Hola: Antes de poder sugerir algunas mejoras para que funcione tus reglas de firewall se me ocurre que podrías revisar un poco de documentación para tener claro algunos conceptos de iptables y sus cadenas. Por ejemplo, en tu esquema de Proxy+Firewall en un único servidor, no veo razón de ser para usar DNAT. En su lugar me parece que debes usar REDIRECT.
Si realmente deseas que ningún usuario navegue hacia Internet cuando se quite el proxy, lo que necesitas no es un DNAT ni REDIRECT, sino simplemente bloquear todo tráfico saliente desde tu LAN hacia la WAN (Internet). Si deseas que aún si los usuarios se quitan el proxy del navegador puedan navegar pasando por proxy entonces sí necesitas una regla REDIRECT. Esto es lo que se conoce como un proxy transparente y funciona normalmente solo para conexiones HTTP, mas no HTTPS (este es otro rollo). Define bien qué necesitas y sobre eso revisa mejor la documentación de iptables, Netfilter y sus conceptos (reglas, cadenas, políticas por default, etc) para poder brindarte una mejor ayuda. Finalmente, se te podría simplificar si usaras un frontend como Shorewall en lugar de usar directamente scripts en crudo basados en iptables. Saludos 2014-04-08 18:32 GMT-05:00 System Support <[email protected]>: > Estimados amigos, > Les comento que tengo un proxy-firewall en debian con squid e iptables el > tema es que funciona bien pero lo que necesito es que cuando algunos de mis > usuario se quite el proxy este no navegue por internet pero esto nose da ya > que si lo permite. > Lo que estoy aplicando de reglas es lo siguiente : > > # > $IPT="/sbin/iptables" > # > MIIP="10.10.10.1" > LAN_CORP="10.10.10.0/24" > # > IP_PROXY_EXT="201.230.32.187" > # > INET_IF="eth3" > # > $IPT -P INPUT DROP > $IPT -P OUTPUT DROP > $IPT -P FORWARD DROP > $IPT -t nat -P PREROUTING ACCEPT > $IPT -t nat -P POSTROUTING ACCEPT > # > ################################################################################# > ##### REGLA PARA PROCESAR SISTEMAS PROPIOS SE DEBE DE TENER ACCESO > ##### IRRESTRICTO A LA INTERFAZ DE LAZO > ################################################################################# > # > $IPT -A INPUT -i $LOCALHOST -j ACCEPT > $IPT -A OUTPUT -o $LOCALHOST -j ACCEPT > # > #################################################################### > # REGLA PARA QUE A NUESTRA IP TENGA ACCESO IRRESTRICTO > #################################################################### > # > $IPT -A INPUT -s $MIIP -j ACCEPT > $IPT -A OUTPUT -d $MIIP -j ACCEPT > # > ########################################################## > ##### TENEMOS ACCESO DESDE LA RED LOCAL > ########################################################### > # > $IPT -A INPUT -s $LAN_CORP -i eth1 -j ACCEPT > > # > echo "1" > /proc/sys/net/ipv4/ip_forward > # > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 80 -j > SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 443 -j > SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p tcp -s $LAN_CORP -o $INET_IF --dport 53 -j > SNAT --to $IP_PROXY_EXT > $IPT -t nat -A POSTROUTING -p udp -s $LAN_CORP -o $INET_IF --dport 53 -j > SNAT --to $IP_PROXY_EXT > # > ########################################################### > #PAQUETES CON ESTADOS ESTABLECIDOS Y RELACIONADOS > ########################################################### > # > $IPT -A INPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A INPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A OUTPUT -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p tcp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > $IPT -A FORWARD -p udp -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT > # > ######################################### > # Para el Proxy > ########################################## > # > $IPT -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to $MIIP:8080 > # > Cuano aplico esta regla el proxy squid se hace relento y hay que estar > haciendo cada 2 a 3 minutos aproximadamente un squid -k reconfigure y se > soluciona el problema por unos instantes, con esta regla obligo a toda la > lan a pasar por el fw pero conforme esta en produccion se va poniendo lento. > > Asimismo he probado con esta otra regla que es para proxy transparente y ya > no se cae ni se pone lento pero el problema esta en que permite que si los > usuario se quitan el proxy pueden navegar de forma irrestricta y sin > bloqueos. > $IPT -t nat -A PREROUTING -i $MIIP -p tcp --dport 80 -s $LAN_CORP -j > REDIRECT --to-port 8080 > > Ustedes que creen que me pueda estar sucediendo en mi firewall que con la > regla de DNAT para direccionar al proxy el puerto 80 se cayera poco a poco > o se ponga lento, o tal vez que puede estar faltando adicionar en iptables. > > Saludos Cordiales > > Cesar Ramos Alvarado > Sistemas Internos > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://voip2.voip.net.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > > Alojamiento de listas cortesia de http://cipher.pe _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://voip2.voip.net.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php Alojamiento de listas cortesia de http://cipher.pe
