Estimados amigos, Queria hacerles una consulta ya que tengo un servidor linux como proxy-firewall con squid + iptables y el cual utilizo una politica por defecto DROP, el tema es que desde el mismo firewall puedo hacerle ping a www.google.com.pe, pero desde mi red lan no llego a google, lo mas curioso es que si pongo el proxy si puedo navegar por internet, yo estoy utilizando las siguientes reglas para darle acceso a que se haga ping desde mi red lan a internet pero no de internet a mi red lan.
#!/bin/bash IPT="/sbin/iptables" MIIP="192.168.70.1" LAN_CORP="192.168.70.0/24" INET_IF= "eth0" IP_PROXY_EXT="201.230.32.187" $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP # acceso a la interfaz de lazo $IPT -A INPUT -i $LOCALHOST -j ACCEPT $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT #################################################################### # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO #################################################################### # $IPT -A INPUT -s $MIIP -j ACCEPT $IPT -A OUTPUT -d $MIIP -j ACCEPT ########################################################## ##### TENEMOS ACCESO DESDE LA RED LOCAL ########################################################### # $IPT -A INPUT -s $LAN_CORP -j ACCEPT $IPT -A OUTPUT -s $LAN_CORP -j ACCEPT ################################################ ##### REGLA PARA ACEPTAR HACER PING ################################################ # $IPT -A INPUT -p icmp -j ACCEPT $IPT -A OUTPUT -p icmp -j ACCEPT $IPT -A FORWARD -p icmp -j ACCEPT # ####################################################### ##### HABILITAR EL REENVIO DE PAQUETES ####################################################### # echo "1" > /proc/sys/net/ipv4/ip_forward # ########################################################### #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS ########################################################### # $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # #NAT # $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 80 -j SNAT --to $IP_PROXY_EXT $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 443 -j SNAT --to $IP_PROXY_EXT # # DNS $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 53 -j SNAT --to $IP_PROXY_EXT $IPT -t nat -A POSTROUTING -p udp -s $LAN_CORP -o $INET_IF --dport 53 -j SNAT --to $IP_PROXY_EXT # ################################################################################################## ##### PARA HACER PING DE LAN CORPORATIVA A INTERNET PERO NO DE INTERNET A MI LAN CORPORATIVA ################################################################################################# # $IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 8 -j ACCEPT $IPT -A FORWARD -p icmp -s $LAN_CORP -d $MIIP --icmp-type 0 -j ACCEPT # ########################################################################## # # REGLA PARA HABILITAR EL PROXY DE SALIDA A INTERNET PARA LA RED LOCAL # REGLA PARA OBLIGAR A TODA LA RED A UTILIZAR EL PROXY CONVENCIONAL # ########################################################################## # $IPT -t nat -A PREROUTING -p tcp --dport 80 -s $LAN_CORP -j REDIRECT --to-port 8080 Mi pregunta es que deberia estar faltandome para que se pueda realizar el ping hacia diferentes sitios desdemi red lan a internet pero no de internet a mi red lan. Si alguno de ustedes pudiera ayudarme o decirme que estoy haciendo mal se lo agradeceria. Saludos Cordiales, Cesar Ramos Alvarado Sistemas Internos
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
