS --set-tos 0x08 
-A PREROUTING -p tcp -m tcp --sport 22 -j TOS --set-tos 0x10 
-A PREROUTING -p tcp -m tcp --sport 23 -j TOS --set-tos 0x10 
-A PREROUTING -p tcp -m tcp --sport 80 -j TOS --set-tos 0x08 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 20 -j TOS --set-tos 0x08 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 22 -j TOS --set-tos 0x08 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 80 -j TOS --set-tos 0x08 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 119 -j TOS --set-tos 0x08 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 21 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 22 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 23 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 25 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 53 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p udp -m udp --dport 53 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 119 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 110 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 143 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 6660:6669 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 7000 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 7500 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 7501 -j TOS --set-tos 0x10 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 7777 -j TOS --set-tos 0x10 
COMMIT
# Completed on Tue Dec 14 18:30:01 2004
# Generated by iptables-save v1.2.10 on Tue Dec 14 18:30:01 2004
*nat
:PREROUTING ACCEPT [1718:93402]
:POSTROUTING ACCEPT [1361:68196]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -s 192.168.100.0/255.255.255.0 -d !
192.168.100.0/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports
8080 
-A PREROUTING -s 192.168.100.0/255.255.255.0 -d !
192.168.100.0/255.255.255.0 -p udp -m udp --dport 80 -j REDIRECT --to-ports
8080 
-A POSTROUTING -s 192.168.100.0/255.255.255.0 -o ppp0 -j MASQUERADE 
COMMIT
# Completed on Tue Dec 14 18:30:01 2004
# Generated by iptables-save v1.2.10 on Tue Dec 14 18:30:01 2004
*filter
:INPUT DROP [4:244]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [452:322323]
:ACCEPTnLOG - [0:0]
:BLACKLIST - [0:0]
:BLOCK_OUT - [0:0]
:CLIENT - [0:0]
:CLOSED - [0:0]
:DHCP - [0:0]
:DMZ - [0:0]
:DNS - [0:0]
:DROPICMP - [0:0]
:DROPnLOG - [0:0]
:HIGHPORT - [0:0]
:MON_OUT - [0:0]
:MULTICAST - [0:0]
:OPENPORT - [0:0]
:PUBLIC - [0:0]
:RESERVED - [0:0]
:SCAN - [0:0]
:SERVICEDROP - [0:0]
:STATEFUL - [0:0]
:loopback - [0:0]
-A INPUT -i lo -j loopback 
-A INPUT -s 10.0.0.0/255.0.0.0 -i ppp0 -j RESERVED 
-A INPUT -s 172.16.0.0/255.240.0.0 -i ppp0 -j RESERVED 
-A INPUT -s 192.168.0.0/255.255.0.0 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.1 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.2 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.4 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.5 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.6 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.9 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.13 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.15 -i ppp0 -j RESERVED 
-A INPUT -s 224.0.0.1 -i ppp0 -j MULTICAST 
-A INPUT -s 224.0.0.2 -i ppp0 -j MULTICAST 
-A INPUT -s 224.0.0.4 -i ppp0 -j MULTICAST 
-A INPUT -s 224.0.0.5 -i ppp0 -j MULTICAST 
-A INPUT -s 224.0.0.6 -i ppp0 -j MULTICAST 
-A INPUT -s 224.0.0.9 -i ppp0 -j MULTICAST 
-A INPUT -s 224.0.0.13 -i ppp0 -j MULTICAST 
-A INPUT -s 224.0.0.15 -i ppp0 -j MULTICAST 
-A INPUT -p icmp -m limit --limit 1/sec -j ACCEPT 
-A INPUT -p udp -m udp --sport 32769:65535 --dport 33434:33523 -j ACCEPT 
-A INPUT -s 21.31.194.62 -i ppp0 -p udp -m udp --sport 67 --dport 68 -j
DHCP 
-A INPUT -s 21.31.194.62 -i ppp0 -p udp -m udp --sport 67 --dport 68 -j
DHCP 
-A INPUT -s 200.52.12.131 -p udp -m udp --sport 53 -j DNS 
-A INPUT -s 200.52.12.132 -p udp -m udp --sport 53 -j DNS 
-A INPUT -d 200.56.76.106 -p tcp -m tcp --dport 113 -j PUBLIC 
-A INPUT -d 200.56.76.106 -p udp -m udp --dport 113 -j PUBLIC 
-A INPUT -p tcp -m tcp --dport 1024:65535 -j HIGHPORT 
-A INPUT -p udp -m udp --dport 1024:65535 -j HIGHPORT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 20 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 20 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 21 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 21 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 22 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 22 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 25 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 25 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 110 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 110 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 80 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 80 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 443 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 443 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 8000 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 8000 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p tcp -m tcp --dport 1863 -j CLIENT 
-A INPUT -s 192.168.100.2 -i ppp0 -p udp -m udp --dport 1863 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 20 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 20 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 21 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 21 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 22 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 22 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 25 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 25 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 110 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 110 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 80 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 80 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 443 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 443 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 8000 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 8000 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p tcp -m tcp --dport 1863 -j CLIENT 
-A INPUT -s 192.168.100.1 -i ppp0 -p udp -m udp --dport 1863 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 20 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 20 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 21 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 21 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 22 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 22 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 25 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 25 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 110 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 110 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 80 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 80 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 443 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 443 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 8000 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 8000 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p tcp -m tcp --dport 1863 -j CLIENT 
-A INPUT -s 192.168.100.3 -i ppp0 -p udp -m udp --dport 1863 -j CLIENT 
-A INPUT -p tcp -m tcp --dport 20 -j OPENPORT 
-A INPUT -p udp -m udp --dport 20 -j OPENPORT 
-A INPUT -p tcp -m tcp --dport 22 -j OPENPORT 
-A INPUT -p udp -m udp --dport 22 -j OPENPORT 
-A INPUT -p tcp -m tcp --dport 25 -j OPENPORT 
-A INPUT -p udp -m udp --dport 25 -j OPENPORT 
-A INPUT -p tcp -m tcp --dport 443 -j OPENPORT 
-A INPUT -p udp -m udp --dport 443 -j OPENPORT 
-A INPUT -p tcp -m tcp --dport 110 -j OPENPORT 
-A INPUT -p udp -m udp --dport 110 -j OPENPORT 
-A INPUT -p tcp -m tcp --dport 1024 -j OPENPORT 
-A INPUT -p udp -m udp --dport 1024 -j OPENPORT 
-A INPUT -p tcp -m tcp --dport 1863 -j OPENPORT 
-A INPUT -p udp -m udp --dport 1863 -j OPENPORT 
-A INPUT -j STATEFUL 
-A FORWARD -o ppp0 -p tcp -m tcp --dport 137 -j BLOCK_OUT 
-A FORWARD -o ppp0 -p udp -m udp --dport 137 -j BLOCK_OUT 
-A FORWARD -o ppp0 -p tcp -m tcp --dport 138 -j BLOCK_OUT 
-A FORWARD -o ppp0 -p udp -m udp --dport 138 -j BLOCK_OUT 
-A FORWARD -o ppp0 -p tcp -m tcp --dport 139 -j BLOCK_OUT 
-A FORWARD -o ppp0 -p udp -m udp --dport 139 -j BLOCK_OUT 
-A FORWARD -j STATEFUL 
-A OUTPUT -o lo -j loopback 
-A OUTPUT -p icmp -m state --state INVALID -j DROP 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 137 -j BLOCK_OUT 
-A OUTPUT -o ppp0 -p udp -m udp --dport 137 -j BLOCK_OUT 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 138 -j BLOCK_OUT 
-A OUTPUT -o ppp0 -p udp -m udp --dport 138 -j BLOCK_OUT 
-A OUTPUT -o ppp0 -p tcp -m tcp --dport 139 -j BLOCK_OUT 
-A OUTPUT -o ppp0 -p udp -m udp --dport 139 -j BLOCK_OUT 
-A ACCEPTnLOG -j LOG --log-prefix "gShield (accept) " 
-A ACCEPTnLOG -j ACCEPT 
-A BLACKLIST -j LOG --log-prefix "gShield (blacklisted drop) " 
-A BLACKLIST -j DROP 
-A BLOCK_OUT -j DROP 
-A CLIENT -j ACCEPT 
-A CLOSED -j LOG --log-prefix "gShield (closed port drop) " 
-A CLOSED -p tcp -j REJECT --reject-with tcp-reset 
-A CLOSED -p udp -j REJECT --reject-with icmp-port-unreachable 
-A CLOSED -j DROP 
-A DHCP -j LOG --log-prefix "gShield (DHCP accept) " 
-A DHCP -j ACCEPT 
-A DMZ -j LOG --log-prefix "gShield (DMZ drop) " 
-A DMZ -j DROP 
-A DNS -j ACCEPT 
-A DROPICMP -j DROP 
-A DROPnLOG -p udp -m udp --dport 137:139 -j DROP 
-A DROPnLOG -p tcp -m tcp --sport 80 --dport 1024:65535 ! --tcp-flags
SYN,RST,ACK SYN -j ACCEPT 
-A DROPnLOG -d 255.255.255.255 -p udp -m udp --sport 67 --dport 68 -j DROP 
-A DROPnLOG -m limit --limit 20/min -j LOG --log-prefix "gShield (default
drop) " 
-A DROPnLOG -p gre -m limit --limit 20/min -j LOG --log-prefix "gShield
(default drop / GRE) " 
-A DROPnLOG -p tcp -j REJECT --reject-with tcp-reset 
-A DROPnLOG -p udp -j REJECT --reject-with icmp-port-unreachable 
-A DROPnLOG -j DROP 
-A HIGHPORT -j ACCEPT 
-A MON_OUT -j ACCEPT 
-A MULTICAST -j DROP 
-A OPENPORT -j ACCEPT 
-A PUBLIC -j ACCEPT 
-A RESERVED -p tcp -j REJECT --reject-with tcp-reset 
-A RESERVED -p udp -j REJECT --reject-with icmp-port-unreachable 
-A RESERVED -j DROP 
-A SCAN -j LOG --log-prefix "gShield (possible port scan) " 
-A SCAN -j DROP 
-A SERVICEDROP -j LOG --log-prefix "gShield (service drop) " 
-A SERVICEDROP -p tcp -j REJECT --reject-with tcp-reset 
-A SERVICEDROP -p udp -j REJECT --reject-with icmp-port-unreachable 
-A SERVICEDROP -j DROP 
-A STATEFUL -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A STATEFUL -i ! ppp0 -m state --state NEW -j ACCEPT 
-A STATEFUL -j DROPnLOG 
-A loopback -i lo -j ACCEPT 
COMMIT
# Completed on Tue Dec 14 18:30:01 2004


--------------------------------------------------------------------
mail2web - Check your email from the web at
http://mail2web.com/ .



 
_______________________________________________
Ayuda mailing list
Ayuda en linux.org.mx
Para salir de la lista: http://mail.linux.org.mx/cgi-bin/mailman/listinfo/ayuda/



Más información sobre la lista de distribución Ayuda