Forums:
Hola a todos! :) agradeciendo anticipadamente por sus respuestas:
Veran tengo el siguiente caso:
Tengo una red, bueno varias, pero una es la red principal controladas por una pc tipo router, el cual no tengo instalado squid. solamente tengo la regla " iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE " y " echo 1 > /proc/sys/net/ipv4/ip_forward " . con esto la maquinas dentro de esta red pueden tener acceso a internet, normalmente. Ahora dentro de esta misma red tengo otra subred controlada por otra pc el cual tiene instalado el squid, para que dichos usuario de esa subred puedan navegar, no hay ninguna otra regla adicional. todo funciona bien, los usuarios de dicha sub red solo pueden navegar mediante el proxy squid.
Ahora bien, se me ha presentado la necesidad de hacer ruteos, para que la red principal pueda ver equipos de la subred y vicevessa, para esto tube que poner el " ip_forward en 1" el pc donde tengo el servidor proxy. todo funciona bien, pero curiosamente si los usuarios de la subred que estan controladas por el squid proxy, quitan la configuracion del proxy de sus navegadores. tienen acceso a internet sin restriccion alguna :? , solo por haber puesto el " ip_forward en 1". Si bien tengo entendido poner el " ip_forward en 1" no significa que puedas navegar.
Bien espero haber sido claro con mi caso, ¿en dónde estaría esta falla?
Quizas tu squid este
Quizas tu squid este configurado como transparente :? y por eso asi quiten la configuración del proxy de susu nevegadores, accedan al Internet, ahora como controlas el acceso en el squid con ACL's ??, tienes algun control de puertos e ip's con iptables???, si no los tienes deberias ponerlos a funcionar ya que con el ip forward habilitado si es posible salir al internet,
Estas seguro de que el enmascaramiento no esta activo, le has hecho flush a las reglas de iptables y probado ver que pasa??
Por ultimo que rutas manejas da extracto de ip route show.
Keep The Fire Burning.....
Stryper 1988
no no es transparente
no no es transparente, esta configurado por el puerto 8080. eth0 es la sub red y eth1 en para acceso a internet. Me podrias decir como hago eso de iptables? cuales son las sentecias para que unicamente salgan por le squid?
Ok, no es transparente, pero
Ok, no es transparente, pero como controlas el acceso al proxy?, tienes ACL's o no :?
lo de iptables debes ver desde la consola con:
iptables -nL -t nat
SI te da reglas es por que está funcionando el masq, que de ley se necesita para que pueda salir tu subred al internet o a el otro server-router.
Keep The Fire Burning.....
Stryper 1988
Acl
los hago mediante los acl's . por otro lado ejecunando la sentencia iptables -nL -t nat me retorna:
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Aun no entiendo
al tener habiliatdo el ip forward en 1 y sin tener squid instalado puede la red acceder a internet? :?
Si es posible que ciertos
Si es posible que ciertos servicios puedan acceder con solo eso, a mi no me ha pasado pero lo he escuchado, lo recomendable es que tus ACL's esten bien configuradas, osea por prioridades en orden, has que tu script de iptables enmascare solo las ip's que necesitas salgan a internet y no toda la red, eso lo logras con un "for - do", las políticas por defecto dejalas en DROP por defecto y aumenta las seguridades y restricciones.
Saludos.
Keep The Fire Burning.....
Stryper 1988