Forums:
Hola a todos que tal, el problema es el siguiente en la empresa donde laboro la red LAN trabajaba con la red 110.110.110.0/24 Mascara 255.255.255.0, constando de 70 equipos, asi que realize el siguiente cambio la pase a la 192.168.2.0/25 Mascara 255.255.255.128, en mi iptables la regla para redireccionar al proxy es:
-A PREROUTING -s 110.110.110.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
realizando el cambio a la red correspondiente, luego haga el Nat
-A PREROUTING -s 192.168.2.0/25 -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Nateo de la Red
-A POSTROUTING -s 110.110.110.0/24 -o eth0 -j MASQUERADE
realizo el cambio igual
-A POSTROUTING -s 192.168.2.0/25 -o eth0 -j MASQUERADE
reinicio mi iptables, y ningun equipo tiene internet, de manera transparente, pero si configuro el navegador para que salga por el proxy si logran navegar, que estoy obviando para que logren salir de manera transparente, si con la red anterior navegaban bien.
Necesitamos saber mas datos...
------------
Cogito Ergo Sum
gracias por responder, si por
gracias por responder, si por eso realize el cambio de red, el proxy me funcionaba de una manera correcta, solo fue cambiar el rango y el iptables para abajo, en el squid.conf
realize los cambios pertinentes, ellos pueden salir al internet pero si les configuro cada navegador para que salga por un proxy, por eso no creo que sea en el squid.conf,
asi que coloco mis reglas: las cuales estan contenidas en /etc/sysconfig/iptables
*nat
:PREROUTING ACCEPT [46:18048]
:POSTROUTING ACCEPT [228:15016]
:OUTPUT ACCEPT [13258:878637]
## Redirecion al proxy
-A PREROUTING -s 192.168.2.0/25 -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Nateo de la Red
-A POSTROUTING -s 192.168.2.0/25 -o eth0 -j MASQUERADE
COMMIT
en la tabla mangle no coloco nada
y en la filter
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:syn-flood - [0:0]
:OUTPUT ACCEPT [0:0]
# Local Host & Red Local
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.2.0/25 -j ACCEPT
-A INPUT -p udp -m udp -s 129.6.15.28 --dport 123 --sport 123 -j ACCEPT
# Anti-flooding o inundacion de tramas SYN
-A INPUT -i eth0 -p tcp --syn -j syn-flood
-A syn-flood -m limit --limit 1/s --limit-burst 4 -j RETURN
-A syn-flood -j DROP
# ########## Abro los puertos para los servicios locales ##########
-A FORWARD -p tcp -m multiport -s 192.168..0/25 -i eth1 --dport 25,47,53,110,443,1723,3389,3535 -j ACCEPT
-A FORWARD -p udp -m multiport -s 192.168.2.0/25 -i eth1 --dport 53 -j ACCEPT
-A FORWARD -p ALL -s 192.168.2.0/25 -d 0/0 -j DROP
COMMIT
esas son las reglas que tengo en mi firewall, ademas de resover este problema me gustaria
pedir algo mas, si me pueden orientar para colocar un cortafuegos mas duro, algun manual, se los agradeceria, gracias
Te aseguraste
Te aseguraste de hacer un flush de las reglas anteriores???
Saludos
Juan Yépez
0993681879
Dj - Discomovil Quito
En el squid.conf tienes
En el squid.conf tienes declarada la ip de tu server 110.110.110.1:3128 transparent???, verifica eso si es asi cambialo.
no en el squid ya tengo la ip
no en el squid ya tengo la ip del server
http_port 192.168.2.126:3128 transparent
ya que la 192.168.2.2.127 es la de broadcast, el squid me da internet pero si lo configuro en el navegador, pero si trato de sacarlo por el firewall de forma transparente no, gracias, a todos.
Esta ip es la puerta de
Esta ip es la puerta de enlace de tus PC en la LAN 192.168.2.126??, me imagino que si, bueno tu error esta aqui, no lo habia visto antes:
# ########## Abro los puertos para los servicios locales ##########
-A FORWARD -p tcp -m multiport -s 192.168..0/25 -i eth1 --dport 25,47,53,110,443,1723,3389,3535 -j ACCEPT
-A FORWARD -p udp -m multiport -s 192.168.2.0/25 -i eth1 --dport 53 -j ACCEPT
-A FORWARD -p ALL -s 192.168.2.0/25 -d 0/0 -j DROP
Haces FORWARD Atodo un poco de puertos que no necesitas menos al puerto 80, pilas así no podras tener navegación ya que si bien tus políticas por defecto son ACCEPT, al final TODO esta sindo denegado con un DROP, así que declara el puerto 80 y saca el 25, 110, y demás que sean no necesarios, además te faltan el 20,21,22,1863 y ya te han de indicar cuales mas algún rato.
Ah por cierto pilas con
-s 192.168..0/25
No se si sea error de tipeado o lo tienes de ea forma, si es así cambialo a lo correcto.
No es necesario declarar el
No es necesario declarar el 80 en FORWARD, porque ya está declarado en PREROUTING bajo la tabla de nat para redirección al proxy.
Haz la prueba primero
Haz la prueba primero conectándote a una ip numérica con telnet al puerto 80. Debería verse algo como 'Connected to blabla, Escape character is ^]'. Si eso funciona, tu redirección al proxy funciona. Si no, son tus iptables
Luego intenta el telnet al puerto 80 con un nombre como google.com o algo así. Debería salirte igual que arriba. Si funciona, tu resolución de nombres funciona. Si no funciona, el problema es tu resolución de nombres.