2009/8/19 Miguel Angel Amador L <joke...@gmail.com>: > 2009/8/19 Juan Andres Ramirez <jandresa...@gmail.com>: >> Hola Amigos: >> Tengo funcionando una máquina en forma correcta con >> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace >> lo que tiene que hacer, el problema es que no puedo bloquear nada que >> este en el mismo rango de direccion ip que el firewall, me explico: >> >> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 >> --dport 80 -j REDIRECT --to-ports 3128 >> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 >> --dport 80 -j REDIRECT --to-ports 3128 >> >> Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes >> IP: >> >> eth1-> 192.168.100.2 ->entran las sub redes >> eth2> 192.168.100.4 -> salen las sub redes. >> >> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace >> sin problemas. >> >> El problema lo tengo porque quiero bloquear un server que esta en el >> rango 192.168.100.XXX , aplico la regla: >> >> ================================================== >> acl wordpress url_regex http://192.168.100.72/sitio >> #causa el mismo efecto >> acl wordpress url_regex http://192.168.100.72 >> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX >> http_access deny sitio >> ================================================== >> >> Pues bien, si accedo desde un computador con el rango ip >> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde >> la red con rango 192.168.100.XXX , es como si la regla no la tomara al >> estar dentro de este rango. >> >> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias. >> >> > Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC > cliente al intentar buscar la pagina web que no te bloquea? > .. has pensado que tal vez
Si esta resolviendo un windows 2003. > > mmm.. >> eth1-> 192.168.100.2 ->entran las sub redes >> eth2> 192.168.100.4 -> salen las sub redes. > > Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?... Las 2 tarjetas estan en el mismo segmento. > y ambos segmentos estan fisicamente separados? hay algo raro en tu > explicacion... > Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas las maquinas que tienen como puerta de enlace esa direccion), y la otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera. Es un firewall con proxy transparente. > Saludos > > -- > Miguel > >