Forums:
Hola Amigos.
Tengo el siguente inconveniente:
Dispongo de una red con 1 servidor Linux Fedora que esta definido como Puerta de enlace en las estaciones, ademas este equipo tiene instalado el squid para efectuar algun control en el acceso al servicio de internet.
Tambien tengo un servidor Windows que tiene corriendo el servidor DNS de la red. Tiene definido como puerta de enlace la 192.168.1.96 (el serv. linux) para que cuando se realiza un ping desde una estacion a www.google.com o a otro host este responda.
La puerta de enlace (Router) que me da el proveedor de internet es la 192.168.1.2 y la red esta en el mismo segmento de IP 192.168.1 (host entre 192.168.1.1 a 192.168.1.255)
El servidor Linux tiene ip 192.168.1.96 y sea definido como puerta de enlace en algunas estaciones para evitar estar configurando los navegadores para cada usuario que lo ocupa.
EL PROBLEMA
-----------
En los equipos (guindous) en que se ha definido en la configuracion de la tarjeta de red, la puerta de enlace 192.168.1.96 estos dejan de generar los registros de acceso (log) en el SQUID y de igual forma pueden acceder a internet sin ninguna restricción lo que causa la saturacion de la banda ancha debido al messenger y otros programas que no alcanzan a entrar a los filtros del SQUID.
Como puedo solucionar este problemita???
Atentamente.
Debes hacer
Debes hacer redirecionamiento de paquetes con iptables, ya que por lo que comentas tienes proxy transparente.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/
windows es bien caprichoso con sus virus
cuando uno cree tener perfectamente configurado todo windows viene con sus millones de virus y nos pone a correr para ver porque esa maquina navega cuando no deberia. primero que todo tienes un linux sin firewall por lo visto segundo tienes 2 router en un mismo segmento de ip, deberias cambiar de segmento y separar tu router de tu proveedor con tu lan que no esten en el mismo segmento ambas ya que los virus cuando no logran pasar por el router que los bloquea entonces se ponen a sniff en la red para ver si hay alguna otra salida y como tienes el mismo segmento se conecta perfectamente no se como encuentran la otra tarjeta del servidor y por ahi empiezan a navegar, un ej sencillo, skype es un p2p muy bueno con excelente calidad de video y voz pero si bloqueas todos los puertos en forward skype se sigue conectando ya que tienes que bloquar en input al 3128 o cualquier proxy que tengas habilitado el rastrea y si no conecta con tu proxy busca otra salida hasta conseguirla y eso te pone loco al buscar porque se conecta. empieza arreglando tu segmento lan cambialo a otro que no sea igual al de tu proveedor, me imagino tienes un router antes del servidor el cual te lo dio tu proveedor. empieza por ahi y revisa iptraf, tcpdump para ver que ip esta saliendo por donde.
revisa tu firewall en el servidor.
iptables es el secreto ahi. suerte.
Este es mi firewall
Bueno no soy un experto en el tema y lo que he podido hacer es con ayuda de articulos en internet
Publico el script con las sentencias iptables para que me las revisen si estan bien.
juandarcy2000
Me queda claro que tengo que cambiar el segmento de ip de las maquinas y gracias por tu consejo.
Inicialmente lo tenia de esa forma, es decir, en el rango 192.9.200 tenia todos los equipos de la red local,
pero por problemas con las conecciones via VPN las tuve que cambiar todos los equipos a 192.168.1 ya que nunca pude acceder desde la internet a la red local debido a que estaban en diferentes segnmentos. Cabe mencionar que el segmento 192.168.1 es la que el proveedor de internet me entrega junto al router con la puerta de enlace 192.168.1.2 y nunca pude unir o direccionar los paquetes del segmento 192.168.1 a la red local (192.9.200).
Si alguen me puede indicar como hacerlo se lo agradeceria enormemente.
Aquí va el scripts a ver quien me puede indicar si deberia estar recibiendo correos via POP3 que esta fuera en un proveedor de correos y SMTP que me lo proporciona el proveedor de internet ya que cada vez que fuerzo (desde el router y de los hubs) que las estaiones de trabajo pacen por el servivor linux (por las dos tarjetas de red) se interrumpe la recepcion de correos y solo pueden acceder a internet (las estaciones) si configuro manualmente el proxy cada PC.
##SCRIPT de IPTABLES
#><# Firewall.rc
#><# Systray.net
OK="\033[1;0m [ \033[00;32mOK \033[1;0m]\033[0m"
#variables de fierewall
IPT=/sbin/iptables
#IF_LAN1="eth2"
IF_LAN="eth1"
IF_INT="eth0"
IF_RED="192.168.1.0/24"
ANY="0.0.0.0/0"
# Cargamos los modulos del kernel necesarios:
/sbin/depmod -a
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ipt_REJECT
modprobe ipt_TOS
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
#echo -n Aplicando Reglas de Firewall...
##FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
##Estableciendo politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
##Empezamos a filtrar
##Nota: eth0 es el interfaz conectado al routing y eth1 a la LAN
$IPT -A INPUT -i lo -j ACCEPT
# Al firewall tenemos acceso desde la red local al exterior
$IPT -A INPUT -s $IF_RED -i $IF_LAN -j ACCEPT
##Abrimos el acceso a puertos de correo
# Abrimos el puerto 25
$IPT -A INPUT -s $ANY -p tcp --dport 25 -j ACCEPT
#Abrimos el POP3
$IPT -A INPUT -s $ANY -p tcp --dport 110 -j ACCEPT
#puerto ssh
$IPT -A INPUT -s $ANY -p tcp --dport 22 -j ACCEPT
# Puerto Web
$IPT -A INPUT -s $ANY -p tcp --dport 80 -j ACCEPT
# Aceptamos que vayan a puertos 80
## $IPT -A FORWARD -s $IF_RED -i $IF_LAN -p tcp --dport 80 -j ACCEPT
# Puerto Snmp
## $IPT -A FORWARD -s $IF_RED -i $IF_LAN -p udp --dport 161 -j ACCEPT
# Aceptamos que vayan a puertos 21
## $IPT -A FORWARD -s $IF_RED -i $IF_LAN -p tcp --dport 21 -j ACCEPT
# Aceptamos que vayan a puertos https
## $IPT -A FORWARD -s $IF_RED -i $IF_LAN -p tcp --dport 443 -j ACCEPT
# Aceptamos que consulten los DNS
## $IPT -A FORWARD -s $IF_RED -i $IF_LAN -p tcp --dport 53 -j ACCEPT
## $IPT -A FORWARD -s $IF_RED -i $IF_LAN -p udp --dport 53 -j ACCEPT
#$IPT -t nat -A PREROUTING -i $IF_LAN -p udp --sport 53 -j DNAT 200.75.0.4 200.75.0.5
# Y denegamos el resto
#$IPT -A FORWARD -s $IF_RED -i $IF_LAN -j DROP
#Enmascaramiento de la red local
$IPT -t nat -A POSTROUTING -s $IF_RED -o $IF_INT -j MASQUERADE
#Con esto permitimos hacer forward de paquetes en el firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
##Y ahora cerramos los accesos indeseados del exterior
#Cerramos el rango de puerto bien conocido
$IPT -A INPUT -s $ANY -p tcp --dport 1:1024 -j DROP
$IPT -A INPUT -s $ANY -p udp --dport 1:1024 -j DROP
#Cerramos un puerto de gestion: webmin
$IPT -A INPUT -s $ANY -p tcp --dport 10000 -j DROP
#Redireccionamiento web
$IPT -A INPUT -i $IF_LAN -p tcp -d $IF_RED --dport 80 -j ACCEPT
$IPT -t nat -A PREROUTING -i $IF_LAN -p tcp --dport 80 -j REDIRECT --to-port 8080 # 3128 jdm
#echo "OK . Verifique que lo que se aplica con: iptables -L -n"
echo -e "FORCE: CARGADO: $OK"
#Fin del script
verifica que puerto usa el squid en ese servidor
generalmente usa 3128 pero puede ser cambiado a 8080 o puedes tener instalado dansguardian el usa el 8080 investiga eso si no tienes bien declarado en el firewall cual puerto esta bloqueado en tu lan pueden usar ambos 3128 y 8080 eso nos es buena idea ya que dansguardian es el administrador de contenido y squid solo hace proxy y se te van a saltar los usuarios si no tienes definido el puerto por donde van hacer peticiones al servidor. ademas si no ves el log de squid puede ser que tengas dansguardian revisa el log
tail -f /var/log/dansguardian/access.log
y para squides
tail -f /var/log/squid/access.log
suertey comenta
Ese script de iptables, es
Ese script de iptables, es bien basico y facil de manejar es sacado o basado en el de pello, pero una le faltas muchas cosas por mejorar, te recomiendo lo analices , lo estudies y te pongas a invertigar cobre proxy transparente, iptables, routing, QoS, para que comiences a entender del asunto.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/
qos + iptables
donde podria leer sobre iptables y qos?
ruso
aca http://www.pello.info/fil
aca
http://www.pello.info/filez/firewall/iptables.html