Por enésima vez. Los proxys transparentes son para que el usuario no tenga que poner la configuración de proxy en sus navegadores, si no requieres un transparente, simplemente quita esas reglas.
Si de deseas configurar un buen proxy, éste debe estar solo en LAN y autenticado a un Active Directory (Samba o ADS) o mínimo a un LDAP Si deseas un asistente gráfico para ello puedes usar zentyal o endian El firewall lo único que tiene que hacer es darle salida libre solo al ip del servidor proxy iptables -A FORWARD -s $IP_PROXY -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT iptables -A FORWARD -d $IP_PROXY -m state --state ESTABLISHED,RELATED -j ACCEPT Luego los equipos de LAN solo deberían poner navegar poniéndose la IP del proxy Si usas ADS te puede ayudar una regla GPO de configuración de navegador El 8 de abril de 2014, 19:59, System Support <[email protected]>escribió: > Clever, > el DNAT que hago en mi FW es para redireccionar todo el trafico del puerto > 80 y 443 al puerto 8080 con esta regla : > > $IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to $MIIP:8080 > > Lo que he visto que esta regla de iptables me funciona bien ya que los > usuario de la red lan cuando se quitan el proxy no pueden navegar por > internet, pero conforme van accesando a internet este se va poniendo lento > En cambio cuando cambio la regla para el proxy y aplico esta regla : > $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j > REDIRECT --to-port 8080 > > Esta no permite poner lento el squid pero si permite que los usuarios si > se quitan el proxy puedan navegar. > Que crees que me pueda estar faltando o que puedo corregir para no > permitir la salida a internet cuando los usuarios se quitan el proxy y este > no se ponga lento. > > SaLUDOS, > > Cesar Ramos Alvarado > Sistemas Internos. > > > > > > El 8 de abril de 2014, 18:32, System Support <[email protected] > > escribió: > >> Estimados amigos, >> >> Les comento que tengo un proxy-firewall en debian con squid e iptables >> el tema es que funciona bien pero lo que necesito es que cuando algunos de >> mis usuario se quite el proxy este no navegue por internet pero esto nose >> da ya que si lo permite. >> Lo que estoy aplicando de reglas es lo siguiente : >> >> # >> $IPT="/sbin/iptables" >> # >> MIIP="10.10.10.1" >> LAN_CORP="10.10.10.0/24" >> # >> IP_PROXY_EXT="201.230.32.187" >> # >> INET_IF="eth3" >> # >> $IPT -P INPUT DROP >> $IPT -P OUTPUT DROP >> $IPT -P FORWARD DROP >> $IPT -t nat -P PREROUTING ACCEPT >> $IPT -t nat -P POSTROUTING ACCEPT >> # >> >> ################################################################################# >> ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO >> ##### IRRESTRICTO A LA INTERFAZ DE LAZO >> >> ################################################################################# >> # >> $IPT -A INPUT -i $LOCALHOST -j ACCEPT >> $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT >> # >> #################################################################### >> # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO >> #################################################################### >> # >> $IPT -A INPUT -s $MIIP -j ACCEPT >> $IPT -A OUTPUT -d $MIIP -j ACCEPT >> # >> ########################################################## >> ##### TENEMOS ACCESO DESDE LA RED LOCAL >> ########################################################### >> # >> $IPT -A INPUT -s $LAN_CORP -i eth1 -j ACCEPT >> >> # >> echo "1" > /proc/sys/net/ipv4/ip_forward >> # >> $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 80 -j >> SNAT --to $IP_PROXY_EXT >> $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 443 >> -j SNAT --to $IP_PROXY_EXT >> $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 53 -j >> SNAT --to $IP_PROXY_EXT >> $IPT -t nat -A POSTROUTING -p udp -s $LAN_CORP -o $INET_IF --dport 53 >> -j SNAT --to $IP_PROXY_EXT >> # >> ########################################################### >> #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS >> ########################################################### >> # >> $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT >> # >> ######################################### >> # Para el Proxy >> ########################################## >> # >> $IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to >> $MIIP:8080 >> # >> Cuano aplico esta regla el proxy squid se hace relento y hay que estar >> haciendo cada 2 a 3 minutos aproximadamente un squid -k reconfigure y se >> soluciona el problema por unos instantes, con esta regla obligo a toda la >> lan a pasar por el fw pero conforme esta en produccion se va poniendo lento. >> >> Asimismo he probado con esta otra regla que es para proxy transparente y >> ya no se cae ni se pone lento pero el problema esta en que permite que si >> los usuario se quitan el proxy pueden navegar de forma irrestricta y sin >> bloqueos. >> $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j >> REDIRECT --to-port 8080 >> >> Ustedes que creen que me pueda estar sucediendo en mi firewall que con la >> regla de DNAT para direccionar al proxy el puerto 80 se cayera poco a poco >> o se ponga lento, o tal vez que puede estar faltando adicionar en iptables. >> >> Saludos Cordiales >> >> Cesar Ramos Alvarado >> Sistemas Internos >> > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe > -- Clever Flores Perú Linux SAC Tel: 640-5800 Anexo 104 Blog: http://www.perulinux.pe/blog/clever
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
