Clever, el DNAT que hago en mi FW es para redireccionar todo el trafico del puerto 80 y 443 al puerto 8080 con esta regla :
$IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to $MIIP:8080 Lo que he visto que esta regla de iptables me funciona bien ya que los usuario de la red lan cuando se quitan el proxy no pueden navegar por internet, pero conforme van accesando a internet este se va poniendo lento En cambio cuando cambio la regla para el proxy y aplico esta regla : $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j REDIRECT --to-port 8080 Esta no permite poner lento el squid pero si permite que los usuarios si se quitan el proxy puedan navegar. Que crees que me pueda estar faltando o que puedo corregir para no permitir la salida a internet cuando los usuarios se quitan el proxy y este no se ponga lento. SaLUDOS, Cesar Ramos Alvarado Sistemas Internos. El 8 de abril de 2014, 18:32, System Support <[email protected]>escribió: > Estimados amigos, > Les comento que tengo un proxy-firewall en debian con squid e iptables el > tema es que funciona bien pero lo que necesito es que cuando algunos de mis > usuario se quite el proxy este no navegue por internet pero esto nose da ya > que si lo permite. > Lo que estoy aplicando de reglas es lo siguiente : > > # > $IPT="/sbin/iptables" > # > MIIP="10.10.10.1" > LAN_CORP="10.10.10.0/24" > # > IP_PROXY_EXT="201.230.32.187" > # > INET_IF="eth3" > # > $IPT -P INPUT DROP > $IPT -P OUTPUT DROP > $IPT -P FORWARD DROP > $IPT -t nat -P PREROUTING ACCEPT > $IPT -t nat -P POSTROUTING ACCEPT > # > > ################################################################################# > ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO > ##### IRRESTRICTO A LA INTERFAZ DE LAZO > > ################################################################################# > # > $IPT -A INPUT -i $LOCALHOST -j ACCEPT > $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT > # > #################################################################### > # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO > #################################################################### > # > $IPT -A INPUT -s $MIIP -j ACCEPT > $IPT -A OUTPUT -d $MIIP -j ACCEPT > # > ########################################################## > ##### TENEMOS ACCESO DESDE LA RED LOCAL > ########################################################### > # > $IPT -A INPUT -s $LAN_CORP -i eth1 -j ACCEPT > > # > echo "1" > /proc/sys/net/ipv4/ip_forward > # > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 80 -j > SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 443 > -j SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 53 -j > SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p udp -s $LAN_CORP -o $INET_IF --dport 53 -j > SNAT --to $IP_PROXY_EXT > # > ########################################################### > #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS > ########################################################### > # > $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > # > ######################################### > # Para el Proxy > ########################################## > # > $IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to $MIIP:8080 > # > Cuano aplico esta regla el proxy squid se hace relento y hay que estar > haciendo cada 2 a 3 minutos aproximadamente un squid -k reconfigure y se > soluciona el problema por unos instantes, con esta regla obligo a toda la > lan a pasar por el fw pero conforme esta en produccion se va poniendo lento. > > Asimismo he probado con esta otra regla que es para proxy transparente y > ya no se cae ni se pone lento pero el problema esta en que permite que si > los usuario se quitan el proxy pueden navegar de forma irrestricta y sin > bloqueos. > $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j > REDIRECT --to-port 8080 > > Ustedes que creen que me pueda estar sucediendo en mi firewall que con la > regla de DNAT para direccionar al proxy el puerto 80 se cayera poco a poco > o se ponga lento, o tal vez que puede estar faltando adicionar en iptables. > > Saludos Cordiales > > Cesar Ramos Alvarado > Sistemas Internos >
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
