iptables y squid

Forums: 

hola amigos
he configurado un servidor proxy squid transparente en fedora 8.0, en el proxy solo doy acceso a internet a unos cuantos usuarios, y bloqueo algunas paginas en las cuales se pueden observar videos, con la finalidad de agilizar la navegacion en internet.

hace algunos dias configure un scrip para manejar iptables y bloquear todos lo puertos para que unicamente las ips que yo quiera tengan acceso a internet o tengan acceso a un puerto en especifico, ademas de que el famoso messenger tenga acceso, el cogido del scrip es el siguiente:

#limpieza general de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

#politica por defecto para lo que cruza
iptables -P FORWARD DROP

#crear conexion de tarjetas y salida de LAN a internet
echo 1 >/proc/sys/net/ipv4/ip_forward

#generar salida de la red LAN hacia el internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

#forzar a que toda salida http pase por Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

#permitir salida de DNS
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT

#permitir salida al puerto udp 7779
iptables -A FORWARD -s 192.168.2.10 -p udp --dport 7779 -j ACCEPT
iptables -A FORWARD -d 192.168.2.10 -p udp --sport 7779 -j ACCEPT

#permitir salida al puerto tcp 7777

iptables -A FORWARD -s 192.168.2.11 -p tcp --dport 7777 -j ACCEPT
iptables -A FORWARD -d 192.168.2.11 -p tcp --sport 7777 -j ACCEPT

en un principio el scrip no tenia la siguiente linea: "iptables -P FORWARD DROP" y al mismo tiempo funcionaba el messenger, pero cuando agregue la linea mencionada se bloqueo el messenger ademas de todo el software p2p(Limewire,Ares,Kazza entre otros...), siendo que estoy direccionando el puerto 80 al puerto 3128 de mi squid.

se supone que el messenger deberia conectarse por que tengo abierto el puerto 80 ya que solo lo direccione, ¿a que puede deberse que el messenger no se conecte?, mi squid no esta negando la conexion al messenger o al hotmail. de antemano gracias

Ese es, messenger esta

Imagen de isacnet

Ese es, messenger esta constantemente cambiando la denominacion de ese archivo para evitar los bloqueos.

Saludos

_______________________________________
Trend Micro el mejor antivirus del mundo 40% del mercado mundial de gateway
240 millones de usuarios no pueden equivocarse
http://www.trendmicro.com.ec
Mercadeo@trendmicro.com.ec

_______________________________________
ISACNET S.A.
Ecuador: +593-2-3238590
Perú: +51-1-4223796

HP y Trend Micro, lo mejor de 2 mundos en un solo Socio de Negocios
http://www.isacnet.com.pe

una pregunta mas

Agradesco a todos los aportes realizados para lograr la conexion del famoso y molesto messenger jeje, la cuestion es la siguiente: ¿si yo habro los puertos que me han mencionado, pasaria tambien todo el software p2p?, perdon por ser tan novato, la realidad es que aun desconosco muchas cosas, lo cierto es que el mundo de linux es bastante bueno, salu2 y gracias nuevamente.

Si en verdad quieres una

Imagen de falcom

Si en verdad quieres una solucion real la unica forma es parchar tu kernel con layer 7 para eso necesitas:
el Linux kernel source 2.6
el iptables source
el l7-filter para tu version del kernel
y los Protocols definitions

Páginas