Forums:
Buenos dias.
Escribo nuevamente para solicitarles ayuda con lo siguiente.
En mi implementacion de squid 2.6+iptables he visto que algunas páginas con las que trabajo no funcionan bien con esta configuración.
Por ejemplo en la pagina del correo nuevo de yahoo me aparece: Esta pagina no es compatible con tu navegador.
He probado en IE, Firefox,Chrome, etc.. con el mismo error
Además en una pagina que se utiliza habitualmente hecha en aspx no me funcionan algunas cosas.
Las configuraciones de mi squid 2.6 son las siguientes.
acl red src 192.100.100.0/255.255.255.0
# Sitios permitidos son los sitios que unicamente se pueden acceder todo lo demas esta bloqueado(Proxy restricitvo)
acl sitios_permitidos url_regex -i "/etc/squid/sitiospermitidos.txt"
#acl IPpermitidas src "/etc/squid/permitidos.txt"
http_access allow localhost
#http_access allow IPpermitidas
http_access allow red sitios_permitidos
http_access deny all
Y las configuraciones de mi iptables en el script firewall.sh son:
#!/bin/sh
#eth0 ->va al router salida a Internet
#eth1-> va al switch de la LAN
echo -n Aplicando Reglas de Firewall...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.100.100.0/24 -i eth1 -j ACCEPT
# Todo lo que venga por el exterior y vaya al puerto 80 lo redirigimos
# a una maquina interna
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
## Nota: eth1 es el interfaz conectado al router y eth0 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT
## Abrimos el acceso a puertos de correo
# Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
# Abrimos el pop3
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
## Ahora con regla FORWARD filtramos el acceso de la red local
## al exterior. Como se explica antes, a los paquetes que no van dirigidos al
## propio firewall se les aplican reglas de FORWARD
# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT
# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p udp --dport 53 -j ACCEPT
# Aceptamos que vayanb puertos informix
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 1525 -j ACCEPT
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 1526 -j ACCEPT
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -p tcp --dport 1530 -j ACCEPT
# Todo lo demas denegamos.
iptables -A FORWARD -s 192.100.100.0/24 -i eth0 -j DROP
# Enmascaramos la red local
iptables -t nat -A POSTROUTING -s 192.100.100.0/24 -o eth0 -j MASQUERADE
# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " Verificamos las reglas con iptables -L -n"
# Fin del script
He estado viendo en en access.log las paginas DENIED con el fin de agregarles a los sitios permitidos con el fin de solucionar algunos inconvenientes (ejemplo hotmail) con buenos resultados.
Pero en otros sitios no me a dado buenos resultados en especial sitios hechos en aspx y javascript.
Para ponerles un ejemplo en un sitio en el que toca realizar clic sobre una celda de un campo de una tabla el cual activa un boton para mandar a imprimir un reporte, este evento con el proxy funcionando no sirve. No se que estará pasando.
Para otras paginas si funciona, este es un caso especial el cual he querido solucionar sin resultados.
Ademas para pruebas he agregado un acl para dar acceso libre a todas las paginas a una IP en particular "acl IPpermitidas " y el resultado es que se puede acceder a todas las paginas como deberia ser pero la accion del activar el boton para imprimir sigue sin funcionar, por lo que presume que es algo de squid".
Alguna sugerencia........ Gracias
Y el squid.conf ? ahi debes
Y el squid.conf ? ahi debes estar reportando otro navegador
egrep -v "^#|^$" /etc/squid/squid.conf
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
no olvides que: yum update es
no olvides que:
yum update
es tu amigo y no dañará nada, tienes una versión excesiva y peligrosamente vieja
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Cual es la version que me recomiendas para centos 5.4 de squid
Cual seria la version que debería usar porque en la pagina de squid estan en estables por la 3.y pico pero no veo en Internet mucha informacion?
Me recomendarias alguna version en especial o alguna opcion...
sí, usa la versión de squid
sí, usa la versión de squid que viene con centos, la mantendrán durante todo el periodo de vida de ellos, no respondes a lo que te indiqué de ver la configuración para determinar si estás modificando el navegador en él.
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre
Respuesta
Hola te respondo y gracias por tu tiempo. No no estoy poniendo las configuraciones de los navegadores, estoy colocando como gateway la direccion del equipo proxy squid y los dns del ISP.
yahoo se queja de vez en
yahoo se queja de vez en cuando del navegador, por favor, yum update
actualiza el sistema, puede que ahi tengas la solucion, al menos no tendrás problemas de otro tipo.
centos mantiene la misma versión de sus paquetes pero las mantiene actualizándolas por 7 años.
uso centos-5 hace tiempo y no he visto este incoveniennte, bueno,el de yahoo diciendo eso le veo de vez en cuando, le acepto y continúo...
de que no se vean algunas páginas en asp, supongo sea porque tienen algún sistema propio para internet explorer (por ejemplo la página del banco del pichincha para empresas no se vé si no es en ie)... realmente no noto problemas con el squid propiamente
Saludos
epe
EcuaLinux.com
+(593) 9 9924 6504
Servicios en Software Libre