[CentOS-es] AYUDA PROXY TRANSPARENTE

Javier Basisty javier.basisty en gmail.com
Jue Oct 29 05:50:33 UTC 2009 

Yo justamente hoy hice esto y me funciono bien. No utilice todas esas 
reglas en el iptables... Prohibi la entrada de paquetes que no hayan 
sido pedidos por mi firewall, bloquee el puerto 80 para mi red, y en vez 
del redirect que mostrar lo hice con dnat y me anduvo.

iptables -F
iptables -A INPUT -i interfaz_publica -m state --state 
ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A PREROUTING -s xxx.xxx.xxx.xxx/xx -p tcp --dport 80 -j 
DNAT --to-destination yyy.yyy.yyy.yyy:3128
iptables -A INPUT -i interfaz_publica -j DROP


xxx.xxx.xxx.xxx/xx = red local
yyy.yyy.yyy.yyy = ip privada del firewall


Despues vas tuneando los permisos, QoS y las cosas que quieras dejar 
pasar...



El 29/10/09 02:46, Jorge Herrera escribió:
> Hola, he estado configurando mi servidor proxy con Squid para que 
> trabaje de manera transparente, pero por más q he probado algunas 
> configuraciones no funciona, cabe mensionar que modificando las 
> opciones de los navegadores si funciona, pero mi propósito es que 
> trabaje de manera transparente, aqui les dejo mis archivos de 
> configuración, para ver si me pueden ayudar.
>
> ************************************************************************************************
> # /etc/squid/squid.conf
>
> http_port 192.168.5.1:8080 <http://192.168.5.1:8080> transparent
> icp_port 0
> cache_mem 8 MB
> cache_dir ufs /var/spool/squid 100 16 256
> coredump_dir /var/spool/squid
> cache_access_log /var/log/squid/access.log
> cache_log /var/log/squid/cache.log
> pid_filename /var/run/squid.pid
> visible_hostname fw2.suemcom.com <http://fw2.suemcom.com>
>
> #ACL para toda la red interna
>
> acl all src 0.0.0.0/0.0.0.0 <http://0.0.0.0/0.0.0.0>
> acl manager proto cache_object
> acl localhost src 127.0.0.1/255.255.255.255 
> <http://127.0.0.1/255.255.255.255>
> acl miredlocal src 192.168.5.0/255.255.255.0 
> <http://192.168.5.0/255.255.255.0>
>
> #ACL PARA DENEGAR SITIOS
>
> acl sitiosdenegados url_regex -i "/etc/squid/sitiosdenegados.txt"
>
>
> #ejecutando acl's
>
> http_access allow localhost
> http_access allow miredlocal
> http_access deny sitiosdenegados
> http_access deny all
>
> cache_effective_user squid
> cache_effective_group squid
>
> error_directory /usr/share/squid/errors/Spanish
>
> snmp_port 0
>
> **************************************************************************************************
>
> Y estas son mis iptables:
>
> echo "Aplicando reglas del Firewall......."
>
> #Flush de las reglas
>
> echo "Borrando iptables..."
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> #Establecemos politicas por defecto: DROP
>
> echo "Politicas por defecto DROP..."
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> #Permitir trafico sobre la interfaz de loopback
>
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A OUTPUT -o lo -j ACCEPT
>
> #Permitir trafico por eth0
>
> iptables -A INPUT -i eth0 -j ACCEPT
> iptables -A OUPUT -o eth0 -j ACCEPT
> iptables -A FORWARD -i eth0 -j ACCEPT
>
> #Permitir ping
>
> iptables -A INPUT -p icmp -j ACCEPT
> iptables -A OUTPUT -p icmp -j ACCEPT
>
> #Permitir consultas dns
>
> iptables -A OUTPUT -o eth1 -p udp --dport 53 -m state --state NEW -j 
> ACCEPT
> iptables -A OUTPUT -o eth1 -p tcp --dport 53 -m state --state NEW -j 
> ACCEPT
>
>
> #Salida al Internet a traves del SQUID de la red interna
>
> iptables -t nat -A PREROUTING -i eth0 -s 192.168.5.0/24 
> <http://192.168.5.0/24> -p tcp --dport 80 -j REDIRECT --to-port 3128
>
> iptables -A OUTPUT -o eth1 -p tcp --dport 21 -m state --state NEW -j 
> ACCEPT
> iptables -A OUTPUT -o eth1 -p tcp --dport 80 -m state --state NEW -j 
> ACCEPT
> iptables -A OUTPUT -o eth1 -p tcp --dport 443 -m state --state NEW -j 
> ACCEPT
>
>
> ******************************************************************************************************************************
>
>
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> http://lists.centos.org/mailman/listinfo/centos-es
>    

------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: http://lists.centos.org/pipermail/centos-es/attachments/20091029/d75cf3c3/attachment.html

Más información sobre la lista de distribución CentOS-es