Buenos días, Les escribo por si ustedes pueden ayudarme a aclararme las ideas. El concepto es un servidor hospedado en un datacenter cualquiera y un cliente que se conecta a una VPN. Ese servidor proporciona una serie de servicios a los clientes de la vpn, en este caso proporciona proxy http y uns proxy dns: Privoxy Dnsmasq He intentado un diagrama en http://paste.debian.net/713696/
La idea es que el cliente utilice de manera transparente ambos servicios. Se conecta a la vpn y recibe una nueva ruta por defecto para que todo su trafico se dirija a la vpn. La primera pregunta que me hice fue: ¿El cortafuegos de la vpn debera redirigir los paquetes de peticiones http/dns a los servicios comentados? Me respondí, si. Para hacerlo de manera transparente, sin importar si en cliente es un celular, un pc. Pero no termino de entender como fluctua la informacion dentro de iptables. Tengo un script que me levanta el cortafuegos: http://paste.debian.net/713699/ veamos el punto acerca de la vpn, corrijanme si mi linea de ideas no es correcta por favor. $IPT -A INPUT -i tun+ -j ACCEPT Acepta todo lo que entre a traves de la interfaz del tunel. $IPT -A FORWARD -i tun+ -j ACCEPT Acepta todo lo que se redirija a traves de la interfaz del tunel. $IPT -A FORWARD -i tun+ -o eth0 -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Permite el trafico entre el tunel y la interfaz de red a las conexiones ya establecidas y relacionadas. $IPT -A FORWARD -i eth0 -o tun+ -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT Permite el trafico entre la interfaz de red y el tunel a las conexiones ya establecidas y relacionadas. $IPT -t nat -A POSTROUTING -s $VPNR -o eth0 -j MASQUERADE ***Esta regla la puse a recomendacion en un foro de soporte OPENVPN*** sin ella no me sale de la VPN hacia internet, pero no entiendo su sintaxis. Como pueden ver encuanto toco reglas de NAT y ROUTING me pierdo un poco, a estas alturas ya no se si el trafico que salio del tunel esta en el servidor, en loopback o en la conchinchina. Y mucho menos como establecer la reglas de redireccionado de paquetes para que se puedan usar los servicos de proxy que solo escuchan en la interfaz loopback. De momento todo esto no mas que garabatos en un papel. Gracias de antemano y un saludo. _ -- "El cielo es para los dragones lo que el agua es para las ninfas"