Le haces un DNAT a tu proxy? acaso quieres ser usado como proxy anónimo? Y respecto a tu script de firewall tiene muchos puntos débiles
El 8 de abril de 2014, 18:32, System Support <[email protected]>escribió: > Estimados amigos, > Les comento que tengo un proxy-firewall en debian con squid e iptables el > tema es que funciona bien pero lo que necesito es que cuando algunos de mis > usuario se quite el proxy este no navegue por internet pero esto nose da ya > que si lo permite. > Lo que estoy aplicando de reglas es lo siguiente : > > # > $IPT="/sbin/iptables" > # > MIIP="10.10.10.1" > LAN_CORP="10.10.10.0/24" > # > IP_PROXY_EXT="201.230.32.187" > # > INET_IF="eth3" > # > $IPT -P INPUT DROP > $IPT -P OUTPUT DROP > $IPT -P FORWARD DROP > $IPT -t nat -P PREROUTING ACCEPT > $IPT -t nat -P POSTROUTING ACCEPT > # > > ################################################################################# > ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO > ##### IRRESTRICTO A LA INTERFAZ DE LAZO > > ################################################################################# > # > $IPT -A INPUT -i $LOCALHOST -j ACCEPT > $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT > # > #################################################################### > # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO > #################################################################### > # > $IPT -A INPUT -s $MIIP -j ACCEPT > $IPT -A OUTPUT -d $MIIP -j ACCEPT > # > ########################################################## > ##### TENEMOS ACCESO DESDE LA RED LOCAL > ########################################################### > # > $IPT -A INPUT -s $LAN_CORP -i eth1 -j ACCEPT > > # > echo "1" > /proc/sys/net/ipv4/ip_forward > # > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 80 -j > SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 443 > -j SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 53 -j > SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p udp -s $LAN_CORP -o $INET_IF --dport 53 -j > SNAT --to $IP_PROXY_EXT > # > ########################################################### > #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS > ########################################################### > # > $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > # > ######################################### > # Para el Proxy > ########################################## > # > $IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to $MIIP:8080 > # > Cuano aplico esta regla el proxy squid se hace relento y hay que estar > haciendo cada 2 a 3 minutos aproximadamente un squid -k reconfigure y se > soluciona el problema por unos instantes, con esta regla obligo a toda la > lan a pasar por el fw pero conforme esta en produccion se va poniendo lento. > > Asimismo he probado con esta otra regla que es para proxy transparente y > ya no se cae ni se pone lento pero el problema esta en que permite que si > los usuario se quitan el proxy pueden navegar de forma irrestricta y sin > bloqueos. > $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j > REDIRECT --to-port 8080 > > Ustedes que creen que me pueda estar sucediendo en mi firewall que con la > regla de DNAT para direccionar al proxy el puerto 80 se cayera poco a poco > o se ponga lento, o tal vez que puede estar faltando adicionar en iptables. > > Saludos Cordiales > > Cesar Ramos Alvarado > Sistemas Internos > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe > -- Clever Flores Perú Linux SAC Tel: 640-5800 Anexo 104 Blog: http://www.perulinux.pe/blog/clever
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
