hola gracias
mi configuracion es eth0(net) internet eth1(loc) local, olvide
comentar q eth0 esta conectada a un router dsl y esta ip es por dhcp del router
y no una ip publica por el comentario de walter no si esto tiene q ver?
podria ser? en fin actualmente pienso q funciona bien pero no he logrado
bloquear el msn por q si bloquea las paginas web.
aca va
el
policy
-----------------------------------------------------------------------------
#
Policies for traffic originating from the local LAN (loc)
#
# If you want
to force clients to access the Internet via a proxy server
# on your
firewall, change the loc to net policy to REJECT
info.
loc
net
ACCEPT
info
loc
$FW
REJECT
info
loc
all
REJECT info
#
#
Policies for traffic originating from the firewall
($FW)
#
$FW
net
ACCEPT
$FW
loc
REJECT
info
$FW
all
REJECT info
#
#
Policies for traffic originating from the Internet zone
(net)
#
net
$FW
DROP
info
net
loc
DROP
info
net
all
DROP
info
# THE FOLLOWING POLICY MUST BE
LAST
all
all
REJECT info
#LAST LINE
-- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
Aca el
masq
--------------------------------------------------------------------------------
#
For additional information, see
http://shorewall.net/Documentation.htm#Masq
#
###############################################################################
#INTERFACE
SOURCE
ADDRESS PROTO
PORT(S) IPSEC
MARK
eth0
eth1
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT
REMOVE
~
y aca va lo que tengo en
squid.
acl redlocal src
192.168.2.0/24
acl privilegiados src "/etc/squid/privilegiados"
acl
sitiosdenegados url_regex "/etc/squid/sitiosdenegados"
http_access allow
privilegiados
http_access allow redlocal !sitiosdenegados
acl msnmime
req_mime_type ^application/x-msn-messenger$
acl msngw url_regex -i
gateway.dll
http_access deny msnmime
http_access deny
msngw
--------------------------------------------------
From:
"César CRUZ ARRUNATEGUI" <ccruz@mail.ipd.gob.pe>
Sent: Thursday, July
16, 2009 4:37 PM
To: <centos-es@centos.org>; "Eduardo Atenas"
<eduardo.atenas@gmail.com>
Subject: Re: [CentOS-es] consulta
shorewall?
> hola..
> 1. podrias mostrarnos el contenido de los
archivos masq y policy que tienes configurado en el shorewall??
> 2. no
basta solo con bloquear por firewall el puerto que usa messenger, tambien tienes
que definir unas reglas control access
> en squid. agrega
estas (despues te paso la factura) :P
> # Definimos acls para
bloquear messenger
> acl msn_messenger req_mime_type
^application/x-msn-messenger$
> ## Bloqueamos getway.dll para
versiones antiguas de msn-messenger
> acl msn_url url_regex -i
gateway.dll
> ## Bloqueamos el puerto utilizado por todas las
versiones
> acl msn_port port 1863
> ##
Bloqueamos por metodo POST utilizado por las nuvas vesiones
>
acl msn_method method POST
>
> revisa bien en tus politicas que la
regla loc --> net este como DROP.
>
>
> César D. Cruz
Arrunátegui
>
> ----- Mensaje original -----
> De: "Eduardo
Atenas" <eduardo.atenas@gmail.com>
> Para:
centos-es@centos.org
> Enviados: Jueves, 16 de Julio 2009 13:48:35 GMT
-05:00 Colombia
> Asunto: [CentOS-es] consulta shorewall?
>
>
>
> hola lista.
>
> tengo un servidor centos 5.3 con
shorewall + sqiud en la misma maquina, eth0 internet y eth1 red interna y
redirijo el trafico internet hacia el puerto 3128 squid transparente. el
problema o mi duda es, que al comentar el enmascaramiento que hago entre eth0 y
eth1, sigo con internet y puedo bloquear el msn y todo, pero pierdo la salida a
los puerto de correo y las maquinas de la red interna no puede enviar
correos.....y cuando el masq esta funcionando si tengo salida a los correos pero
no puedo bloquear el msn, al parecer el msn pasa a traves de otro puerto?
>
> mi consulta es: porque debo hacer nat ? entre las interfaces?
>
> _______________________________________________
>
CentOS-es mailing list
> CentOS-es@centos.org
>
http://lists.centos.org/mailman/listinfo/centos-es