Estimados amigos, Les comento que tengo un proxy-firewall en debian con squid e iptables el tema es que funciona bien pero lo que necesito es que cuando algunos de mis usuario se quite el proxy este no navegue por internet pero esto nose da ya que si lo permite. Lo que estoy aplicando de reglas es lo siguiente :
# $IPT="/sbin/iptables" # MIIP="10.10.10.1" LAN_CORP="10.10.10.0/24" # IP_PROXY_EXT="201.230.32.187" # INET_IF="eth3" # $IPT -P INPUT DROP $IPT -P OUTPUT DROP $IPT -P FORWARD DROP $IPT -t nat -P PREROUTING ACCEPT $IPT -t nat -P POSTROUTING ACCEPT # ################################################################################# ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO ##### IRRESTRICTO A LA INTERFAZ DE LAZO ################################################################################# # $IPT -A INPUT -i $LOCALHOST -j ACCEPT $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT # #################################################################### # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO #################################################################### # $IPT -A INPUT -s $MIIP -j ACCEPT $IPT -A OUTPUT -d $MIIP -j ACCEPT # ########################################################## ##### TENEMOS ACCESO DESDE LA RED LOCAL ########################################################### # $IPT -A INPUT -s $LAN_CORP -i eth1 -j ACCEPT # echo "1" > /proc/sys/net/ipv4/ip_forward # $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 80 -j SNAT --to $IP_PROXY_EXT $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 443 -j SNAT --to $IP_PROXY_EXT $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 53 -j SNAT --to $IP_PROXY_EXT $IPT -t nat -A POSTROUTING -p udp -s $LAN_CORP -o $INET_IF --dport 53 -j SNAT --to $IP_PROXY_EXT # ########################################################### #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS ########################################################### # $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT # ######################################### # Para el Proxy ########################################## # $IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to $MIIP:8080 # Cuano aplico esta regla el proxy squid se hace relento y hay que estar haciendo cada 2 a 3 minutos aproximadamente un squid -k reconfigure y se soluciona el problema por unos instantes, con esta regla obligo a toda la lan a pasar por el fw pero conforme esta en produccion se va poniendo lento. Asimismo he probado con esta otra regla que es para proxy transparente y ya no se cae ni se pone lento pero el problema esta en que permite que si los usuario se quitan el proxy pueden navegar de forma irrestricta y sin bloqueos. $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j REDIRECT --to-port 8080 Ustedes que creen que me pueda estar sucediendo en mi firewall que con la regla de DNAT para direccionar al proxy el puerto 80 se cayera poco a poco o se ponga lento, o tal vez que puede estar faltando adicionar en iptables. Saludos Cordiales Cesar Ramos Alvarado Sistemas Internos
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
