Guia para montar un Proxy/Firewall :?

Forums: 

Hola amigos de Ecualug, exelente foro el que tenemos, esta es mi primera vez que uso el foro y quiero me ayuden con una duda que tengo respecto a como configurar de manera correcta un Proxy/firewall.

Antes de nada le comento que el proxy osea Squid ya lo tengo configurado y trabajando sin ningun problema, lo mismo pasa con el firewall, peor se me presentó una duda respecto a varios puntos como:

1.- Que es mejor un Proxy "normal" o Trasparente y que se debe y no hacer para que un proxy funcione a las mil maravillas?

2.- En le firewall si lo coloco trasp. el proxy debo hacer un redirect eso lo tengo claro pero si alguien me pasa la linea de la manera correcta como declararlo seria de gran ayuda ya que no se si es así, si me equivoco corriganme please:

$IPT -t nat -A PREROUTING -i eth1 -s $INTNETWORK -p tcp --dport 80 -j REDIRECT --to-port 8080

*Donde eth1 corresponde a la interfaz de LAN y $INTNETWORK es la red local.

3.- Si hago esto debo hacer o aplicar FORWARD al puerto 80 y al 8080?, en mi script tengo puesto que se haga FORWARD a todo (por si acaso), esto esta mal? EJMP:

$IPTABLES -A FORWARD -s $INTLAN -i $EXTIF -p tcp --dport 80 -j ACCEPT

* No estoy muy claro con el FORWARD, no se si el--source se hace para la red LAN y si la ..interface debe ser eth1 (conectada a la red local) o debo cambiar a eth0 (conectada al Internet), si me ayudan a aclarar el panorama se los agradecería millon y mil disculpas por preguntar tanto.

esta es mi linea de iptables

Imagen de magozolutions

esta es mi linea de iptables para squid, yo lo tengo trasnparente, a mi parecer es mejor así porque te libras de estar configurando en cada máquina el proxy en el navegador.

  • iptables -t nat -A PREROUTING -i $INTIF -p tcp --dport 80 -j REDIRECT --to-port 3128

$INTIF es mi tarjeta de red local, la que tiene la ip privada, en mi caso yo tengo mi proxy en el puerto 3128

Hola gracias por tu posteo,

Hola gracias por tu posteo, te cuento que si lo tengo traspárente ahora el proxy, de eso no tengo problemas, es mas tu linea de Redirect es practicamnete igual a la mia, ahora la duda que me sigue molestando es sobre el forward, si me pueden despejar estas dudas seria de gran ayuda. SE debe hacer algo más en le firewall para que el proxy tranparente funcione bien?? :?

Gracias una vez más.

no necesitas nada de forward

Imagen de magozolutions

no necesitas nada de forward porque con esa linea que te di, ya estas enviando todo lo que vaya al puerto 80 o sea paginas web al 8080, pero si quieres activar nat o sea que le pongas una puerta de enlace a las maquinas de tu red necesitarias activar otras cosas, pero con lo que tienes basta y sobra, igual aqui esta una direccion sobre como activar NAT
http://bulma.net/body.phtml?nIdNoticia=1522

verifica que tengas estas

Imagen de deathUser

verifica que tengas estas líneas en tu squid.conf
[quote]
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
[/quote]
bye
:)

Ok, todo eso lo tengo

Ok, todo eso lo tengo implementado y esta todo funcionando bien, el proxy transparente, el Redirect, etc.

La unica duda que me queda aùn es en que casos utilizo el FORWARD, me imagino que es cuando se utiliza DNAT? :?