Iptables

[natomiast]

Witam,
To mój pierwszy firewall tak więc proszę o zrozumienie . Schemat sieci:
Schemat sieci
Mam problem z internetem. Drogą dedukcji doszedłem, że jest to związane z łańcuchem INPUT domyślnej tabeli. Jak dam:

Kod: [Zaznacz]

 iptables -P ACCEPT

wszystko działa bez problemu. Niestety jak zDROPuje cały łańcuch INPUT to niestety skutkuję brakiem internetu :/ . Na komputerze z Ubuntu jest zainstalowany SQUID transparency. Przekierowałem domyślny port dla SQUIDA. Jeszcze dziwniejsze jest dla mnie to, że z komputera należącego do sieci 172.16.0.0/16 da się pingować adresy internetowe (www.google.pl itp). Jeśli mógłby mi ktoś trochę rozjaśnić temat i powiedzieć co powinienem pootwierać to byłbym wdzięczny.
Moje wypociny:

Kod: [Zaznacz]

 
#!/bin/sh
#Siec 1 z internetem.
SIEC_1=172.16.0.0
MASKA_1=255.255.0.0
#Siec 2 bez internetu
SIEC_2=10.0.0.0
MASKA_2=255.0.0.0
#Czyszczenie tablic IPTABLES (net + filter)
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F

#Uruchomienie przekazywanie pakietów
echo "1" > /proc/sys/net/ipv4/ip_forward 

#Reguly firewalla
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

#Przekierowanie pakietow z sieci_1 do internet
iptables -t  filter -A FORWARD -s $SIEC_1/$MASKA_1 -d 0/0 -j ACCEPT
iptables -t  filter -A FORWARD -s 0/0 -d $SIEC_1/$MASKA_1 -j ACCEPT

#Przekierowywanie pakietow z jednej sieci wew. do drugiej
iptables -t  filter -A FORWARD -s $SIEC_1/$MASKA_1 -d $SIEC_2/$MASKA_2 -j ACCEPT
iptables -t  filter -A FORWARD -s $SIEC_2/$MASKA_2 -d $SIEC_1/$MASKA_1 -j ACCEPT
#Udostepnienie internetu
iptables -t nat -A POSTROUTING -s $SIEC_1/$MASKA_1 -d 0/0 -j MASQUERADE

#Dostep do komputera z hosta (mojego :) )
iptables -t filter -A INPUT -s 192.168.0.224 --protocol tcp --destination-port 5900 -j ACCEPT
iptables -t filter -A INPUT -s 172.16.0.200 --protocol tcp --destination-port 5900 -j ACCEPT

#Przekierowanie portu dla Squida
#					eth1 wewnetrzny interfejs LAN
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#Otwieramy porty 67 i 68 dla ruchu zwiazanego z DHCP
iptables -I INPUT -i eth1 -p udp --dport 67:68 --sport 67:68 -j ACCEPT
iptables -I INPUT -i eth3 -p udp --dport 67:68 --sport 67:68 -j ACCEPT


iptables -I INPUT -i eth2 -p tcp --dport 80 --sport 3128 -j ACCEPT

[micu]

Hej,

W tej konfiguracji ustawienie INPUT na DROP powinno skutkować jedynie brakiem dostępu WWW. Zapewne to miałeś na myśli pisząc że pingi chodzą a Internet nie, ale wolę się upewnić (Internet to też telnet, ssh, ftp, https, bittorrent itp :-) ).
Blokada internetu jest spowodowana tym, że REDIRECT kieruje pakiety http na serwer do lokalnego procesu proxy Squid-a czyli przechodzą przez INPUT i są wycinane przez "policy" DROP. Analogicznie jeśli Squid odpytuje serwer np. www.google.pl to odpowiedzi też są blokowane na INPUT. Wszystkie inne pakiety (porty inne niż 80/tcp) przechodzą przez łańcuch FORWARD (bo nie podlegają REDIRECT) i płyną sobie spokojnie w świat.
Jeśli chcesz zostawić DROP na INPUT (a to dobry pomysł) to po prostu akceptuj pakiety na port 3128/tcp z sieci wewnętrznej oraz (co też ważne!) odpowiedzi serwerów http na zapytanie proxy (szczerze mówiąc nie wiem na którym porcie gada Squid ze światem).  
Ostatnia linijka coś tam otwiera (zakładam że eth2 jest na świat) ale to wchodzący ruch z 3128 na 80 - nie bardzo widzę sens czegoś takiego ale może coś mi umknęło...

Pozdrawiam
Micu