Yo justamente hoy hice esto y me funciono bien. No utilice todas esas
reglas en el iptables... Prohibi la entrada de paquetes que no hayan
sido pedidos por mi firewall, bloquee el puerto 80 para mi red, y en
vez del redirect que mostrar lo hice con dnat y me anduvo.
iptables -F
iptables -A INPUT -i interfaz_publica -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx/xx -p tcp --dport 80
-j DNAT --to-destination yyy.yyy.yyy.yyy:3128
iptables -A INPUT -i interfaz_publica -j DROP
xxx.xxx.xxx.xxx/xx = red local
yyy.yyy.yyy.yyy = ip privada del firewall
Despues vas tuneando los permisos, QoS y las cosas que quieras dejar
pasar...
El 29/10/09 02:46, Jorge Herrera escribió:
Hola, he estado configurando mi servidor proxy con Squid
para que trabaje de manera transparente, pero por más q he probado
algunas configuraciones no funciona, cabe mensionar que modificando las
opciones de los navegadores si funciona, pero mi propósito es que
trabaje de manera transparente, aqui les dejo mis archivos de
configuración, para ver si me pueden ayudar.
************************************************************************************************
# /etc/squid/squid.conf
http_port 192.168.5.1:8080
transparent
icp_port 0
cache_mem 8 MB
cache_dir ufs /var/spool/squid 100 16 256
coredump_dir /var/spool/squid
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
pid_filename /var/run/squid.pid
visible_hostname fw2.suemcom.com
#ACL para toda la red interna
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl miredlocal src 192.168.5.0/255.255.255.0
#ACL PARA DENEGAR SITIOS
acl sitiosdenegados url_regex -i "/etc/squid/sitiosdenegados.txt"
#ejecutando acl's
http_access allow localhost
http_access allow miredlocal
http_access deny sitiosdenegados
http_access deny all
cache_effective_user squid
cache_effective_group squid
error_directory /usr/share/squid/errors/Spanish
snmp_port 0
**************************************************************************************************
Y estas son mis iptables:
echo "Aplicando reglas del Firewall......."
#Flush de las reglas
echo "Borrando iptables..."
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#Establecemos politicas por defecto: DROP
echo "Politicas por defecto DROP..."
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#Permitir trafico sobre la interfaz de loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#Permitir trafico por eth0
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A OUPUT -o eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
#Permitir ping
iptables -A INPUT -p icmp -j ACCEPT
iptables -A OUTPUT -p icmp -j ACCEPT
#Permitir consultas dns
iptables -A OUTPUT -o eth1 -p udp --dport 53 -m state --state NEW -j
ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 53 -m state --state NEW -j
ACCEPT
#Salida al Internet a traves del SQUID de la red interna
iptables -t nat -A PREROUTING -i eth0 -s 192.168.5.0/24 -p tcp --dport 80 -j
REDIRECT --to-port 3128
iptables -A OUTPUT -o eth1 -p tcp --dport 21 -m state --state NEW -j
ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 80 -m state --state NEW -j
ACCEPT
iptables -A OUTPUT -o eth1 -p tcp --dport 443 -m state --state NEW -j
ACCEPT
******************************************************************************************************************************
_______________________________________________
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es