<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content="text/html; charset=unicode" http-equiv=Content-Type>
<META name=GENERATOR content="MSHTML 8.00.6001.18702"></HEAD>
<BODY style="PADDING-LEFT: 10px; PADDING-RIGHT: 10px; PADDING-TOP: 15px"
id=MailContainerBody leftMargin=0 topMargin=0 CanvasTabStop="true"
name="Compose message area">
<DIV>hola gracias</DIV>
<DIV> mi configuracion es eth0(net) internet eth1(loc) local, olvide
comentar q eth0 esta conectada a un router dsl y esta ip es por dhcp del router
y no una ip publica por el comentario de walter no si esto tiene q ver?
podria ser? en fin actualmente pienso q funciona bien pero no he logrado
bloquear el msn por q si bloquea las paginas web. <BR><BR><BR>aca va
el
policy<BR>-----------------------------------------------------------------------------<BR>#
Policies for traffic originating from the local LAN (loc)<BR>#<BR># If you want
to force clients to access the Internet via a proxy server<BR># on your
firewall, change the loc to net policy to REJECT
info.<BR>loc
net
ACCEPT
info<BR>loc
$FW
REJECT
info<BR>loc
all
REJECT info<BR><BR>#<BR>#
Policies for traffic originating from the firewall
($FW)<BR>#<BR>$FW
net
ACCEPT<BR>$FW
loc
REJECT
info<BR>$FW
all
REJECT info<BR><BR>#<BR>#
Policies for traffic originating from the Internet zone
(net)<BR>#<BR>net
$FW
DROP
info<BR>net
loc
DROP
info<BR>net
all
DROP
info<BR><BR># THE FOLLOWING POLICY MUST BE
LAST<BR>all
all
REJECT info<BR>#LAST LINE
-- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE<BR><BR>Aca el
masq<BR>--------------------------------------------------------------------------------<BR>#
For additional information, see
http://shorewall.net/Documentation.htm#Masq<BR>#<BR>###############################################################################<BR>#INTERFACE
SOURCE
ADDRESS PROTO
PORT(S) IPSEC
MARK<BR>eth0
eth1<BR>#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT
REMOVE<BR>~</DIV>
<DIV><FONT color=#000080 size=2 face=Arial></FONT> </DIV>
<DIV><FONT color=#000080 size=2 face=Arial>y aca va lo que tengo en
squid.</FONT></DIV>
<DIV><FONT color=#000080 size=2 face=Arial></FONT> </DIV>
<DIV><FONT color=#000080 size=2 face=Arial>acl redlocal src
192.168.2.0/24<BR>acl privilegiados src "/etc/squid/privilegiados"<BR>acl
sitiosdenegados url_regex "/etc/squid/sitiosdenegados"<BR>http_access allow
privilegiados<BR>http_access allow redlocal !sitiosdenegados<BR>acl msnmime
req_mime_type ^application/x-msn-messenger$<BR>acl msngw url_regex -i
gateway.dll<BR>http_access deny msnmime<BR>http_access deny
msngw<BR></FONT></DIV>
<DIV><FONT color=#000080 size=2 face=Arial></FONT> </DIV>
<DIV><BR><BR><BR>--------------------------------------------------<BR>From:
"César CRUZ ARRUNATEGUI" <ccruz@mail.ipd.gob.pe><BR>Sent: Thursday, July
16, 2009 4:37 PM<BR>To: <centos-es@centos.org>; "Eduardo Atenas"
<eduardo.atenas@gmail.com><BR>Subject: Re: [CentOS-es] consulta
shorewall?<BR><BR>> hola.. <BR>> 1. podrias mostrarnos el contenido de los
archivos masq y policy que tienes configurado en el shorewall??<BR>> 2. no
basta solo con bloquear por firewall el puerto que usa messenger, tambien tienes
que definir unas reglas control access <BR>> en squid. agrega
estas (despues te paso la factura) :P<BR>> # Definimos acls para
bloquear messenger<BR>> acl msn_messenger req_mime_type
^application/x-msn-messenger$<BR>> ## Bloqueamos getway.dll para
versiones antiguas de msn-messenger<BR>> acl msn_url url_regex -i
gateway.dll<BR>> ## Bloqueamos el puerto utilizado por todas las
versiones<BR>> acl msn_port port 1863<BR>> ##
Bloqueamos por metodo POST utilizado por las nuvas vesiones<BR>>
acl msn_method method POST<BR>> <BR>> revisa bien en tus politicas que la
regla loc --> net este como DROP.<BR>> <BR>> <BR>> César D. Cruz
Arrunátegui<BR>> <BR>> ----- Mensaje original -----<BR>> De: "Eduardo
Atenas" <eduardo.atenas@gmail.com><BR>> Para:
centos-es@centos.org<BR>> Enviados: Jueves, 16 de Julio 2009 13:48:35 GMT
-05:00 Colombia<BR>> Asunto: [CentOS-es] consulta shorewall?<BR>> <BR>>
<BR>> <BR>> hola lista. <BR>> <BR>> tengo un servidor centos 5.3 con
shorewall + sqiud en la misma maquina, eth0 internet y eth1 red interna y
redirijo el trafico internet hacia el puerto 3128 squid transparente. el
problema o mi duda es, que al comentar el enmascaramiento que hago entre eth0 y
eth1, sigo con internet y puedo bloquear el msn y todo, pero pierdo la salida a
los puerto de correo y las maquinas de la red interna no puede enviar
correos.....y cuando el masq esta funcionando si tengo salida a los correos pero
no puedo bloquear el msn, al parecer el msn pasa a traves de otro puerto?
<BR>> <BR>> mi consulta es: porque debo hacer nat ? entre las interfaces?
<BR>> <BR>> _______________________________________________<BR>>
CentOS-es mailing list<BR>> CentOS-es@centos.org<BR>>
http://lists.centos.org/mailman/listinfo/centos-es</DIV></BODY></HTML>