El 22/10/13 13:00, låzaro escribió:
pues el nateo con iptables es tu solución (alias "enmascaramiento")
Así como te dije, da la impresión de que esa máquina está en red...
Lazaro obligadamente necesito tener puesto un squid pues mi idea es
poder tener un poco de cache
logre hacer lo que me propuse lo logre de esta forma
$aptitude install squid3
una ves instalado puse la siguiente informacion en /etc/squid3/squid.conf
#Declaracion de Reglas del Squid
acl manager proto cache_object
acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1
acl SSL_ports port 443
acl Safe_ports port 22 # SSH
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 1863 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-6553 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
##Aqui se aplican/ejecutan los parametros definidos en las reglas
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
always_direct allow all
acl redLan src 189.0.0.0/27
#Empezamos con las politicas de acceso
http_access allow redLan
http_access allow localhost
http_access deny all
hierarchy_stoplist cgi-bin ?
##Configuracion estandar para la cache
coredump_dir /var/spool/squid3
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320
##Configuraciones para que sea Transparente, Tenga dominio, las paginas
##de error esten en español, acepte el puerto 3130 y se configura la cache
http_port 189.0.0.1:3128 transparent
#icp_port 3130
visible_hostname proxy.cubared.org
cache_dir ufs /var/spool/squid3 10240 16 256
error_directory /usr/share/squid3/errors/Spanish
Ya con esto el Squid me estaba escuchando por el puerto 3128 de mi
targeta LAN, ahora solo me falto hacer el enrutamiento del mismo para
esto cree un script que lo llame ¨iptables_squid3_full.sh¨
en el mismo lo que puse fue lo siguiente
#!/bin/sh
# Squid server IP
SQUID_SERVER="189.0.0.1" #ip de la interfaz donde escuchara nuestro proxy
# Interface connected to Internet
INTERNET="eth0"
# Address connected to LAN
LOCAL="189.0.0.0/24" #como declaramos en squid.conf es el rango de ips a
escuchar
# Squid port
SQUID_PORT="3128" #el puerto en que escucha el proxy (para redirigir el
trafico a el)
# Limpiamos firewall anterior
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
# Se cargan modulos de IPTABLES para NAT e "IP conntrack support"
modprobe ip_conntrack
modprobe ip_conntrack_ftp
# For win xp ftp client
#modprobe ip_nat_ftp
# Habilitamos forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
# Configuramos una politica de filtrado por defecto
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
# Permitimos el acceso ilimitado al loopback
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Permitimos UDP, DNS y Passive FTP
iptables -A INPUT -i $INTERNET -m state --state ESTABLISHED,RELATED -j
ACCEPT
iptables -A INPUT -s $LOCAL -m state --state ESTABLISHED,RELATED -j ACCEPT
# Esta es la mas importante ya que prepara este systema como router para
la LAN
iptables -t nat -A POSTROUTING -o $INTERNET -j MASQUERADE
iptables -A FORWARD -s $LOCAL -j ACCEPT
# Permitimos que la LAN tenga acceso ilimitado
iptables -A INPUT -s $LOCAL -j ACCEPT
iptables -A OUTPUT -s $LOCAL -j ACCEPT
# Redireccionamos (DNAT) las peticiones del puerto 80 de la LAN al squid
por el puerto 3128 ($SQUID_PORT) aka transparent proxy
iptables -t nat -A PREROUTING -s $LOCAL -p tcp --dport 80 -j DNAT --to
$SQUID_SERVER:$SQUID_PORT
#OJOOOO!!!! el squid3 NO repito NO hace cache de HTTPS (443) en las
notas dire por que
#iptables -t nat -A PREROUTING -s $LOCAL -p tcp --dport 443 -j DNAT --to
$SQUID_SERVER:$SQUID_PORT
# si son del mismo proxy
iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 80 -j REDIRECT
--to-port $SQUID_PORT
#iptables -t nat -A PREROUTING -i $INTERNET -p tcp --dport 443 -j
REDIRECT --to-port $SQUID_PORT
#abrimos los demas puertos desde internet a la lan
iptables -A INPUT -i $INTERNET -j ACCEPT
iptables -A OUTPUT -o $INTERNET -j ACCEPT
# DROP lo demas y lo agregamos al LOG
iptables -A INPUT -j LOG
iptables -A INPUT -j DROP
y ya con esto todos los usuarios mios de la Red LAn 189.0.0.0/24 tienen
navegacion
--
Armando Felipe Fuentes Denis ( CubaRed )
Administrador de la Red
Direccion Provincial de la Vivienda, La Habana
arman...@dpv.chab.inv.cu
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que está limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
