
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html; charset=ISO-8859-1"

 http-equiv="Content-Type">

  <title></title>

</head>

<body text="#000000" bgcolor="#ffffff">

Yo justamente hoy hice esto y me funciono bien. No utilice todas esas

reglas en el iptables... Prohibi la entrada de paquetes que no hayan

sido pedidos por mi firewall, bloquee el puerto 80 para mi red, y en

vez del redirect que mostrar lo hice con dnat y me anduvo.<br>

<br>

iptables -F<br>

iptables -A INPUT -i interfaz_publica -m state --state

ESTABLISHED,RELATED -j ACCEPT<br>

iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx/xx -p tcp --dport 80

-j DNAT --to-destination yyy.yyy.yyy.yyy:3128<br>

iptables -A INPUT -i interfaz_publica -j DROP<br>

<br>

<br>

xxx.xxx.xxx.xxx/xx = red local<br>

yyy.yyy.yyy.yyy = ip privada del firewall<br>

<br>

<br>

Despues vas tuneando los permisos, QoS y las cosas que quieras dejar

pasar...<br>

<br>

<br>

<br>

El 29/10/09 02:46, Jorge Herrera escribi&oacute;:

<blockquote

 cite="mid:6f43b82d0910282146v4c2f71e9mc0c817685962d96c@mail.gmail.com"

 type="cite">Hola, he estado configurando mi servidor proxy con Squid

para que trabaje de manera transparente, pero por m&aacute;s q he probado

algunas configuraciones no funciona, cabe mensionar que modificando las

opciones de los navegadores si funciona, pero mi prop&oacute;sito es que

trabaje de manera transparente, aqui les dejo mis archivos de

configuraci&oacute;n, para ver si me pueden ayudar.<br>

  <br>

************************************************************************************************<br>

# /etc/squid/squid.conf<br>

  <br>

http_port <a moz-do-not-send="true" href="http://192.168.5.1:8080">192.168.5.1:8080</a>

transparent<br>

icp_port 0<br>

cache_mem 8 MB<br>

cache_dir ufs /var/spool/squid 100 16 256<br>

coredump_dir /var/spool/squid<br>

cache_access_log /var/log/squid/access.log<br>

cache_log /var/log/squid/cache.log<br>

pid_filename /var/run/squid.pid<br>

visible_hostname <a moz-do-not-send="true"

 href="http://fw2.suemcom.com">fw2.suemcom.com</a><br>

  <br>

#ACL para toda la red interna<br>

  <br>

acl all src <a moz-do-not-send="true" href="http://0.0.0.0/0.0.0.0">0.0.0.0/0.0.0.0</a><br>

acl manager proto cache_object<br>

acl localhost src <a moz-do-not-send="true"

 href="http://127.0.0.1/255.255.255.255">127.0.0.1/255.255.255.255</a><br>

acl miredlocal src <a moz-do-not-send="true"

 href="http://192.168.5.0/255.255.255.0">192.168.5.0/255.255.255.0</a><br>

  <br>

#ACL PARA DENEGAR SITIOS<br>

  <br>

acl sitiosdenegados url_regex -i "/etc/squid/sitiosdenegados.txt"<br>

  <br>

  <br>

#ejecutando acl's<br>

  <br>

http_access allow localhost<br>

http_access allow miredlocal<br>

http_access deny sitiosdenegados<br>

http_access deny all<br>

  <br>

cache_effective_user squid<br>

cache_effective_group squid<br>

  <br>

error_directory /usr/share/squid/errors/Spanish<br>

  <br>

snmp_port 0<br>

  <br>

**************************************************************************************************<br>

  <br>

Y estas son mis iptables:<br>

  <br>

echo "Aplicando reglas del Firewall......."<br>

  <br>

#Flush de las reglas<br>

  <br>

echo "Borrando iptables..."<br>

iptables -F<br>

iptables -X<br>

iptables -Z<br>

iptables -t nat -F<br>

  <br>

#Establecemos politicas por defecto: DROP<br>

  <br>

echo "Politicas por defecto DROP..."<br>

iptables -P INPUT DROP<br>

iptables -P OUTPUT DROP<br>

iptables -P FORWARD DROP<br>

  <br>

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>

iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT<br>

iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT <br>

  <br>

#Permitir trafico sobre la interfaz de loopback<br>

  <br>

iptables -A INPUT -i lo -j ACCEPT<br>

iptables -A OUTPUT -o lo -j ACCEPT<br>

  <br>

#Permitir trafico por eth0<br>

  <br>

iptables -A INPUT -i eth0 -j ACCEPT<br>

iptables -A OUPUT -o eth0 -j ACCEPT<br>

iptables -A FORWARD -i eth0 -j ACCEPT<br>

  <br>

#Permitir ping <br>

  <br>

iptables -A INPUT -p icmp -j ACCEPT<br>

iptables -A OUTPUT -p icmp -j ACCEPT<br>

  <br>

#Permitir consultas dns<br>

  <br>

iptables -A OUTPUT -o eth1 -p udp --dport 53 -m state --state NEW -j

ACCEPT<br>

iptables -A OUTPUT -o eth1 -p tcp --dport 53 -m state --state NEW -j

ACCEPT<br>

  <br>

  <br>

#Salida al Internet a traves del SQUID de la red interna<br>

  <br>

iptables -t nat -A PREROUTING -i eth0 -s <a moz-do-not-send="true"

 href="http://192.168.5.0/24">192.168.5.0/24</a> -p tcp --dport 80 -j

REDIRECT --to-port 3128<br>

  <br>

iptables -A OUTPUT -o eth1 -p tcp --dport 21 -m state --state NEW -j

ACCEPT<br>

iptables -A OUTPUT -o eth1 -p tcp --dport 80 -m state --state NEW -j

ACCEPT<br>

iptables -A OUTPUT -o eth1 -p tcp --dport 443 -m state --state NEW -j

ACCEPT<br>

  <br>

  <br>

******************************************************************************************************************************<br>

  <pre wrap="">

<fieldset class="mimeAttachmentHeader"></fieldset>

_______________________________________________

CentOS-es mailing list

<a class="moz-txt-link-abbreviated" href="mailto:CentOS-es@centos.org">CentOS-es@centos.org</a>

<a class="moz-txt-link-freetext" href="http://lists.centos.org/mailman/listinfo/centos-es">http://lists.centos.org/mailman/listinfo/centos-es</a>

  </pre>

</blockquote>

<br>

</body>

</html>