Re: Ainda o Iptables +NAT+ Squid - não consigo re solver de geito nenhum...

Tue, 10 Jul 2007 20:53:10 -0700 

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

On 07/10/2007 02:38 PM, Marcelo Castilho Manzano wrote:
> Gente,
[...]
> Como o squid só trabalha sobre FTP e HTTP....

        Na verdade a ordem de quem está sobre quem é ao contrário
mas a idéia é quase essa.


> através dele não consigo liberar a saída e entrada dos pacotes 
> do meu servidor de e-mail(pop3/smtp) via IPTABLES.
> Tenho hoje em minha rede:

[...]

> Será que alguém poderia me passar os comandos pra configurar 
> isso que tô querendo..
> A idéia é deixar tudo fechado e liberar somente os site que 
> a diretoria me informar..
> Preciso de algo pro usuário não conseguir navegar se retirar a
> configuração do proxy do navegador...

        É só não fazer MASQ para todas as portas.


> Obrigado a todos....(não me levem a mal não estou sendo folgado
> não....podem ver no
> histórico da lista, já mandei e-mail de enchorrada pra ver se eu
> entendia....porém sem exito..
> abraço a todos

        Dizem que é melhor ensinar a pescar do que dar o peixe,
os dois sites abaixo costumam ser grandes referências entre quem
está começando com iptables:

                http://www.eriberto.pro.br/iptables/
                http://www.iptables.cjb.net/


        As regras de iptables seguem um padrão mais ou menos assim:

# iptables -t TABELA -A CADEIA -p PROTOCOLO -s ORIGEM -d DESTINO -j AÇÃO

Então:

# iptables -t nat -A POSTROUTING -p tcp -s <REDE-LAN> -d <SRV-MAIL> --dport 25 
-j MASQ


        Com isso você deve ter material para fazer os ajustes que
precisa, num futuro não muito distante, você vai descobrir que é
possível usar multiport, que há vantagens em usar SNAT no lugar de
MASQ e assim por diante. E dependendo das regras e da configuração
do seu firewall, serão necessárias outras linhas para liberar os
fluxo de retorno.

        Não esqueça de habilitar o "forward" de pacotes:

                echo 1 > /proc/sys/net/ipv4/ip_forward


        Abraço,
- --
Felipe Augusto van de Wiel (faw)
"Debian. Freedom to code. Code to freedom!"
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQFGlFQ3CjAO0JDlykYRAneGAJ9VGbursGHPQvZtxlIx5nS3M2lkQQCffVvy
+wj8uCTBTKi6xNmDCTcx7Zk=
=7jDq
-----END PGP SIGNATURE-----


-- 
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

Responder a