Exemples de configuració d'Iptables i Squid: filtres, redireccions i seguretat

Exemples de configuració d'Iptables i Squid

3. Filtre de missatges ICMP d'origen local

iptables -A OUTPUT -p ICMP -j DROP

4. Filtrar tot el tràfic ICMP d'entrada

iptables -A INPUT -p ICMP -j DROP

5. Permetre que la interfície eth0 pugui enviar paquets ICMP

iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT

6. Filtre de sessions Telnet en una determinada interfície

iptables -A INPUT -i eth0 -p 23 -j DROP

7. Permet la reexpedició de paquets a través del router des d'adreces locals

#echo 1> /proc/sys/net/ipv4/ip_forward

iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.1 -j ACCEPT

8. Juntament amb la regla anterior, emmascara tot el tràfic intern per compartir la connexió a Internet

iptables -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.1 -j MASQUERADE

o

iptables -A POSTROUTING -s 192.168.0.0/24 -d 192.168.0.1 -j SNAT --to 10.20.30.1

9. Accepta el tràfic entrant al port 80 i permet la seva reexpedició

iptables -A INPUT -p TCP --dport 80 -j ACCEPT

iptables -A FORWARD -p TCP --dport 80 -j ACCEPT

10. Denegar la connexió al port 22, protocol tcp, de la interfície eth0

iptables -A INPUT -i eth0 -p TCP --dport 22 -j DROP

11. Canvia l'adreça destí per a les connexions al port 80 rebudes en la interfície eth0 i redirecciona els datagrames al port 80 de l'equip 192.168.0.100

iptables -t NAT -A PREROUTING -i eth0 -p TCP --dport 80 -j DNAT --to-destination 192.168.0.100:80

12. Denegar el tràfic des de l'eth0 a l'eth1 (FORWARD)

iptables -A FORWARD -i eth0 -o eth1 -j DROP

13. Denegar el tràfic des de l'eth0 a l'eth1 del protocol tcp

iptables -A FORWARD -i eth0 -p TCP -o eth1 -j DROP

Definició de conjunts d'adreces IP origen (Squid)

acl regla1 src 192.168.50.0/24

acl regla2 dst 192.168.50.1 192.168.50.2

acl regla3 src 192.168.50.20-192.168.50.30

acl regla4 dst /etc/squid3/IP_permeses

Definició de dominis (Squid)

acl regla1 dstdomain .marca.com .as.com

http_access allow|deny NOM

URL amb paraules indicades (Squid)

acl regla1 url_regex joc game juego

acl regla2 url_regex -i /etc/squid3/paraulesProhibides

Horaris (Squid)

acl regla1 time MTWHF 8:30-15:00

MAC (Squid)

acl regla1 arp 00:1F:C6:BA:48:31

Port (Squid)

acl regla1 port 80 21 443 563 1025-65535

Proxy

Programa que realitza una acció en representació d'un altre.

Funcions

Filtrar, reexpedir, bloquejar, balancejar

Finalitat

Servir més ràpidament als usuaris connexions següents que ja han estat sol·licitades i respostes anteriorment.

Avantatges

Seguretat: controlen inici i sortida

Integritat: Coneixen el nivell d'aplicació

Ocultació d'informació

Redueixen la complexitat en les regles de filtratge

Augmenten la velocitat de la navegació web gràcies a que compten amb una memòria cau (cache).