Am nevoie de ajutor în configurarea următorului scenariu: Navigarea pe web a unei mici rețele instituționale se face printr-un server proxy cu autentificare configurat într-un Debian ca proxy/firewall (folosind reguli iptables) și conectat la un proxy părinte. Clienții rețelei LAN nu fac niciun fel de interogare DNS în exterior deoarece toată navigarea web se face prin proxy și nu a fost nevoie de alt tip de acces la serviciul extern. Acum: trebuie să accesăm un server jitsi la adresa IP specifică xxx.xxx.xxx.xxx.Accesul web la acel server jitsi este ok in sensul ca proxy-ul se ocupa de el, dar pachetele catre porturile UDP 10000 si respectiv TCP 4443 nu am reusit sa le gestionez in regulile iptables.
Schema de rețea este următoarea:
LAN pe eth0 (192.168.0.0/24) ---- (192.168.0.1 ens18)debian proxy/firewall(192.168.1.2 ens19) -- (192.168.1.1)MODEM ROUTER---->ISP
Regulile iptables sunt următoarele:
*filtru
: FORWARD DROP [0:0]
:INPUT DROP [0:0]
:CIDARE IEȘIRE [0:0]
# ##### Lanț INPUT ###### Acceptați conexiuni legate sau stabilite
-A INPUT -m conttrack ! -i lo --ctstate RELATED,STABLISHED -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type echo-request -j ACCEPT
-A INPUT -p udp -m udp -m conntrack --dport 33434:33534 --ctstate NEW -j REJECT
# Regulă anti spoofing
-O INTRARE! -s 192.168.0.0/24 -i ens18 -j LOG --log-prefix "SPOOFED PKT "
-O INTRARE! -s 192.168.0.0/24 -i ens18 -j DROP
# LAN LA PROXY LOCAL
-A INTRARE -p tcp -m stare -s 192.168.0.0/24 -i ens18 --dport 8080 --state NOU -j ACCEPT
# ACCES LA RAPOARTE WEB
-A INTRARE -p tcp -m stare -s 192.168.0.2/24 -i ens18 --dport 80 --state NOU -j ACCEPT
# ACCES LA SSH
-A INTRARE -p tcp -m stare -s 192.168.0.2/24 -i ens18 --dport 22 --state NOU -j ACCEPT
# SINCRONIZARE ORĂ PENTRU LAN
-A INPUT -p udp -i ens18 -m state --sport 123 --state NOU -j ACCEPT
# ACCES WEBMIN
-A INPUT -p tcp -m state -s 192.168.0.2/24 -i ens18 --dport 10000 --state NOU -j ACCEPT
# Înregistrați restul și plasați în mod implicit lanțul de intrare
-O INTRARE! -i lo -j LOG --log-prefix "DROP INPUT " --log-ip-options --log-tcp-options
-A OUTPUT -m stare --state INVALID -j LOG --log-prefix „DROP INVALID” --log-ip-options --log-tcp-options
-A OUTPUT -m stare --stare INVALID -j DROP
-A IEȘIRE -m stare --stare ESTABLISHED,RELATED -j ACCEPT
# ##### OUTPUT lanț ###### ## ACCEPTĂ regulile pentru a permite conexiunile
-A IEȘIRE -p tcp -m stare --dport 21 --state NOU -j ACCEPT
-A IEȘIRE -p tcp -m stare --dport 80 --state NOU -j ACCEPT
-A IEȘIRE -p tcp -m stare --dport 443 --state NOU -j ACCEPT
-A IEȘIRE -p udp -m stare --dport 123 --state NOU -j ACCEPT
# servere DNS externe (numai accesibile, fără recursivitate activată)
-A IEȘIRE -p udp -m stare -d XXX.XXX.XXY.131 --dport 53 --state NOU -j ACCEPT
-A IEȘIRE -p tcp -m stare -d XXX.XXX.XXX.132 --dport 53 --state NOU -j ACCEPT
-A IEȘIRE -m stare -d XXX.XXX.XXX.68 --stare NOU -j ACCEPT
**# ÎNCERCĂ SĂ AJUNGE LA SERVERUL JITSI
-A IEȘIRE -m stare -d XXX.XXX.ZXX.XXX --stare NOU -j ACCEPT**
-A IEȘIRE -p icmp --icmp-type echo-request -j ACCEPT
# ##### FORWARD lanț ###### Acceptați conexiuni legate sau stabilite
-A FORWARD -m stare --state INVALID -j LOG --log-prefix "DROP INVALID " --log-ip-options --log-tcp-options
-A FORWARD -m stare --stare INVALID -j DROP
-A FORWARD -m stare --stare ESTABLISHED,RELATED -j ACCEPT
- UN ÎNTÂMPRE! -s 192.168.0.0/24 -i ens18 -j LOG --log-prefix "SPOOFED PKT "
- UN ÎNTÂMPRE! -s 192.168.0.0/24 -i ens18 -j DROP
# împiedică redirecționarea pachetelor pentru conexiunile inițiate din exterior (spoofing)
-A FORWARD -m stare -i ens19 --state NEW -j DROP
# ## regulă implicită de jurnal
- UN ÎNTÂMPRE! -i lo -j LOG --log-prefix „DROP FORWARD” --log-ip-options --log-tcp-options
COMMIT
# Efectuat
# Generat de webmin
*calandru
: ACCEPT IEȘIRE [0:0]
:INPUT ACCEPT [0:0]
: FORWARD ACCEPT [0:0]
:ACCEPTAREA PRE-ROUTARE [0:0]
: POSTROUTING ACCEPT [0:0]
COMMIT
# Efectuat
# Generat de webmin
*nat
: ACCEPT IEȘIRE [0:0]
:INPUT ACCEPT [0:0]
:ACCEPTAREA PRE-ROUTARE [0:0]
: POSTROUTING ACCEPT [0:0]
# SURSA NAT PENTRU REȚEAUA LAN ON
-A POSTROUTING -o ens19 -j SNAT --to-source 192.168.1.2
# MASQUERADE (PENTRU ADRESA IP DINAMICĂ ÎN CAZUL MODEMULUI DHCP)
-A POSTROUTING -s 192.168.0.0/24 -o ens19 -j MASQUERADE
COMMIT
# Efectuat
**** ceva interesant cu aceleași reguli de firewall: putem accesa videoconferințe pe server https://meet.jit.si fara probleme.
Administratorul de server jitsi de la xxx.xxx.xxx.xxx susține că este nevoie doar de acces la porturile UDP 10000 și TCP 4443, așa cum am explicat și, desigur, 443 (care este gestionat de proxy-ul rețelei)
