Forums:
Hola:
comentarles que estoy empezando a conocer iptables, deseo configurar un proxy transparente, el problema es que aplique reglas de algúnos tutoriales supuestamente esto funciona, pero para mi que cometí algún error y quisiera me ayuden a resolverlo.
Tengo dos tarjetas de red eth0 conectado al router y eth1 conectado a la LAN
Este es el script
echo -n Aplicando Reglas de Firewall...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT
# desviando el trafico que venga por la LAN que vaya por web al puerto 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# Habilitamos la navegacion por paginas seguras.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128
# Habilitamos el reenvio de paquetes dentro de la red.
echo 1 > /proc/sys/net/ipv4/ip_forward
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# fin del script
Ahora cuando ejecuto:
[root@planet ~]# iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
[root@planet ~]# Last login: Thu Jun 2 11:10:35 2011 from 192.168.2.27
Comentarles que el proxy transparente lo necesito para un ciber, y que hasta ahora voy practicando, por lo que quisisera algúna aclaración si fueran tan amables.
Gracias por su ayuda
Que distro usas ...??? wilmer
Que distro usas ...???
[quote=wilmer]# Habilitamos la navegacion por paginas seguras.
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 443 -j REDIRECT --to-port 3128[/quote]
No puedes hacer proxy transparente para HTTPS, eso lo han discutido en algunos POSTs en Ecualug, alguien publicó una alternativa, pero con algunas consideraciones de seguridad.
[quote=wilmer]# Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
[/quote]
Mala idea tener un firewall con las políticas por defecto en ACCEPT, deberías negar todo y luego permitir solo lo que quieres.
[quote=wilmer]# desviando el trafico que venga por la LAN que vaya por web al puerto 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128[/quote]
La regla aparentemente está OK, hay algunas consideraciones para que el proxy transparente funcione, algunas importantes:
- Squid debe estar configurado para aceptar ese tipo de conexiones (RTFM)
- El equipo que está redireccionando el tráfico debe ser el default gateway de los clientes.
- Los clientes deben poder resolver nombres.
Por tu regla de redireccionamiento del puerto 80 supongo que SQUID corre en el mismo equipo que hace de firewall.
Si estás aprendiendo, sería mejor usar un script listo para usarse, como arno-iptables en la sección de comos EPE publicó un COMO al respecto.
bye
;)
es correcto squid no hace de
es correcto squid no hace de proxy transparente para https, pero a partir de la version 3.0 squid implemto algo muy bueno q se llama squid the middle que lo hace es
[quote]Squid-in-the-middle decryption and encryption of straight CONNECT and transparently redirected SSL traffic, using configurable client- and server-side certificates. While decrypted, the traffic can be inspected using ICAP. [/quote]
have nice hack!! jeje
yo pensaria que te falta
yo pensaria que te falta algo
#enmascarar trafico de salida
iptbales -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
donde 192.168.0.0/24 es tu red lan
KuzCO
Gracias por responder tan
Gracias por responder tan rápido.
Trabajo con Centos 5.4.
Eliminaré la regla para HTTPS.
Como estoy iniciando, temo cometer más errores y que nada me funciones, uno de los motivos para dejar todo abierto
Intentaré configurar el Squid para conexiones RTFM y el equipo como gateway, leí el posto sobre arno-iptables pero quisiera saber que diferencia existe entre el arno-iptables y el iptables de Centos
Gracias
JAJAJA ... RTFM son las
JAJAJA ...
RTFM son las siglas de Read The Fucking Manual, mira en la documentación de SQUID sobre proxy transparente es solamente una línea.
Por que no sigues el COMO de EPE:
http://www.ecualug.org/2009/01/10/comos/%C2%BFc%C3%B3mo_compartir_la_conexi%C3%B3n_de_internet_con_mi_centos
Y no te haces tantos líos.
bye
;)
vaya si q me has hecho
vaya si q me has hecho reir
[quote]Intentaré configurar el Squid para conexiones RTFM[/quote]
jeje
Pues segui los paso de EPE,
Pues segui los paso de EPE, el problema es que los links están rotos o ya no están, y como que estoy parado un poco, puesto que ( yum install arno-iptables y yum install arno-iptables-firewall) no me llevan a nada
el caso es que quería saber cual la diferencia entre arno-iptables e iptables.
Gracias
Ya se lo he reportado a EPE,
Ya se lo he reportado a EPE, los va a cargar pronto (supongo :D ), como todos está ocupado con otras actividades :)
El arno-iptables es un script para configurar iptables, es decir usa iptables, para que no tengas que aprenderte reglas complejas del iptables y tengas un firewall seguro en pocos minutos ...
Suerte...
bye
;)
EPE ha corregido el problema
EPE ha corregido el problema con los archivos en el COMO del arno, si lo quieres probar es el momento.
bye
;)
Muchas gracias por su
Muchas gracias por su ayuda.
arno-iptables está funcionando bien, quisiera saber si para agregar o quitar reglas es igual al iptables y si existe algún manual de arno-iptables, o que debo considerar.
Páginas