Forums:
Hola a todos, saludos ante todo.
Instale debian 3.1 en un pc y luego configure un proxy de la siguiente manera:
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#politicas por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
#empesamos a filtrar
# eth0 es la interfac conectada a internet mediante el router
# eth1 es la interface conectada a la lan
#Permisos para acceder desde la LAN al firewall
iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.2.0/24 -i eth2 -j ACCEPT
#aplicamos una regla FORDWARD para filtar el acceso de LAN
#al exterior
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp --dport 80 -j ACCEPT
# le damos permiso para aceder al puerto http
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp --dport 443 -j ACCEPT
#aceptamos que consulten los DNS la eth1
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
#aceptamos que lo que entra por la segunda taejeta vaya a consultar NDS
iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p udp --dport 53 -j ACCEPT
#negamos al resto de la red
iptables -A FORWARD -s 192.168.0.0/24 -i eth1 -j DROP
iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -j DROP
#ahora enmascaramos la red
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
#redireccionamiento de paqueteS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#con esto permitimos hacer fordware de paquetes en el firewall, osea que otras
#maquinas puedan salir a traves del firewall
echo 1 > /proc/sys/net/ipv4/ip_forward
# Cerramos los accesos indeseados del exterior
#0.0.0.0/0 es para cualquier red
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j ACCEPT
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j ACCEPT
#
Al parecer tod esta bien.
Ahora navego normalmente, pero cuando bloque a algunas ips en el squid, estas aun siguen saliendo a internet, y las reglas creados son las siguientes: a por jornadas.
acl red1 src 192.168.0.0/255.255.255.0
acl red2 src 192.168.2.0/255.255.255.0
acl plan1 src "/etc/squid/mañana"
acl plan2 src "/etc/squid/tarde"
acl plan3 src "/etc/squid/noche"
acl plan4 src "/etc/squid/madrugada"
# Reglas para la definicion de horarios
acl horario_mañana time SMTWHFA 06:00-11:59
acl horario_tarde time SMTWHFA 12:00-18:59
acl horario_noche time SMTWHFA 18:00-23:59
acl horario_madrugada time SMTWHFA 00:00-05:59
*----------------
http_access allow red1 plan1 horario_mañana !extenciones
http_access allow red1 plan2 horario_tarde !extenciones
http_access allow red1 plan3 horario_noche !extenciones
http_access allow red1 plan4 horario_madrugada !extenciones
http_access deny all
La direcciones IP estan en 4 archivos segun la jornada del usuario
Estenciones, es una lista de sitios que quiero bloquear el acceso
Pueden decirme que es lo que esta mal,pero cuando inicio el server todo carga normal.
Por su Valiosa ayuda gracias.
Menor privilegio
Una de las reglas mas sencillas y mas importantes en la administracion es la de "menor privilegio", quitas todos los privilegios y luego vas asignando lo que te parezca necesario. En lo que he leido rapidamente (aun estoy en mi oficina y peor aun no estoy en linux por lo que me queman los dedos ;)) estas de una permitiendo todo el trafico y luego al final por alli perdido en el olvido pones una regla para negar la entrada.
Debes negar el trafico y luego habilitar para el segmento/subred/host que desees, asi estaras seguro quienes salen y porque.
------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
ICQ : 337889406
GnuPG-key : www.keyserver.net
------------------------------------------------
Linux User Registered #232544
Jabber : pepo@jabberes.org
Ekiga : pepo@ekiga.net
GnuPG-key : www.keyserver.net
Viendo el script tienes
Viendo el script tienes esto:
##
#redireccionamiento de paqueteS
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
Aqui existe un error debe ser eth1 no eth0.... ojo y prueba igual poniendo tus redes con -s. SI tu nateo no esta bien declarado de ley va a poder navegar tus clientes.
Saludos
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/
Hice los cambio pero sigue igual
Hola damage, hice los cambios que me sugieres pero al momento de cambiar eth0 por eth1, no se puede navergar, la eth0 tiene la ip 168.254.1.1 y la eth1 la Ip 192.68.0.254, tambien observe que cuando hago tail /var/log/squid/access.log, este fiechero esta vacio.
Esto me tiene cabezo..!
Gracias, revisise y funciono
He tenido un error de de -S donde era -s, corregi esto y si navegan las pcs, ahora sigue el proble con el proxy squid.
Seguire probando.
Adicional a las
Adicional a las observaciones que te han hecho hay un par de cosas que no estan muy claras.
Primero
Segun la configuracion que envias se ve que tienes definido lo siguiente en las ACLs
acl red1 src 192.168.0.0/255.255.255.0
acl red2 src 192.168.2.0/255.255.255.0
Con lo cual estas indicando que das accesso a toda las IPs de tu red. si quieres dar acceso a ciertas IPs no deberias definir esta ACL
Segundo
Al hacer NAT de tu red y especificar un gateway en las PCs de la red interna, lo ideal es tener configurado un proxy transparente, adicional a la regla de redireccion que tienes en FW debes de habilitar algunos parametros en tu archivo de configuracion del squid.
Lecturas recomendadas
www.squid-cache.org
www.netfilter.org
http://tldp.org/HOWTO/TransparentProxy.html
There are only 10 types people in the world:
Those who understand binary and those who don't
There are only 10 types people in the world:
Those who understand binary and those who don't
Hice los cambios pero sigue igual
El fichero manñana porejemplo contine las siguientes Ips
192.168.0.2
192.168.0.3
192.168.253
192.168.254 (esta es la ip de la eth1), sera este un error
la masca de red es 255.255.255.0
Tienes alguna idea de lo puede estar pasando en el squid, no se si es la acl, entiendo que cuando se tiene las Ips en un fichero, para comprobar se produce un OR entre ip e ip, pero al momento de hace el http_access, en cambio se produce un AND, al parecer seguí esa regla.
puedes echarle un vistazo al mensaje original para que me ayudes con lo de las ips.
Gracias Root Bit
He leido bastante, pero
He leido bastante sobre el squid, pero realmente no ecuentro que parámetros adicionales debo activar en el Firewall, si fueras tan amable de darme una direccion donde encontra esa información o decirme cuales parámetros son los que adicionalmente debo activar.
Mil gracias.
Buena observación RootBit
Buena observación RootBit de ley debe quitar las ACL de toda la red a que si en una de las listas que ha creado deniega una ip comentandola, esta igual ya a poder navegar por que esta declarada todoa la red en el primer y segundo ACL.
Revisa bien toda tu configuración con las recomendaciones propuestas y postea resultados por favor.
Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/