IPTABLES
1) Primero tendremos que activar una opción que está en el archivo:
"sysctl.conf"( /etc/sysctl.conf )
sudo gedit /etc/sysctl.conf
En este archivo al final escribiremos dos líneas:
#router
net.ipv4.ip_forward=1
net.ipv4.ip_forward=1
2) Para que las reglas a asignar se carguen cada vez que se inicia Ubuntu se debe agregar al inicio.
Crearemos el script donde podremos agregar o modificar reglas a futuro.
Crearemos el script donde podremos agregar o modificar reglas a futuro.
También, como squid no trabaja con puertos pop3 (outlook) y demás
aplicaciones, aquí agregamos reglas para que ciertos equipos tengan permitida
la salida por esos puertos que squid no trabaja, por ello lo redirigimos
direntamente. También filtraremos "facebook" con los rangos de IP que utiliza actualmente (puede cambiar, son dinamicos)
sudo nano /home/scriptiptables
Y agregamos:
#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
# Reglas para que ciertas IP tengan acceso a MSN y Outlook Express, es este caso 192.168.10.10 a la 192.168.10.14
iptables -t nat -A POSTROUTING -s 192.168.10.10 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.11 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.12 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.13 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.14 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.15 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.16 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.17 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.18 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.19 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.20 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.21 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.22 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.23 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.24 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.25 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.26 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.27 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.28 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.29 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
# Rango con DHCP -de 30 a 40
iptables -t nat -A POSTROUTING -s 192.168.10.30 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.31 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.32 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.33 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.34 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.35 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.36 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.37 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.38 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.39 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.40 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
#!/bin/bash
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A FORWARD -i lo -j ACCEPT
iptables -A INPUT -j ACCEPT
iptables -A OUTPUT -j ACCEPT
iptables -A FORWARD -j ACCEPT
# Reglas para que ciertas IP tengan acceso a MSN y Outlook Express, es este caso 192.168.10.10 a la 192.168.10.14
iptables -t nat -A POSTROUTING -s 192.168.10.10 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.11 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.12 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.13 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.14 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.15 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.16 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.17 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.18 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.19 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.20 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.21 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.22 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.23 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.24 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.25 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.26 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.27 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.28 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.29 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
# Rango con DHCP -de 30 a 40
iptables -t nat -A POSTROUTING -s 192.168.10.30 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.31 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.32 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.33 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.34 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.35 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.36 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.37 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.38 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.39 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.10.40 -d 0.0.0.0/0.0.0.0 -o eth0 -j MASQUERADE
# BLOQUEO FACEBOOK - Actual Rango de IPs de 2011 (puede cambiar)
iptables -A FORWARD -d 65.201.208.24/29 -j REJECT
iptables -A FORWARD -d 65.204.104.128/28 -j REJECT
iptables -A FORWARD -d 66.93.78.176/29 -j REJECT
iptables -A FORWARD -d 66.92.180.48/28 -j REJECT
iptables -A FORWARD -d 67.200.105.48/30 -j REJECT
iptables -A FORWARD -d 69.63.176.0/20 -j REJECT
iptables -A FORWARD -d 69.171.224.0/19 -j REJECT
iptables -A FORWARD -d 74.119.76.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 66.220.144.0/20 -j REJECT
iptables -A FORWARD -d 173.252.64.0/18 -j REJECT
iptables -A FORWARD -d 66.199.37.136/29 -j REJECT
iptables -A FORWARD -d 65.201.208.24/29 -j REJECT
iptables -A FORWARD -d 65.204.104.128/28 -j REJECT
iptables -A FORWARD -d 66.93.78.176/29 -j REJECT
iptables -A FORWARD -d 66.92.180.48/28 -j REJECT
iptables -A FORWARD -d 67.200.105.48/30 -j REJECT
iptables -A FORWARD -d 69.63.176.0/20 -j REJECT
iptables -A FORWARD -d 69.171.224.0/19 -j REJECT
iptables -A FORWARD -d 74.119.76.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 204.15.20.0/22 -j REJECT
iptables -A FORWARD -d 66.220.144.0/20 -j REJECT
iptables -A FORWARD -d 173.252.64.0/18 -j REJECT
iptables -A FORWARD -d 66.199.37.136/29 -j REJECT
# Regla para que squid sea transparente
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
3) Guardamos y lo copiamos al directorio "/etc/rc.local" escribiendo:
sudo cp /home/scriptiptables /etc/rc.local
Listo, con esto ciertas IPs de nuestra RED podrán tener acceso a msn, Outlook, Skype, etc., las demás podrán solo navegar en forma transparente.
Nuevas Reglas:
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -s 192.168.10.0/24 -d ! 192.168.10.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -s 192.168.10.0/24 -i eth1 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 993 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 465 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.10.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
echo 1 > /proc/sys/net/ipv4/ip_forward
No hay comentarios:
Publicar un comentario