Saludos... Amigos tengo un enlace&nbsp; ADSL 1200/256kps, en un router xyzel que tiene dhcp con mis pcs clientes osea una red <a href="http://192.168.1.0/24">192.168.1.0/24</a>, pero por problemas de saturación y el odiado ares, mi ancho de banda anda de malas muy bajo...

<br>entonces instale el centos 4.4 en un equipo, dos tarjetas de red eth0 <a href="http://192.168.1.101">192.168.1.101</a> conectada al router que te saca a internet y la eth1 <a href="http://192.168.10.1">192.168.10.1</a>

 directa a mi switch de mi lan, configure el squid y trabaja ok, como proxy normal, pero no solo quiero eso.<br>La idea es tener un proxy transparente y tener la politica drop por defecto, para asi optimizar mi banda y bloquear las redes p2p, busca y busca en internet de aporte en aporte, pude tener este script, ya corre bien el script en el centos, pero las pcs no acceden a internet se muestra este error:

<br><br><h1>ERROR</h1>

<h2>The requested URL could not be retrieved</h2>

<hr noshade="noshade" size="1">

<p>

While trying to retrieve the URL:

<a href="http://www.google.com.pe/">/</a>

</p><p>

The following error was encountered:

</p><ul><li>

<strong>

Invalid URL

</strong>

</li></ul>

<p>

Some aspect of the requested URL is incorrect.  Possible problems:

</p><ul><li>Missing or incorrect access protocol (should be `http://&#39;&#39; or similar)

</li><li>Missing hostname

</li><li>Illegal double-escape in the URL-Path

</li><li>Illegal character in hostname; underscores are not allowed

</li></ul>

<p>Your cache administrator is <a href="mailto:root">root</a>. 

<br clear="all">

</p><hr noshade="noshade" size="1">

<address>

Generated Wed, 18 Apr 2007 04:31:31 GMT by server.infonet.polcrito (squid/2.5.STABLE6)

</address><br><br>########################################<br>############# SCRIPT DE REGLAS<br><br>echo &quot;DETENEMOS EL SERVICIO DE FIREWALL ...&quot;<br>/sbin/service iptables stop<br><br>echo &quot;DECLARAMOS LA VARIABLES INICIAL DEL ENTORNO ...&quot;

<br>iptables=&quot;/sbin/iptables&quot;<br><br>echo &quot;COMENZAMOS BORRANDO TODAS LAS REGLAS ACTUALES ...&quot;<br>$iptables -F<br>$iptables -t nat -F<br>##$iptables -X<br>##$iptables -Z<br><br>echo &quot;CARGAMOS LOS MODULOS PRINCIPALES DEL KERNEL ...&quot;

<br>/sbin/modprobe ip_conntrack<br>/sbin/modprobe ip_tables<br>/sbin/modprobe iptable_filter<br>/sbin/modprobe ip_nat_irc<br>/sbin/modprobe ip_conntrack_irc<br>/sbin/modprobe ip_conntrack_ftp<br>/sbin/modprobe ip_nat_ftp<br>

/sbin/modprobe iptable_nat<br><br>echo &quot; APLICANDO REGLAS DE SEGURIDAD ELEMENTALES ...&quot;<br># Quitamos los pings.<br>/bin/echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_all<br># No respondemos a los broadcast.<br>

/bin/echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts<br># Otros<br>/bin/echo 1 &gt; /proc/sys/net/ipv4/tcp_syncookies<br>/bin/echo 1 &gt; /proc/sys/net/ipv4/conf/all/rp_filter<br># El Ip Forwarding<br>/bin/echo 1 &gt; /proc/sys/net/ipv4/ip_forward

<br># Para usuarios con IP dinamica<br>/bin/echo 1 &gt; /proc/sys/net/ipv4/ip_dynaddr<br><br>echo &quot;Estableciendo Politica por Defecto (DENEGAR)...&quot;<br>$iptables -P INPUT DROP<br>$iptables -P OUTPUT DROP<br>$iptables -P FORWARD DROP

<br><br>echo &quot; COMENZAMOS CON LAS REGLAS ... &quot;<br># Permitimos la comunicación con el servidores dns<br>$iptables -A INPUT -p UDP --dport 53 -j ACCEPT<br>$iptables -A INPUT -p TCP --dport 53 -j ACCEPT<br><br># Permitimos todo el trafico de la LAN

<br>$iptables -A INPUT -s <a href="http://192.168.10.0/24">192.168.10.0/24</a> -j ACCEPT<br><br># Habilito el NAT<br>$iptables -t nat -A POSTROUTING -s <a href="http://192.168.10.0/24">192.168.10.0/24</a> -d <a href="http://0.0.0.0/0">

0.0.0.0/0</a> -j MASQUERADE<br><br># Dejo pasar los paquetes ICMP<br>$iptables -A INPUT -i eth0 -p ICMP -j ACCEPT<br><br># Acepto paquetes de conexiones ya establecidas<br>$iptables -A INPUT -p TCP -m state --state RELATED -j ACCEPT

<br><br># Rechazamos paquetes de conexiones nuevas<br>$iptables -A INPUT -i eth0 -m state --state NEW,INVALID -j DROP<br><br># Rechazamos paquetes de forwarding de conexiones no establecidas<br>$iptables -A FORWARD -i eth0 -m state --state NEW,INVALID -j DROP

<br><br>echo &quot;Tener abierto el localhost sin limitaciones...&quot;<br>$iptables -A INPUT -i lo -j ACCEPT<br>$iptables -A OUTPUT -o lo -j ACCEPT<br><br>echo &quot;A la PC de Polcrito le dejamos todo....&quot;<br>$iptables -A INPUT -s 

<a href="http://192.168.1.7">192.168.1.7</a> -j ACCEPT<br>$iptables -A OUTPUT -d <a href="http://192.168.1.7">192.168.1.7</a> -j ACCEPT<br><br># Permitimos la consulta a un primer DNS<br>$iptables -A INPUT -s <a href="http://200.48.225.130">

200.48.225.130</a> -p udp -m udp --sport 53 -j ACCEPT<br>$iptables -A OUTPUT -d <a href="http://200.48.225.130">200.48.225.130</a> -p udp -m udp --dport 53 -j ACCEPT<br># Permitimos la consulta a un segundo DNS<br>$iptables -A INPUT -s 

<a href="http://200.48.225.146">200.48.225.146</a> -p udp -m udp --sport 53 -j ACCEPT<br>$iptables -A OUTPUT -d <a href="http://200.48.225.146">200.48.225.146</a> -p udp -m udp --dport 53 -j ACCEPT<br><br>echo &quot; Habilitamos el trafico sobre la interface eth1(LAN Interna)&quot;

<br>$iptables -A FORWARD -i eth1 -j ACCEPT<br>$iptables -A FORWARD -s <a href="http://192.168.10.0/24">192.168.10.0/24</a> -p tcp --dport 80 -j ACCEPT<br>$iptables -A INPUT -i eth1 -j ACCEPT<br>$iptables -A OUTPUT -o eth1 -j ACCEPT

<br>$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT<br><br>echo &quot; Redireccionamos las peticiones de www hacia Squid Proxy&quot;<br>$iptables -t nat -A PREROUTING -i eth1 -s <a href="http://192.168.10.0/24">

192.168.10.0/24</a> -p tcp --dport 80 -j REDIRECT --to-port 3128<br><br>echo &quot; Lo que salga al Exterior lo hara a traves de la IP <a href="http://192.168.1.101">192.168.1.101</a>&quot;<br>$iptables -t nat -A POSTROUTING -s 

<a href="http://192.168.10.0/24">192.168.10.0/24</a> -o eth0 -j SNAT --to-source <a href="http://192.168.1.101">192.168.1.101</a><br><br>echo &quot; Bloqueando conexiones hacia ICMP no validas&quot;<br>echo &quot;&quot;<br>

$iptables -I INPUT -p icmp --icmp-type redirect -j DROP<br>$iptables -I INPUT -p icmp --icmp-type router-advertisement -j DROP<br>$iptables -I INPUT -p icmp --icmp-type router-solicitation -j DROP<br>$iptables -I INPUT -p icmp --icmp-type address-mask-request -j DROP

<br>$iptables -I INPUT -p icmp --icmp-type address-mask-reply -j DROP<br><br>echo &quot; Cerrando los Puertos restantes del Firewall.&quot;<br>$iptables -A INPUT -i eth0 -p tcp --dport 0:65535 -j DROP<br>$iptables -A INPUT -i eth0 -p udp --dport 0:65535 -j DROP

echo &quot; Terminando la Configuracion del Firewall.&quot; ####################################### si fueran tan amable de aclararme algunas dudas, que le falta a mi script, que esta de mas, si el orden esta inadecuado, y si con esto ya no entraran las redes p2p, porque hace mucho tiempo en otra red probe el layer7 compilando el kernelo, pero este se bajaba la memoria de la pc y me colocaba lento el acceso, por eso ya no lo quiero usar, ademas si con la solucion de este script voy a poder enviar y recibir archivos yt conexion de audio y camara web en el messenger...

<br><br>espero me ayuden..<br><br><br>##################<br>####&nbsp;&nbsp;Paúl Criollo Ortíz<br>### Móvil: 073-9612277<br>###################