Yo justamente hoy hice esto y me funciono bien. No utilice todas esas reglas en el iptables... Prohibi la entrada de paquetes que no hayan sido pedidos por mi firewall, bloquee el puerto 80 para mi red, y en vez del redirect que mostrar lo hice con dnat y me anduvo.
iptables -F iptables -A INPUT -i interfaz_publica -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx/xx -p tcp --dport 80 -j DNAT --to-destination yyy.yyy.yyy.yyy:3128 iptables -A INPUT -i interfaz_publica -j DROP
xxx.xxx.xxx.xxx/xx = red local yyy.yyy.yyy.yyy = ip privada del firewall
Despues vas tuneando los permisos, QoS y las cosas que quieras dejar pasar...
El 29/10/09 02:46, Jorge Herrera escribió:
Hola, he estado configurando mi servidor proxy con Squid para que trabaje de manera transparente, pero por más q he probado algunas configuraciones no funciona, cabe mensionar que modificando las opciones de los navegadores si funciona, pero mi propósito es que trabaje de manera transparente, aqui les dejo mis archivos de configuración, para ver si me pueden ayudar.
# /etc/squid/squid.conf
http_port 192.168.5.1:8080 http://192.168.5.1:8080 transparent icp_port 0 cache_mem 8 MB cache_dir ufs /var/spool/squid 100 16 256 coredump_dir /var/spool/squid cache_access_log /var/log/squid/access.log cache_log /var/log/squid/cache.log pid_filename /var/run/squid.pid visible_hostname fw2.suemcom.com http://fw2.suemcom.com
#ACL para toda la red interna
acl all src 0.0.0.0/0.0.0.0 http://0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 http://127.0.0.1/255.255.255.255 acl miredlocal src 192.168.5.0/255.255.255.0 http://192.168.5.0/255.255.255.0
#ACL PARA DENEGAR SITIOS
acl sitiosdenegados url_regex -i "/etc/squid/sitiosdenegados.txt"
#ejecutando acl's
http_access allow localhost http_access allow miredlocal http_access deny sitiosdenegados http_access deny all
cache_effective_user squid cache_effective_group squid
error_directory /usr/share/squid/errors/Spanish
snmp_port 0
Y estas son mis iptables:
echo "Aplicando reglas del Firewall......."
#Flush de las reglas
echo "Borrando iptables..." iptables -F iptables -X iptables -Z iptables -t nat -F
#Establecemos politicas por defecto: DROP
echo "Politicas por defecto DROP..." iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Permitir trafico sobre la interfaz de loopback
iptables -A INPUT -i lo -j ACCEPT iptables -A OUTPUT -o lo -j ACCEPT
#Permitir trafico por eth0
iptables -A INPUT -i eth0 -j ACCEPT iptables -A OUPUT -o eth0 -j ACCEPT iptables -A FORWARD -i eth0 -j ACCEPT
#Permitir ping
iptables -A INPUT -p icmp -j ACCEPT iptables -A OUTPUT -p icmp -j ACCEPT
#Permitir consultas dns
iptables -A OUTPUT -o eth1 -p udp --dport 53 -m state --state NEW -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp --dport 53 -m state --state NEW -j ACCEPT
#Salida al Internet a traves del SQUID de la red interna
iptables -t nat -A PREROUTING -i eth0 -s 192.168.5.0/24 http://192.168.5.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A OUTPUT -o eth1 -p tcp --dport 21 -m state --state NEW -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp --dport 80 -m state --state NEW -j ACCEPT iptables -A OUTPUT -o eth1 -p tcp --dport 443 -m state --state NEW -j ACCEPT
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es