Pienso que se hace lento porque la cadena de DNAT espera enviar el paquete a otro equipo y no al mismo equipo.
Esa regla la deberías quitar ($IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to $MIIP:8080) Tus usuarios navegan aún cuando se quiten el proxy porque estás aplicando la regla de proxy transparente. $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j REDIRECT --to-port 8080 Tendrás algunos inconvenientes con proxy transparente y https. Si deseas que no navegen quita la regla de proxy transparente y se verán obligados a colocarse el proxy si quieren navegar a internet. Sugerencia aparte usa shorewall en vez de iptables en crudo. Saludos, César Vegas Timaná. El 8 de abril de 2014, 19:18, Clever Flores <[email protected]>escribió: > Le haces un DNAT a tu proxy? > acaso quieres ser usado como proxy anónimo? > > Y respecto a tu script de firewall tiene muchos puntos débiles > > > El 8 de abril de 2014, 18:32, System Support <[email protected] > > escribió: > >> Estimados amigos, >> Les comento que tengo un proxy-firewall en debian con squid e iptables >> el tema es que funciona bien pero lo que necesito es que cuando algunos de >> mis usuario se quite el proxy este no navegue por internet pero esto nose >> da ya que si lo permite. >> Lo que estoy aplicando de reglas es lo siguiente : >> >> # >> $IPT="/sbin/iptables" >> # >> MIIP="10.10.10.1" >> LAN_CORP="10.10.10.0/24" >> # >> IP_PROXY_EXT="201.230.32.187" >> # >> INET_IF="eth3" >> # >> $IPT -P INPUT DROP >> $IPT -P OUTPUT DROP >> $IPT -P FORWARD DROP >> $IPT -t nat -P PREROUTING ACCEPT >> $IPT -t nat -P POSTROUTING ACCEPT >> # >> >> ################################################################################# >> ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO >> ##### IRRESTRICTO A LA INTERFAZ DE LAZO >> >> ################################################################################# >> # >> $IPT -A INPUT -i $LOCALHOST -j ACCEPT >> $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT >> # >> #################################################################### >> # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO >> #################################################################### >> # >> $IPT -A INPUT -s $MIIP -j ACCEPT >> $IPT -A OUTPUT -d $MIIP -j ACCEPT >> # >> ########################################################## >> ##### TENEMOS ACCESO DESDE LA RED LOCAL >> ########################################################### >> # >> $IPT -A INPUT -s $LAN_CORP -i eth1 -j ACCEPT >> >> # >> echo "1" > /proc/sys/net/ipv4/ip_forward >> # >> $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 80 -j >> SNAT --to $IP_PROXY_EXT >> $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 443 >> -j SNAT --to $IP_PROXY_EXT >> $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 53 -j >> SNAT --to $IP_PROXY_EXT >> $IPT -t nat -A POSTROUTING -p udp -s $LAN_CORP -o $INET_IF --dport 53 >> -j SNAT --to $IP_PROXY_EXT >> # >> ########################################################### >> #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS >> ########################################################### >> # >> $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> # >> ######################################### >> # Para el Proxy >> ########################################## >> # >> $IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to >> $MIIP:8080 >> # >> Cuano aplico esta regla el proxy squid se hace relento y hay que estar >> haciendo cada 2 a 3 minutos aproximadamente un squid -k reconfigure y se >> soluciona el problema por unos instantes, con esta regla obligo a toda la >> lan a pasar por el fw pero conforme esta en produccion se va poniendo lento. >> >> Asimismo he probado con esta otra regla que es para proxy transparente y >> ya no se cae ni se pone lento pero el problema esta en que permite que si >> los usuario se quitan el proxy pueden navegar de forma irrestricta y sin >> bloqueos. >> $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j >> REDIRECT --to-port 8080 >> >> Ustedes que creen que me pueda estar sucediendo en mi firewall que con la >> regla de DNAT para direccionar al proxy el puerto 80 se cayera poco a poco >> o se ponga lento, o tal vez que puede estar faltando adicionar en iptables. >> >> Saludos Cordiales >> >> Cesar Ramos Alvarado >> Sistemas Internos >> >> _______________________________________________ >> Lista de correo Linux-plug >> Temática: Discusión general sobre Linux >> Peruvian Linux User Group (http://www.linux.org.pe) >> >> Participa suscribiéndote y escribiendo a: [email protected] >> Para darte de alta, de baja o hacer ajustes a tu suscripción visita: >> http://voip2.voip.net.pe/mailman/listinfo/linux-plug >> >> IMPORTANTE: Reglas y recomendaciones >> http://www.linux.org.pe/listas/reglas.php >> http://www.linux.org.pe/listas/comportamiento.php >> http://www.linux.org.pe/listas/recomendaciones.php >> >> Alojamiento de listas cortesia de http://cipher.pe >> > > > > -- > Clever Flores > Perú Linux SAC > Tel: 640-5800 Anexo 104 > Blog: http://www.perulinux.pe/blog/clever > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
