Estou executando uma pilha LAMP em um servidor Arch Linux em minha casa e a porta 80 do meu roteador está aberta para o mundo.
Recentemente, decidi configurar um proxy transparente dansguardian para fazer uma filtragem da Web para meus filhos.
Tudo está funcionando bem dentro da minha LAN.
No entanto, enquanto checava os logs do dansguardian, notei que minha casa se tornou um proxy para endereços IP chineses. Aparentemente, minha configuração do iptables está permitindo que pedidos que chegam na porta 80 sejam enviados para minha configuração de LAN dansguardian!
Já fechei a porta 80, mas gostaria de continuar a executar o site da minha casa. Alguém pode, por favor, me avisar sobre a configuração correta do iptables para fazer proxy transparente de solicitações de LAN via LAN através de solicitações dansguardian mas não de proxy INCOMING na porta 80?
Aqui está a saída do iptables-save:
# Generated by iptables-save v1.4.18 on Tue May 20 18:51:46 2014
*filter
:INPUT ACCEPT [99752358:83925475634]
:FORWARD ACCEPT [1137723:181159087]
:OUTPUT ACCEPT [57478321:118350587619]
COMMIT
# Completed on Tue May 20 18:51:46 2014
# Generated by iptables-save v1.4.18 on Tue May 20 18:51:46 2014
*nat
:PREROUTING ACCEPT [3362634:253695591]
:INPUT ACCEPT [3450241:258605740]
:OUTPUT ACCEPT [3451732:250709703]
:POSTROUTING ACCEPT [3492061:253533144]
-A PREROUTING -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 9809
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Tue May 20 18:51:46 2014
Parece que está funcionando:
De:
sudo iptables -t nat -A OUTPUT -p tcp --dport 80 -m owner --uid-owner proxy -j ACCEPT
sudo iptables -t nat -A OUTPUT -p tcp --dport 3128 -m owner --uid-owner proxy -j ACCEPT
sudo iptables -t nat -A OUTPUT -p tcp --dport 80 -j REDIRECT --to-ports 8080
sudo iptables -t nat -A OUTPUT -p tcp --dport 3128 -j REDIRECT --to-ports 8080
Se alguém souber de um bom tutorial de iptables para manequins, eu realmente aprecio isso!