error aplicando nat en regla para squid transparente

Forums: 

Hola:

comentarles que estoy empezando a conocer iptables, deseo configurar un proxy transparente, el problema es que aplique reglas de algúnos tutoriales supuestamente esto funciona, pero para mi que cometí algún error y quisiera me ayuden a resolverlo.

Tengo dos tarjetas de red eth0 conectado al router y eth1 conectado a la LAN

Este es el script


echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar

# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

# desviando el trafico que venga por la LAN que vaya por web al puerto 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

# Habilitamos la navegacion por paginas seguras.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128

# Habilitamos el reenvi­o de paquetes dentro de la red.
echo 1 > /proc/sys/net/ipv4/ip_forward

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# fin del script

Ahora cuando ejecuto:

[root@planet ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@planet ~]# Last login: Thu Jun 2 11:10:35 2011 from 192.168.2.27

Comentarles que el proxy transparente lo necesito para un ciber, y que hasta ahora voy practicando, por lo que quisisera algúna aclaración si fueran tan amables.

Gracias por su ayuda

Que distro usas ...??? wilmer

Imagen de deathUser

Que distro usas ...???

[quote=wilmer]# Habilitamos la navegacion por paginas seguras.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128[/quote]

No puedes hacer proxy transparente para HTTPS, eso lo han discutido en algunos POSTs en Ecualug, alguien publicó una alternativa, pero con algunas consideraciones de seguridad.

[quote=wilmer]# Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
[/quote]

Mala idea tener un firewall con las políticas por defecto en ACCEPT, deberías negar todo y luego permitir solo lo que quieres.

[quote=wilmer]# desviando el trafico que venga por la LAN que vaya por web al puerto 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128[/quote]

La regla aparentemente está OK, hay algunas consideraciones para que el proxy transparente funcione, algunas importantes:
- Squid debe estar configurado para aceptar ese tipo de conexiones (RTFM)
- El equipo que está redireccionando el tráfico debe ser el default gateway de los clientes.
- Los clientes deben poder resolver nombres.

Por tu regla de redireccionamiento del puerto 80 supongo que SQUID corre en el mismo equipo que hace de firewall.

Si estás aprendiendo, sería mejor usar un script listo para usarse, como arno-iptables en la sección de comos EPE publicó un COMO al respecto.

bye
;)

es correcto squid no hace de

Imagen de falcom

es correcto squid no hace de proxy transparente para https, pero a partir de la version 3.0 squid implemto algo muy bueno q se llama squid the middle que lo hace es
[quote]Squid-in-the-middle decryption and encryption of straight CONNECT and transparently redirected SSL traffic, using configurable client- and server-side certificates. While decrypted, the traffic can be inspected using ICAP. [/quote]
have nice hack!! jeje

yo pensaria que te falta

yo pensaria que te falta algo


#enmascarar trafico de salida
iptbales -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

donde 192.168.0.0/24 es tu red lan

KuzCO

Gracias por responder tan

Gracias por responder tan rápido.

Trabajo con Centos 5.4.

Eliminaré la regla para HTTPS.

Como estoy iniciando, temo cometer más errores y que nada me funciones, uno de los motivos para dejar todo abierto

Intentaré configurar el Squid para conexiones RTFM y el equipo como gateway, leí el posto sobre arno-iptables pero quisiera saber que diferencia existe entre el arno-iptables y el iptables de Centos

Gracias

Pues segui los paso de EPE,

Pues segui los paso de EPE, el problema es que los links están rotos o ya no están, y como que estoy parado un poco, puesto que ( yum install arno-iptables y yum install arno-iptables-firewall) no me llevan a nada

el caso es que quería saber cual la diferencia entre arno-iptables e iptables.

Gracias

Ya se lo he reportado a EPE,

Imagen de deathUser

Ya se lo he reportado a EPE, los va a cargar pronto (supongo :D ), como todos está ocupado con otras actividades :)

El arno-iptables es un script para configurar iptables, es decir usa iptables, para que no tengas que aprenderte reglas complejas del iptables y tengas un firewall seguro en pocos minutos ...

Suerte...

bye
;)

Muchas gracias por su

Muchas gracias por su ayuda.

arno-iptables está funcionando bien, quisiera saber si para agregar o quitar reglas es igual al iptables y si existe algún manual de arno-iptables, o que debo considerar.

Páginas