Firewall e Proxy no Linux: Configuração Básica de Nftables + Squid

Aprenda a configurar a base de um firewall corporativo no Linux! Neste vídeo, mostro o passo a passo da configuração do nftables para a segurança de rede e do Squid para o gerenciamento e controle de tráfego web. Uma solução ideal para quem busca performance e controle total sem depender de ferramentas pesadas. Script squid http_port 3128 dns_nameservers 8.8.8.8 1.1.1.1 pipeline_prefetch off Definição das Redes acl rede_local src 192.168.0.0/24 acl proibidos dstdomain "/etc/squid/sites_bloqueados.txt" Regras de Controle de Acesso http_access deny proibidos http_access allow rede_local http_access deny all Diretório de cache coredump_dir /var/spool/squid Script nftables: #!/usr/sbin/nft -f flush ruleset table ip filter { Conjunto contendo os IPs dos servidores de infraestrutura set servidores_infra { type ipv4_addr elements = { 192.168.0.10, 192.168.0.11, 192.168.0.12 } } chain input { type filter hook input priority 0; policy drop; Permite tráfego na interface de loopback iifname "lo" accept Permite conexões já estabelecidas e relacionadas ct state established,related accept Aceita pacotes vindos da rede interna para o próprio Firewall ip saddr 192.168.0.0/24 accept Libera SSH de qualquer lugar tcp dport 22 accept } chain forward { type filter hook forward priority 0; policy drop; Ajuste o tamanho dos segmentos TCP tcp flags syn tcp option maxseg size set rt mtu 1. LIBERA O RETORNO: Permite pacotes de volta para a rede local ct state established,related accept 2. SERVIDORES: Libera infraestrutura para serviços essenciais ip saddr @servidores_infra udp dport 53 accept ip saddr @servidores_infra tcp dport 53 accept ip saddr @servidores_infra tcp dport { 80, 443 } accept ip saddr @servidores_infra ip protocol icmp accept 3. CLIENTES COMUNS: Libera DNS e PING ip saddr 192.168.0.0/24 udp dport 53 accept ip saddr 192.168.0.0/24 tcp dport 53 accept ip saddr 192.168.0.0/24 icmp type echo-request accept 4. LOG: Registra tentativas de acesso direto antes do drop final ip saddr 192.168.0.0/24 log prefix "TENTATIVA_ACESSO_DIRETO: " group 0 } chain output { type filter hook output priority 0; policy accept; } } table ip nat { chain postrouting { type nat hook postrouting priority 100; policy accept; Masquerade aplicado na interface WAN oifname "enp0s3" masquerade } } #nftables, #squid #proxy, #firewall #linux, #segurançaderede, #configuraçãodefirewall, #debian #servidor, #administraçãodesistemas