hola gracias mi configuracion es eth0(net) internet eth1(loc) local, olvide comentar q eth0 esta conectada a un router dsl y esta ip es por dhcp del router y no una ip publica por el comentario de walter no si esto tiene q ver? podria ser? en fin actualmente pienso q funciona bien pero no he logrado bloquear el msn por q si bloquea las paginas web.
aca va el policy ----------------------------------------------------------------------------- # Policies for traffic originating from the local LAN (loc) # # If you want to force clients to access the Internet via a proxy server # on your firewall, change the loc to net policy to REJECT info. loc net ACCEPT info loc $FW REJECT info loc all REJECT info
# # Policies for traffic originating from the firewall ($FW) # $FW net ACCEPT $FW loc REJECT info $FW all REJECT info
# # Policies for traffic originating from the Internet zone (net) # net $FW DROP info net loc DROP info net all DROP info
# THE FOLLOWING POLICY MUST BE LAST all all REJECT info #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
Aca el masq -------------------------------------------------------------------------------- # For additional information, see http://shorewall.net/Documentation.htm#Masq # ############################################################################### #INTERFACE SOURCE ADDRESS PROTO PORT(S) IPSEC MARK eth0 eth1 #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE ~
y aca va lo que tengo en squid.
acl redlocal src 192.168.2.0/24 acl privilegiados src "/etc/squid/privilegiados" acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados" http_access allow privilegiados http_access allow redlocal !sitiosdenegados acl msnmime req_mime_type ^application/x-msn-messenger$ acl msngw url_regex -i gateway.dll http_access deny msnmime http_access deny msngw
-------------------------------------------------- From: "César CRUZ ARRUNATEGUI" ccruz@mail.ipd.gob.pe Sent: Thursday, July 16, 2009 4:37 PM To: centos-es@centos.org; "Eduardo Atenas" eduardo.atenas@gmail.com Subject: Re: [CentOS-es] consulta shorewall?
hola..
- podrias mostrarnos el contenido de los archivos masq y policy que tienes configurado en el shorewall??
- no basta solo con bloquear por firewall el puerto que usa messenger, tambien tienes que definir unas reglas control access
en squid. agrega estas (despues te paso la factura) :P # Definimos acls para bloquear messenger acl msn_messenger req_mime_type ^application/x-msn-messenger$ ## Bloqueamos getway.dll para versiones antiguas de msn-messenger acl msn_url url_regex -i gateway.dll ## Bloqueamos el puerto utilizado por todas las versiones acl msn_port port 1863 ## Bloqueamos por metodo POST utilizado por las nuvas vesiones acl msn_method method POST
revisa bien en tus politicas que la regla loc --> net este como DROP.
César D. Cruz Arrunátegui
----- Mensaje original ----- De: "Eduardo Atenas" eduardo.atenas@gmail.com Para: centos-es@centos.org Enviados: Jueves, 16 de Julio 2009 13:48:35 GMT -05:00 Colombia Asunto: [CentOS-es] consulta shorewall?
hola lista.
tengo un servidor centos 5.3 con shorewall + sqiud en la misma maquina, eth0 internet y eth1 red interna y redirijo el trafico internet hacia el puerto 3128 squid transparente. el problema o mi duda es, que al comentar el enmascaramiento que hago entre eth0 y eth1, sigo con internet y puedo bloquear el msn y todo, pero pierdo la salida a los puerto de correo y las maquinas de la red interna no puede enviar correos.....y cuando el masq esta funcionando si tengo salida a los correos pero no puedo bloquear el msn, al parecer el msn pasa a traves de otro puerto?
mi consulta es: porque debo hacer nat ? entre las interfaces?
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es