PROBLEMAS IPTABLES POLITICAS DROP - WEB

Forums: 

Hola, es la primera vez que posteo, hace rato que vengo leyendo las respuestas, muy interesantes!!, ahora tengo un problema con mi firewall, estoy tratando de asegurarlo los mas posible, para lo que recurri a utilizar politicas por defecto DROP ;), les copio el script para que vean y el problema que me da, y por ahi me dan una mano para resolver mi problema:

#!/bin/sh
#
# Registramos el inicio del firewall
#FECHA=$(date +"%C%y-%m-%d %H:%M")
#echo $FECHA
#/usr/bin/logger -p kern.notice -t NETFILTER \
# "====== Iniciado Cortafuegos: $FECHA ========="
# PARAMETRIZACION DEL SCRIPT
####################################################################################
### Definimos constantes para usar en el script
### INTERFACES
# eth0 - conectado a internet con IP FIJA
EXT_IF=eth0
EXT_IP=2xx.xxx.xxx.xxx
# eth1 - conectado a LAN
LAN_IF=eth1
LAN_IP=192.xxx.xxx.xxx
LAN_RED=192.xxx.xxx.x/24
# ip pc GW0254
IP_GW0254=2xx.xxx.xxx.xxx
# ip server GW_One
IP_GWOne=2xx.xxx.xxx.xxx
# ip pc admin LG
IP_LG=192.xxx.xxx.xxx
# ip pc monitoreo
IP_MON=2xx.xxx.xxx.xxx
# lo - interfaz de loopback
LOO_RED=127.0.0.0/8
# cualquier red
ANY_RED=0.0.0.0/0
####################################################################################
### Nos aseguramos que tenemos cargados los modulos necesarios
modprobe ip_conntrack_irc
modprobe ip_conntrack_ftp
modprobe ip_nat_irc
modprobe ip_nat_ftp
####################################################################################
### Limpiamos la configuracion existente
# Limpiamos (flush) las reglas
iptables -F && echo "regla-Limpiando FW...1"
# Borramos 'cadenas' de usuario
iptables -X && echo "regla-Limpiando FW...2"
# Ponemos a cero paquetes y contadores
iptables -Z && echo "regla-Limpiando FW...3"
# Limpiamos las reglas de NAT
iptables -t nat -F && echo "regla-Limpiando FW...4"
# Borramos 'cadenas' de usuario de NAT
iptables -t nat -X && echo "regla-Limpiando FW...5"
####################################################################################
echo " Estableciendo politicas..."
####################################################################################
### Establecemos las politicas por omision
### de las 'cadenas'
# Por omision descartamos los paquetes
iptables -P INPUT DROP && echo "regla-Estableciendo politicas...1"
iptables -P OUTPUT DROP && echo "regla-Estableciendo politicas...2"
iptables -P FORWARD DROP && echo "regla-Estableciendo politicas...3"
# PREROUTING - NAT sobre la IP destino: normalmente desde inet hacia LAN
# POSTROUTING - NAT sobre la IP origen: normalmente desde LAN hacia inet
iptables -t nat -P PREROUTING DROP && echo "regla-Estableciendo politicas...4"
iptables -t nat -P POSTROUTING DROP && echo "regla-Estableciendo politicas...5"
####################################################################################
# Relajamos la politica de salida
# Dejamos salir paquetes de LAN_IP por LAN_IF
iptables -A OUTPUT -o $LAN_IF -s $LAN_IP -j ACCEPT && echo "regla-OU...1"
# Dejamos salir paquetes de EXT_IP por EXT_IF
iptables -A OUTPUT -o $EXT_IF -s $EXT_IP -j ACCEPT && echo "regla-OU...2"
####################################################################################
echo " Accesos a la maquina local permitidos..."
####################################################################################
### Permitimos ciertos accesos a la maquina
####################################################################################
echo " -> loopback..."
####################################################################################
# Permitimos todas las conexiones del interfaz loopback
#iptables -A INPUT -i lo -j ACCEPT
#iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i lo -s $LOO_RED -d $LOO_RED -j ACCEPT && echo "regla-loopback...1"
iptables -A OUTPUT -o lo -s $LOO_RED -d $LOO_RED -j ACCEPT && echo "regla-loopback...2"
# Permitimos el PostEnrutado de paquetes enviados localmente
iptables -t nat -A POSTROUTING -o lo -s $LOO_RED -j ACCEPT && echo "regla-loopback...3"
####################################################################################
echo " -> LAN..."
####################################################################################
# Damos acceso desde la red local
iptables -A INPUT -s $LAN_RED -i $LAN_IF -j ACCEPT && echo "regla-LAN...1"
iptables -A OUTPUT -d $LAN_RED -o $LAN_IF -j ACCEPT && echo "regla-LAN...2"
####################################################################################
echo " -> ntpd..."
####################################################################################
# Aceptamos conexiones ntpd
iptables -A INPUT -p udp -m udp --dport 123 -i $EXT_IF -s $ANY_RED -j ACCEPT && echo "regla-ntpd...1"
iptables -A OUTPUT -p udp -m udp --sport 123 -j ACCEPT && echo "regla-ntpd...2"
####################################################################################
echo " -> ssh-webmin..."
####################################################################################
# Abrimos el puerto xxxx para ssh
#iptables -A INPUT -p tcp -i $EXT_IF -s $ANY_RED -m tcp --dport xxxx--sport 1024:65535 -j ACCEPT
iptables -A INPUT -p tcp -s $ANY_RED -m tcp --dport 22 --sport 1024:65535 -m state --state NEW -j LOG --log-prefix "[FW-SSH-WM] " && echo "regla-ssh...1"
iptables -A INPUT -s $IP_LG -p tcp --dport 22 -j ACCEPT && echo "regla-ssh...2"
iptables -A INPUT -s $IP_GW0254 -p tcp --dport 22 -j ACCEPT && echo "regla-ssh...3"
iptables -A INPUT -s $IP_GWOne -p tcp --dport 22 -j ACCEPT && echo "regla-ssh...4"
iptables -A INPUT -s $IP_MON -p tcp --dport 22 -j ACCEPT && echo "regla-ssh...5"
iptables -A INPUT -s $IP_LG -p tcp --dport 10000 -j ACCEPT && echo "regla-ssh...6"
iptables -A INPUT -s $IP_GW0254 -p tcp --dport 10000 -j ACCEPT && echo "regla-ssh...7"
iptables -A INPUT -s $IP_GWOne -p tcp --dport 10000 -j ACCEPT && echo "regla-ssh...8"
# ...y conexiones salientes relacionadas
iptables -A OUTPUT -p tcp -m tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "regla-ssh...9"
iptables -A OUTPUT -p tcp -m tcp --sport 10000 -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "regla-ssh...9"
####################################################################################
echo " -> DNS..."
####################################################################################
# Aceptamos conexiones DNS
iptables -A INPUT -s $ANY_RED -i $EXT_IF -p udp -m udp --sport 53 -j ACCEPT && echo "regla-DNS...1"
iptables -A OUTPUT -d $ANY_RED -o $EXT_IF -p udp -m udp --dport 53 -j ACCEPT && echo "regla-DNS...2"
#iptables -A FORWARD -p tcp --dport 53 -j ACCEPT && echo "regla-DNS-1"
#iptables -A FORWARD -p tcp --sport 53 -j ACCEPT && echo "regla-DNS-2"
#iptables -A FORWARD -p udp --dport 53 -j ACCEPT && echo "regla-DNS-3"
#iptables -A FORWARD -p udp --sport 53 -j ACCEPT && echo "regla-DNS-4"
####################################################################################
echo " -> www..."
####################################################################################
# El puerto 80 de www debe estar abierto, es un servidor web.
#iptables -A INPUT -p tcp --dport 80 -j ACCEPT && echo "regla-web(80)"
#iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT && echo "regla-web(80)"
# Aceptamos que vayan a puertos 80
iptables -A FORWARD -p tcp --dport 80 -j ACCEPT && echo "regla-web-1"
iptables -A FORWARD -p tcp --sport 80 -j ACCEPT && echo "regla-web-2"
# Aceptamos que vayan al los demas puertos https
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT && echo "regla-https-IN"
#iptables -A OUTPUT -p tcp --sport 443 -j ACCEPT && echo "regla-https-OU"
# Aceptamos que vayan a puertos https
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT && echo "regla-https-1"
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT && echo "regla-https-2"
####################################################################################
echo " -> pop3..."
####################################################################################
# POP3 office 2007
iptables -A INPUT -s $LAN_RED -i $LAN_IF -p tcp --dport 995 -j ACCEPT && echo "regla-POP3-IN"
iptables -A OUTPUT -d $LAN_RED -o $LAN_IF -p tcp --sport 995 -j ACCEPT && echo "regla-POP3-OUT"
iptables -A INPUT -p tcp --dport 995 -j LOG --log-prefix "POP3-IN" && echo "LOG-995"
# SMTP office 2007
iptables -A INPUT -s $LAN_RED -i $LAN_IF -p tcp --dport 587 -j ACCEPT && echo "regla-SMTP2007-D"
iptables -A OUTPUT -d $LAN_RED -o $LAN_IF -p tcp --sport 587 -j ACCEPT && echo "regla-SMTP2007-S"
# SMTP office 2003
iptables -A INPUT -s $LAN_RED -i $LAN_IF -p tcp --dport 465 -j ACCEPT && echo "regla-SMTPXP-D"
iptables -A OUTPUT -d $LAN_RED -o $LAN_IF -p tcp --sport 465 -j ACCEPT && echo "regla-SMTPXP-S"
# POP3 Go! Internet
iptables -A INPUT -s $LAN_RED -i $LAN_IF -p tcp --dport 110 -j ACCEPT && echo "regla-POP3Go!-D"
iptables -A OUTPUT -d $LAN_RED -o $LAN_IF -p tcp --sport 110 -j ACCEPT && echo "regla-POP3Go!-S"
# SMTP Go! Internet
iptables -A INPUT -s $LAN_RED -i $LAN_IF -p tcp --dport 26 -j ACCEPT && echo "regla-SMTPGo!-D"
iptables -A OUTPUT -d $LAN_RED -o $LAN_IF -p tcp --sport 26 -j ACCEPT && echo "regla-SMTPGo!-S"
####################################################################################
echo " -> icmp..."
####################################################################################
# Permitimos paquetes ICMP (ping, traceroute...)
# con limites para evitar ataques de DoS
# Aceptamos ping y pong
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...1"
iptables -A OUTPUT -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...2"
iptables -A INPUT -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...3"
iptables -A OUTPUT -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...4"
# Aceptamos redirecciones
iptables -A INPUT -p icmp --icmp-type redirect -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...5"
iptables -A OUTPUT -p icmp --icmp-type redirect -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...6"
# Aceptamos tiempo excedido
iptables -A INPUT -p icmp --icmp-type time-exceeded -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...7"
iptables -A OUTPUT -p icmp --icmp-type time-exceeded -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...8"
# Aceptamos destino inalcanzable
iptables -A INPUT -p icmp --icmp-type destination-unreachable -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...9"
iptables -A OUTPUT -p icmp --icmp-type destination-unreachable -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...10"
####################################################################################
echo " Activando NAT..."
####################################################################################
# Activamos el bit de forward
echo 1 > /proc/sys/net/ipv4/ip_forward && echo "regla-NAT...1"
# Enmascaramos la salida de la LAN
iptables -t nat -A POSTROUTING -s $LAN_RED -o $EXT_IF -j MASQUERADE && echo "regla-NAT...2"
####################################################################################
echo " Redirecciones..."
####################################################################################
###
### Generamos redireccionamientos transparentes para el resto de maquinas
###
####################################################################################
echo " -> Proxy web transparente (Squid)..."
####################################################################################
# Con la redireccion activa (primera linea) no se llega a la segunda linea
# Para bloquear todo acceso a la web comentar solo la primera linea
# Para anular el proxy comentar las dos reglas
iptables -t nat -A PREROUTING -i $LAN_IF -s $LAN_RED -p tcp --dport 80 -j REDIRECT --to-port 3128 && echo "regla-squid...1"
#iptables -A FORWARD -i $LAN_IF -p tcp --dport 80 -j DROP && echo "regla-squid...2"
####################################################################################
echo " Reenvios..."
####################################################################################
### Aceptamos algunos reenvios
####################################################################################
echo " -> icmp..."
####################################################################################
# Permitimos paquetes ICMP (ping, traceroute...) con limites para evitar ataques de DoS
# Aceptamos ping y pong
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...1"
iptables -A FORWARD -p icmp --icmp-type echo-reply -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...2"
# Aceptamos redirecciones
iptables -A FORWARD -p icmp --icmp-type redirect -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...3"
# Aceptamos tiempo excedido
iptables -A FORWARD -p icmp --icmp-type time-exceeded -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...4"
# Aceptamos destino inalcanzable
iptables -A FORWARD -p icmp --icmp-type destination-unreachable -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...5"
# Aceptamos todas en LAN_IF
iptables -t nat -A PREROUTING -i $LAN_IF -p icmp --icmp-type any -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...6"
iptables -t nat -A POSTROUTING -o $LAN_IF -p icmp --icmp-type any -m limit --limit 2/s -j ACCEPT && echo "regla-icmp...7"
####################################################################################
echo " -> vnc..."
####################################################################################
# Habilitamos VNC a un pc en especifico
iptables -t nat -I PREROUTING 1 -p tcp -d 2xx.xxx.xxx.xx --dport 5900 -i eth0 -j DNAT --to 192.xxx.xxx.xx:5900 && echo "regla-vnc...1"
iptables -t nat -I PREROUTING 2 -p udp -d 2xx.xxx.xxx.xx --dport 5900 -i eth0 -j DNAT --to 192.xxx.xxx.xx:5900 && echo "regla-vnc...2"
iptables -t nat -I POSTROUTING 1 -p tcp --dport 5900 -o eth1 -d 192.xxx.xxx.xx -j MASQUERADE && echo "regla-vnc...3"
iptables -A FORWARD -p tcp -i eth0 -d 192.xxx.xxx.xx -j ACCEPT && echo "regla-vnc...4"
####################################################################################
echo " Salida general..."
####################################################################################
### Aceptamos conexiones salientes
### Permitimos cualquier salida tcp desde la propia maquina
iptables -A OUTPUT -o $EXT_IF -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT && echo "regla-sal gral...1"
# ...y conexiones entrantes relacionadas
iptables -A INPUT -i $EXT_IF -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT && echo "regla-sal gral...2"
# Permitimos el reenvio de paquetes enviados desde la LAN
iptables -A FORWARD -i $LAN_IF -j ACCEPT && echo "regla-sal gral...3"
# ...y conexiones salientes relacionadas
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "regla-sal gral...4"
# Permitimos el NAT de paquetes enviados desde la LAN
iptables -t nat -A PREROUTING -i $LAN_IF -j ACCEPT && echo "regla-sal gral...5"
# ...y conexiones salientes relacionadas
iptables -t nat -A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "regla-sal gral...6"
# Permitimos el NAT de paquetes enviados desde inet hacia la IP publica
iptables -t nat -A PREROUTING -i $EXT_IF -d $EXT_IP -j ACCEPT && echo "regla-sal gral...7"
# ...y conexiones salientes relacionadas
iptables -t nat -A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "regla-sal gral...8"
# Permitimos el NAT de paquetes enviados desde la IP publica hacia inet
iptables -t nat -A POSTROUTING -o $EXT_IF -s $EXT_IP -j ACCEPT && echo "regla-sal gral...9"
# ...y conexiones salientes relacionadas
iptables -t nat -A POSTROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT && echo "regla-sal gral...10"
# Permitimos el PostEnrutado de paquetes enviados localmente
iptables -t nat -A POSTROUTING -o $LAN_IF -s $LAN_RED -j ACCEPT && echo "regla-sal gral...11"
####################################################################################
echo " -> Denegacion de redes invalidas..."
####################################################################################
# No admitimos desde el exterior redes invalidas (RFC 1918)
iptables -t nat -A PREROUTING -i $EXT_IF -s 192.168.0.0/16 -j DROP && echo "regla-Red Inv...1"
iptables -t nat -A PREROUTING -i $EXT_IF -s 10.0.0.0/8 -j DROP && echo "regla-Red Inv...2"
iptables -t nat -A PREROUTING -i $EXT_IF -s 172.16.0.0/12 -j DROP && echo "regla-Red Inv...3"
iptables -t nat -A PREROUTING -i $EXT_IF -s 224.0.0.0/4 -j DROP && echo "regla-Red Inv...4"
iptables -t nat -A PREROUTING -i $EXT_IF -s 240.0.0.0/5 -j DROP && echo "regla-Red Inv...5"
iptables -t nat -A PREROUTING -i $EXT_IF -s $LOO_RED -j DROP && echo "regla-Red Inv...6"
iptables -t nat -A PREROUTING -i $EXT_IF -s 0.0.0.0/8 -j DROP && echo "regla-Red Inv...7"
iptables -t nat -A PREROUTING -i $EXT_IF -s 169.254.0.0/16 -j DROP && echo "regla-Red Inv...8"
iptables -t nat -A PREROUTING -i $EXT_IF -s 255.255.255.255 -j DROP && echo "regla-Red Inv...9"
iptables -t nat -A PREROUTING -i $EXT_IF -s $EXT_IP -j DROP && echo "regla-Red Inv...10"
# Desde el interior solo admitimos nuestra red LAN
iptables -t nat -A PREROUTING -i $LAN_IF -s ! $LAN_RED -j DROP && echo "regla-Red Inv...11"
####################################################################################
echo " -> Denegacion de broadcast de NetBIOS..."
####################################################################################
# Bloquear paquetes broadcast de NetBios salientes
iptables -A FORWARD -p tcp --sport 137:139 -o $EXT_IF -j DROP && echo "regla-Den Bcast...1"
iptables -A FORWARD -p udp --sport 137:139 -o $EXT_IF -j DROP && echo "regla-Den Bcast...2"
iptables -A OUTPUT -p tcp --sport 137:139 -o $EXT_IF -j DROP && echo "regla-Den Bcast...3"
iptables -A OUTPUT -p udp --sport 137:139 -o $EXT_IF -j DROP && echo "regla-Den Bcast...4"
####################################################################################
echo " Cerrando puertos restringidos..."
####################################################################################
### Puertos restringidos (telnet, ftp, imap, pop3, etc.)
### Reiterativo: para pruebas
iptables -A INPUT -p tcp --dport 1:1024 -j DROP && echo "regla-Drop ports...1"
iptables -A INPUT -p udp --dport 1:1024 -j DROP && echo "regla-Drop ports...2"
# cerramos webmin al mundo
iptables -A INPUT -s $ANY_RED -p tcp --dport 10000 -j DROP && echo "regla-Drop ports...3"
iptables -A OUTPUT -s $ANY_RED -p tcp --dport 10000 -j DROP && echo "regla-Drop ports...4"
iptables -A INPUT -s $ANY_RED -p udp --dport 10000 -j DROP && echo "regla-Drop ports...5"
iptables -A OUTPUT -s $ANY_RED -p udp --dport 10000 -j DROP && echo "regla-Drop ports...6"
####################################################################################
# Guardamos las reglas
/etc/rc.d/init.d/iptables save && echo "regla-save!"
# reiniciamos los servicios IPTABLES y SQUID
service iptables restart
echo "IPTABLES REINICIADO..."
####################################################################################
#echo " ACTIVADO DEBUG..."
####################################################################################
### Reglas utilizadas en debug para detectar
#+ paquetes no tratados todavia
#+ -j LOG --log-prefix "--PR> "
###iptables -t nat -A PREROUTING -j LOG --log-prefix "[FW - PR] "
###iptables -t nat -A POSTROUTING -j LOG --log-prefix "[FW - PO] "
###iptables -A FORWARD -j LOG --log-prefix "[FW - FW] "
###iptables -A INPUT -j LOG --log-prefix "[FW - IN] "
###iptables -A OUTPUT -j LOG --log-prefix "[FW - OU] "
####################################################################################
echo " Configuracion FW terminada."
echo ""
echo " A continuacion podria desear:"
echo " verificar las reglas: iptables -nvL && iptables -nvL -t nat"
####################################################################################
exit 0

el error que me sale es este y es de mi propio servidor web, que es tambien mi FW:

ERROR
El URL solicitado no se ha podido conseguir

Mientras se intentaba traer el URL: http://www.xxx.com.xx/squid-reports/

Ha ocurrido el siguiente problema:

* Conexión fallida.

El sistema ha devuelto el siguiente mensaje:

(110) Connection timed out

El equipo remoto o la red pueden estar fuera de servicio. Por favor, intente de nuevo la petición.
Generated Thu, 26 Mar 2009 21:32:50 GMT by xxx.com.xx (squid/2.6.STABLE20)

Te falta una regla de OUTPUT

Imagen de acl

Te falta una regla de OUTPUT --dport 80. Sin ella tu proxy no puede iniciar la conexión tcp y por ello el error.

Hay alguna reglas al puerto 80 en tu script, pero las que veo son para paquetes que entran a tu puerto 80 y para redirigir los de la red interna al puerto de squid. Aún debes agregar lo que mencioné arriba.

acl, gracias por

acl, gracias por responder... cambie unas lineas en la parte de www y me da el mismo problema otra vez, pero es solo con mi pagina web que esta alojada en mi server-fw, a las demas paginas de cualquier otro lado accedo sin problemas, aqui va las lineas cambiadas:

####################################################################################
echo " -> www..."
####################################################################################
# El puerto 80 de www debe estar abierto, es un servidor web.
iptables -A INPUT -p tcp --sport 80 -j ACCEPT && echo "regla-web(80)"
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT && echo "regla-web(80)"
# Aceptamos que vayan a puertos 80
#iptables -A FORWARD -p tcp --sport 80 -j ACCEPT && echo "regla-web-1"
#iptables -A FORWARD -p tcp --dport 80 -j ACCEPT && echo "regla-web-2"
# Aceptamos que vayan al los demas puertos https
iptables -A INPUT -p tcp --sport 443 -j ACCEPT && echo "regla-https-IN"
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT && echo "regla-https-OU"
# Aceptamos que vayan a puertos https
#iptables -A FORWARD -p tcp --sport 443 -j ACCEPT && echo "regla-https-1"
#iptables -A FORWARD -p tcp --dport 443 -j ACCEPT && echo "regla-https-2"

Las reglas del principio

Imagen de acl

Las reglas del principio estaban bien. Solo hacía falta agregar nuevas, no cambiar las que tenías.

[quote]
# El puerto 80 de www debe estar abierto, es un servidor web.
iptables -A INPUT -p tcp --sport 80 -j ACCEPT && echo "regla-web(80)"
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT && echo "regla-web(80)"
[/quote]

Con esto estás permitiendo el paso de paquetes que
1. vienen del puerto 80 de servicios externos (INPUT, --sport 80)
2. salen al puerto 80 de los servicios externo (INPUT, --dport 80)
Es decir, estás permitiendo a tu fw ser cliente de web.

Para permitir a tu fw ser servidor de web debes aceptar paquetes que:
1. entran a tu puerto 80 (INPUT, --dport 80)
2. salen desde tu puerto 80 (OUTPUT, --sport 80)
(que tenías antes y estaban bien - aunque comentadas)

La dirección de las conexiones siempre es importante.

Me puedo equivocar, pero

Imagen de deathUser

Me puedo equivocar, pero alguna vez con la redirección para el proxy transparente se hace un loop cuando quieres acceder al HTTP local del firewall que en tu caso el también el servidor web, a ver si le puedes poner que la redirección al squid se haga solo si el destino es distinto a tu servidor local ...

Suerte ...

bye
;)

desde ya gracias por

:D desde ya gracias por responder... acl, modifique como me lo dijiste, desde afuera puedo acceder sin problemas, pero internamente no, creo que deathUser estaria en lo cierto, ahora como hacer lo que dice nomas me queda ver :?

:)

hola de vuelta... encontre

hola de vuelta... encontre la causa... si escribo en el navegador www.midominio.com.xx tarda mucho en entrar, si quiero ir a una subpagina, ye me da el el time out, pero si escribo http://ip.de.mi.servidor antes de un parpadeo ya lo carga todo y me deja ir a las subpaginas sin problemas, o sea dns... ahora a ver eso... :?