[CentOS-es] consulta shorewall?

Eduardo Atenas eduardo.atenas en gmail.com
Jue Jul 16 22:15:48 UTC 2009 

hola gracias
 mi configuracion es eth0(net) internet  eth1(loc) local, olvide comentar q eth0 esta conectada a un router dsl y esta ip es por dhcp del router y no una ip  publica por el comentario de walter no si esto tiene q ver? podria ser? en fin actualmente pienso q funciona bien pero no he logrado bloquear el msn por q si bloquea las paginas web.  


aca va el policy
-----------------------------------------------------------------------------
# Policies for traffic originating from the local LAN (loc)
#
# If you want to force clients to access the Internet via a proxy server
# on your firewall, change the loc to net policy to REJECT info.
loc             net             ACCEPT          info
loc             $FW             REJECT          info
loc             all             REJECT          info

#
# Policies for traffic originating from the firewall ($FW)
#
$FW             net             ACCEPT
$FW             loc             REJECT          info
$FW             all             REJECT          info

#
# Policies for traffic originating from the Internet zone (net)
#
net             $FW             DROP            info
net             loc             DROP            info
net             all             DROP            info

# THE FOLLOWING POLICY MUST BE LAST
all             all             REJECT          info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Aca el masq
--------------------------------------------------------------------------------
# For additional information, see http://shorewall.net/Documentation.htm#Masq
#
###############################################################################
#INTERFACE              SOURCE          ADDRESS         PROTO   PORT(S) IPSEC   MARK
eth0                    eth1
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
~

y aca va lo que tengo en squid.

acl redlocal src 192.168.2.0/24
acl privilegiados src "/etc/squid/privilegiados"
acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados"
http_access allow privilegiados
http_access allow redlocal !sitiosdenegados
acl msnmime req_mime_type ^application/x-msn-messenger$
acl msngw url_regex -i gateway.dll
http_access deny msnmime
http_access deny msngw





--------------------------------------------------
From: "César CRUZ ARRUNATEGUI" <ccruz en mail.ipd.gob.pe>
Sent: Thursday, July 16, 2009 4:37 PM
To: <centos-es en centos.org>; "Eduardo Atenas" <eduardo.atenas en gmail.com>
Subject: Re: [CentOS-es] consulta shorewall?

> hola.. 
> 1. podrias mostrarnos el contenido de los archivos masq y policy que tienes configurado en el shorewall??
> 2. no basta solo con bloquear por firewall el puerto que usa messenger, tambien tienes que definir unas reglas control access 
>   en squid. agrega estas (despues te paso la factura) :P
>   # Definimos acls para bloquear messenger
>   acl msn_messenger req_mime_type ^application/x-msn-messenger$
>   ## Bloqueamos getway.dll para versiones antiguas de msn-messenger
>   acl msn_url url_regex -i gateway.dll
>   ## Bloqueamos el puerto utilizado por todas las versiones
>   acl msn_port port 1863
>   ## Bloqueamos por metodo POST utilizado por las nuvas vesiones
>   acl msn_method method POST
> 
> revisa bien en tus politicas que la regla loc --> net este como DROP.
> 
> 
> César D. Cruz Arrunátegui
> 
> ----- Mensaje original -----
> De: "Eduardo Atenas" <eduardo.atenas en gmail.com>
> Para: centos-es en centos.org
> Enviados: Jueves, 16 de Julio 2009 13:48:35 GMT -05:00 Colombia
> Asunto: [CentOS-es] consulta shorewall?
> 
> 
> 
> hola lista. 
> 
> tengo un servidor centos 5.3 con shorewall + sqiud en la misma maquina, eth0 internet y eth1 red interna y redirijo el trafico internet hacia el puerto 3128 squid transparente. el problema o mi duda es, que al comentar el enmascaramiento que hago entre eth0 y eth1, sigo con internet y puedo bloquear el msn y todo, pero pierdo la salida a los puerto de correo y las maquinas de la red interna no puede enviar correos.....y cuando el masq esta funcionando si tengo salida a los correos pero no puedo bloquear el msn, al parecer el msn pasa a traves de otro puerto? 
> 
> mi consulta es: porque debo hacer nat ? entre las interfaces? 
> 
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20090716/00e15900/attachment-0001.html

Más información sobre la lista de distribución CentOS-es