Proxy Transparente con redhat enterprise5

Forums: 

estimado amigos tengo el siguiente problema.

Tengo un router cysco 2600 al cual me llega el internet de mi isp, mediante cable de red conecto a mi switch de mi lan interna, el tema es que quiero realizar un proxy transparente con squid e iptables no conecto directamente el cable del router a mi servidor de internet que esta en linux porque no tengo acceso al restos de ips publicas.

he configurado el squid y tambien tengo configurado el iptables mi, red esta a este nivel 192.168.2.0/24, tambien esta configurado el dhcp en el mismo server redhat enterprise 5 en ocasiones funciona de maravilla el proxy transparente pero hay momentos que no se autentica la red no se que pueda ser.

estas son las configuraciones que tengo.

dhcp

option routers 192.168.2.202;
option domain-name-servers 192.168.2.202, 200.93.236.11;
option domain-name "redlocal.com";
ddns-update-style interim;
ignore client-updates;
shared-network red-local {
# redlocal
subnet 192.168.2.0 netmask 255.255.255.0 {
range 192.168.2.130 192.168.2.180;
}
}

esta configurado el reenvio de paquetes
net.ipv4.ip_forward = 1

configuracion de iptables
/etc/sysconfig/iptables

# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not r
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p 53 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 10000 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 110 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 1723 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp1 -j ACCEPT
-A RH-Ferewall-ll configuration written by system-config-securitylevel
# Manual customization of this file is not r
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT

Cita: hay momentos que no se

Imagen de deathUser

[quote]hay momentos que no se autentica la red no se que pueda ser.[/quote]

Yo lo que no se, es que quieres decir con esa afirmación, por favor aclárala ...

Ah, y otra duda me asalta, en tu linux tienes dos tarjetas de red y una ip pública y una privada ...???

bye
;)

Estimado amigo, Lo que

Estimado amigo,

Lo que tratato de decir es que con estas configuraciones el proxy trasnparente funciona por uno o dos dias luego automaticamente deja de funcionar tengo dos tarjetas de red en mi servidor una publica y otra interna

cuando digo que deja de

cuando digo que deja de funcionar me refiero a que se pierde la conexion a internet incluso de la red, adicional te comento que en la red interna uso un accesspont linksys para el inalambrico de las portatiles entonces hay momentos en que no se autentica es decir no se engancha mediante proxy transparente debo poner una ip fija a las portatiles mas la puerta de enlace y activar en el internet explorer el proxy alli funciona sin novedad pero con ip dinamico tengo esos problemas cuando no conecta provoca un mensaje en la conexion de la red que dice red no identificada.

no se mi me hago entender
gracias

Pues me parece que el

Imagen de deathUser

Pues me parece que el problema está en la comunicación entre el ACCESS POINT y el servidor DHCP, al no poder obtener la información de IP desde el servidor dhcp te da el error con la red wireless, el problema no es del proxy transparente, de echo, creo que estás confundido en el concepto de "proxy transparente" ya que en tu configuración de IPTABLES no veo ninguna regla para desviar el tráfico HTTP hacia ningún proxy, el "proxy transparente" se refiere al uso de un proxy de caché HTTP (comunmente) sin realizar ninguna configuración en el cliente (browser) por lo que el cliente no tiene por que saber que está pasando por un proxy, el cual le puede estar restringiendo la navegación, controlando el ancho de banda, etc ... esto se logra desviando las peticiones HTTP hacia un proxy en el default gateway, cosa que no veo en tu configuración de IPTABLES.

bye
;)

estos es todo el iptables me

estos es todo el iptables me falto poner lo ultimo en el primer comentario
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
*filter
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -i eth0 -j ACCEPT
-A RH-Firewall-1-INPUT -i eth1 -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 25 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 22 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 443 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 80 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state -m tcp --dport 10000 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 110 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp -m state --dport 1723 --state NEW -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp0 -j ACCEPT
-A RH-Firewall-1-INPUT -i ppp1 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited

COMMIT
*mangle
:FORWARD ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i eth0 -j MARK --set-mark 0x9
-A PREROUTING -i eth1 -j MARK --set-mark 0x9
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -m mark --mark 0x9 -j MASQUERADE
COMMIT
que me suigieres el accesponit esta con una ip fija tambien

Insisto, no tienes

Imagen de deathUser

Insisto, no tienes configurado proxy transparente, no tienes ninguna regla para desviar las peticiones HTTP hacia el proxy, si eso es lo que quieres busca en el foro han hablado mucho del tema.

En cuanto a lo del access point no entiendo tu pregunta, lo que digo es que, o el access point tiene activado el DHCP interno (servidor propio del access point, algunos que son routers lo tiene) y eso conflictúa con el DHCP configurado en el LINUX o tienes un problema de conectividad entre el ACCESS POINT y el LINUX y por eso falla la asignación de direcciones IP.

bye
;)

gracias por tu aportacion le

gracias por tu aportacion le agregue esto a mi iptables no si sea suficiente con esto

-A PREROUTING -s 192.168.2.0/24 -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
-A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

usé esa misma configuración

Imagen de Epe

usé esa misma configuración hace unos 10 años cuando trabajé en un ISP, con un cisco 2600 (no sé si sea el mismo con dos interfaces V35).

La idea con cisco, investiga squid y WCCP, con WCCP puedes hacer la jugada para que cisco enrute las cosas hacia el squid. En realidad ahora que recuerdo no estoy seguro si el 2600 tenía wccp o lo hice en un 3605, pero la idea con cisco es wccp, buscale porque hace mucho tiempo que no lo hago.

Saludos
epe

EcuaLinux.com

+(593) 9 9924 6504

Servicios en Software Libre

no esta redireccionando al proxy

Imagen de richard007

Hola bueno primero te recomiendo hacer esto, tu servidor proxy/firewall tiene dos tarjetas de red una para la WAN y otra para la LAN, conecta la q va a la wan directo al router con un cable CROSSOVER, luego la otra al switch de tu red LAN. Otro punto eso de que deja de autentica no me keda claro, pero si el problema que se me iba el internet eso me pasaba x no conectar los cables de manera adecuada. Lo ultimo en tu script de firewall no veo que estes redireccionando para que todas las peticiones de tu LAN vayan hacia el proxy, recuerda que para que un proxy transparente funcione necesitas indicarlo con una regla en tu firewall,, algo como esto:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

y si gustas le especificas el ip de tu proxy:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to 192.168.1.5:3128

suerte....exitos....

---------richard007-----------
Red Hat Certified Technician
Linux Registered User # 493753
RedLinux SRL www.redlinux.com.pe
www.colisol.org

Páginas