Правила iptables для squid

[Solodoron]

Добрый день. Iptables занимаюсь впервые, поэтому хотел попросить вашего мнения, на сколько правильно все написано. Может какие то записи можно грамотнее написать. Ну и может что то нужно доработать.
iptables настроен на компьютере, где используется squid.

Код: [Выделить]

#!/bin/sh
#пересылка пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Разрешаем трафик
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp3s0 -j ACCEPT

#разрешить принимать уже установленные соединения
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

#ICMP
iptables -A INPUT -p icmp -j ACCEPT

#SSH
iptables -A INPUT -s 192.168.1.111/32 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j DROP

#откроем доступ наружу из внутренней сети
iptables -A FORWARD -i enp3s0 -o eno1 -j ACCEPT

#влючаем NAT
iptables -t nat -A POSTROUTING -o eno1 -s 192.168.1.0/24 -j MASQUERADE

#Разрешить принимать ответы из внешней сети
iptables -A FORWARD -i eno1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Ограничим доступ во внутреннюю сеть снаружи
iptables -A FORWARD -i eno1 -o enp3s0 -j REJECT

#разрешить машинам ходить в интернет по портам
iptables -A FORWARD -p TCP -s 192.168.1.0/24 -m multiport --dport 80,443,53 -j ACCEPT
iptables -A FORWARD -p TCP -d 192.168.1.0/24 -m multiport --dport 80,443,53 -j ACCEPT
iptables -A FORWARD -p UDP -s 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p UDP -d 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT

#Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i enp3s0 ! -d 192.168.1.0/24 -p tcp -m multuport --dport 80,8080 -j DNAT --to 192.168.1.254:3228


Также через прокси работает wsus. Хочу написать ему правило, чтобы он мог работать только с серверами microsoft. Подскажите как это можно реализовать?

Пользователь добавил сообщение 03 Мая 2017, 13:32:56:Конечно по аналогии, хотелось бы ограничить доступ компьютеру только в определенную подсеть, находящаяся в интернете.
Это правило поможет?

Код: [Выделить]

iptables -t filter -A FORWARD -s 192.168.0.10 -d 234.234.234.0/24 -p tcp -m tcp --dport 80 -j ACCEPT


[salvador]

Solodoron, для чего вам нужен squid, если у вас и без squid в интернет доступ открыт?

#влючаем NAT
iptables -t nat -A POSTROUTING -o eno1 -s 192.168.1.0/24 -j MASQUERADE

[fisher74]

Видимо чтобы трафик считать, немного рулить или экономить

#Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i enp3s0 ! -d 192.168.1.0/24 -p tcp -m multuport --dport 80,8080 -j DNAT --to 192.168.1.254:3228

[Solodoron]

salvador85, у меня весь трафик идет через прокси. Без прописанного прокси на компьютере выйти в интернет невозможно

Код: [Выделить]

#Заворачиваем http на прокси
iptables -t nat -A PREROUTING -i enp3s0 ! -d 192.168.1.0/24 -p tcp -m multuport --dport 80,8080 -j DNAT --to 192.168.1.254:3228


[fisher74]

Это  у Вас кальмар не правильно настроен. Точнее не так. В таблесах настроено для прозрачного прокси, а сам прокси под это не настроен.

[salvador]

Solodoron, по всем портам в сети 192.168.1.0/24, кроме TCP 80 и 8080, вы пускаете в обход прокси.

[fisher74]

salvador85, Вы не совсем правы, так как

Без прописанного прокси на компьютере выйти в интернет невозможно

Т.е. Solodoron настройками браузера заворачивает все порты через прокси.

[Solodoron]

В таблесах настроено для прозрачного прокси, а сам прокси под это не настроен.

fisher74 подскажите пожалуйста, что вы имеете ввиду.
Пользователь добавил сообщение 04 Мая 2017, 16:33:31:

Solodoron, по всем портам в сети 192.168.1.0/24, кроме TCP 80 и 8080, вы пускаете в обход прокси.

salvador85 Разве правило делает так, чтобы весь трафик пользователей шел через прокси, разве нет? Это позволяет мониторить деятельность пользователей в интернете

[fisher74]

что вы имеете ввиду

именно то что написал.
Правило редректа заточено для прозрачного режима работы кальмара. А кальмара быть прозрачным не научили (судя по Вашим словам)

Разве правило делает так, чтобы весь трафик пользователей шел через прокси, разве нет?

Я Вас умоляю. Интернет уже давно не ограничивается только http. Я бы даже сказал, что http в 21-ом веке, наверное самый безобидный и худенький трафик.

[salvador]

Solodoron, сейчас тенденция такая, что сквид может только смотреть на какие домены ходил пользователь, т.к. больше половина трафика зашифровано.
Я не зря спросил зачем вам прокси.

Я на ваши правило смотрю в целом и выдаю готовый результат.

Сейчас у вас настроено так, что если в системе не настроен прокси, то все имеют выход в интернет по всем портам кроме 80 и 8080.

На мой взгляд, firewall нужно настраивать без подобных дыр, если вы хотите всех пускать через прокси. Отдельные пк можно выпускать в обход прокси настоив nat только для них (при необходимости).

[Solodoron]

salvador85и    fisher74
Основная задача нашего прокси - это выполнять функции кеширующего прокси.
Я подумал, почему бы не поэкспериментировать.

Я переработал конфиг прокси и вернул правила iptables к заводским.

Код: [Выделить]

#!/bin/sh
#пересылка пакетов
echo 1 > /proc/sys/net/ipv4/ip_forward

#Разрешаем траффик на lo
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i enp3s0 -j ACCEPT

#откроем доступ наружу из внутренней сети
iptables -A FORWARD -i enp3s0 -o eno1 -j ACCEPT

#влючаем NAT
iptables -t nat -A POSTROUTING -o eno1 -s 192.168.1.0/24 -j MASQUERADE

#Разрешить принимать ответы из внешней сети
iptables -A FORWARD -i eno1 -m state --state ESTABLISHED,RELATED -j ACCEPT

#Ограничим доступ во внутреннюю сеть снаружи
iptables -A FORWARD -i eno1 -o enp3s0 -j REJECT

#Перенаправление всего http-трафика на прокси-сервер
iptables -t nat -A PREROUTING -i enp3s0 ! -d 192.168.1.0/24 -p tcp -m multiport --dport 80,8080 -j DNAT --to 192.168.1.254:3128


Код: [Выделить]

#где работает наш прокси
acl ip_full src "/etc/squid/ip_full.list"
acl ip_admin src "/etc/squid/ip_admin.list"
acl cloud dst 172.0.0.0/8

acl SSL_ports port 443 #SSL
acl Safe_ports port 80 #HTTP
acl Safe_ports port 8080 #HTTP
acl Safe_ports port 53 #DNS
acl Safe_ports port 443 #HTTPS
acl Safe_ports port 21 #FTP
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #незарегистрированные порты
acl Safe_ports port 280 #HTTP-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl CONNECT method CONNECT

#разрешить доступ к прокси из внутренней сети
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

http_access allow localhost manager
http_access deny manager

http_access allow ip_full !cloud
http_access allow ip_admin cloud
http_access deny !ip_full
http_access deny !ip_admin

#порт и IP адрес сервера
http_port 3128

dns_nameservers х.х.х.х

#доступный объем оперативной памяти ОЗУ
cache_mem 3096 MB

#максимальный размер объекта в кэше
maximum_object_size_in_memory 512 KB

#директория хранения кеш
cache_dir ufs /var/spool/squid 7000 16 256

#максимальный и минимальный размер кэшируемого файла
minimum_object_size 2 KB
maximum_object_size 61440 KB

#записываем логи и храним их 31 день
access_log daemon:/var/log/squid/access.log squid
cache_log:/var/log/squid/cache.log
#cache_store_log daemon:/var/log/squid/store.log
debug_options ALL,1 # секция “ALL”, глубина отладки 1
logfile_rotate 31

coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern (Release|Packages(.gz)*)$ 0 20% 2880
refresh_pattern . 0 20% 4320

То что я хотел реализовать правилами iptables, реализовал прокси.
С iptables я занимаюсь впервые, поэтому меня интересовало насколько правильно я написал правила. В данный момент настроено так, что любой пользователь из подсети 192.168.1.0/24 не может сам воспользоваться интернетом.

Сегодня буду крутить "гайки" поставлю запрещающее правило и от этих настроек буду двигаться

Код: [Выделить]

iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP
Надеюсь хватит правил)) Посоветуйте пожалуйста в каком направлении нужно двигаться?

Код: [Выделить]

#разрешить машинам ходить в интернет по портам
iptables -A FORWARD -p TCP -s 192.168.1.0/24 -m multiport --dport 80,443,53 -j ACCEPT
iptables -A FORWARD -p TCP -d 192.168.1.0/24 -m multiport --dport 80,443,53 -j ACCEPT
iptables -A FORWARD -p UDP -s 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p UDP -d 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT

[salvador]

iptables -A FORWARD -p UDP -s 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p UDP -d 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT

Я правильно понимаю, что внутри вашей локальной сети нет кеширующего DNS?

[AnrDaemon]

Основная задача нашего прокси - это выполнять функции кеширующего прокси.

HTTPS контент кешировать не выйдет, вам проще будет просто убрать сквид и забыть о его существовании как о бесполезной мозголомке

[fisher74]

+1 к предыдущему оратору.
Вместо изучения кальмара, изучите лучше поглубже iptables - много полезней будет и для Вас и для системы.

[Solodoron]

iptables -A FORWARD -p UDP -s 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT
iptables -A FORWARD -p UDP -d 192.168.1.0/24 -m multiport --dport 53 -j ACCEPT

Я правильно понимаю, что внутри вашей локальной сети нет кеширующего DNS?

Внутри локальной сети нет кеширующего DNS.

+1 к предыдущему оратору.
Вместо изучения кальмара, изучите лучше поглубже iptables - много полезней будет и для Вас и для системы.

Поэтому я и занялся iptables)очень интересная вещь))