2009/8/19 Juan Andres Ramirez <jandresa...@gmail.com>: > 2009/8/19 Miguel Angel Amador L <joke...@gmail.com>: >> 2009/8/19 Juan Andres Ramirez <jandresa...@gmail.com>: >>> Hola Amigos: >>> Tengo funcionando una máquina en forma correcta con >>> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace >>> lo que tiene que hacer, el problema es que no puedo bloquear nada que >>> este en el mismo rango de direccion ip que el firewall, me explico: >>> >>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 >>> --dport 80 -j REDIRECT --to-ports 3128 >>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 >>> --dport 80 -j REDIRECT --to-ports 3128 >>> >>> Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes >>> IP: >>> >>> eth1-> 192.168.100.2 ->entran las sub redes >>> eth2> 192.168.100.4 -> salen las sub redes. >>> >>> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace >>> sin problemas. >>> >>> El problema lo tengo porque quiero bloquear un server que esta en el >>> rango 192.168.100.XXX , aplico la regla: >>> >>> ================================================== >>> acl wordpress url_regex http://192.168.100.72/sitio >>> #causa el mismo efecto >>> acl wordpress url_regex http://192.168.100.72 >>> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX >>> http_access deny sitio >>> ================================================== >>> >>> Pues bien, si accedo desde un computador con el rango ip >>> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde >>> la red con rango 192.168.100.XXX , es como si la regla no la tomara al >>> estar dentro de este rango. >>> >>> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias. >>> >>> >> Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC >> cliente al intentar buscar la pagina web que no te bloquea? >> .. has pensado que tal vez > > Si esta resolviendo un windows 2003. > >> >> mmm.. >>> eth1-> 192.168.100.2 ->entran las sub redes >>> eth2> 192.168.100.4 -> salen las sub redes. >> >> Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?... > > Las 2 tarjetas estan en el mismo segmento. > >> y ambos segmentos estan fisicamente separados? hay algo raro en tu >> explicacion... >> > > Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas > las maquinas que tienen como puerta de enlace esa direccion), y la > otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera. > Es un firewall con proxy transparente. > >> Saludos >> >> -- >> Miguel >> >> > >
mmm ya, el tema es que si tienes un windows o un dns interno.. cuando preguntas por la pagina http://mi-intranet y el windows resuelve 192.168.100.72, tu computador se conecta directamente a esa ip, porque esta en el mismo segmento de red que el computador que consulta, lo podrias probar haciendo un traceroute a la ip, o un tracert si estas en windows,y veras que no pasas por el firewall...el router solo recibira paquetes que vayan a un segmento de red distinto al tuyo, ya que si miras la tabla de rutas de tu PC (en windows es route print), veras que para la salida a tu red, no ocupa el firewall, si no que suelta el paquete a la red y el switch se encarga de pasarlo a la boca correcta en que tiene registrada la mac address del servidor. en mis tiempos, los routers, o firewall ruteaban cuando tenian segmentos distintos de red en sus puertas (alguna vez vi un ejemplo en que ambas tarjetas tenian el mismo segmento, pero los paquetes eran marcados y ruteados segun la marca que definia la tarjeta por la cual venian, y no creo que si lo hubieras hecho asi, hubieras omitido ese dato). Si quisieras que el pc cliente pase obligadamente por el proxy, deberias configurarlo en el navegador o en el servidor de dominio para que aplique a los pc de clientes del dominio. o en el peor de los casos... restringues en el servidor web, las ips de usuarios que pueden acceder a el. Espero te sirva.. o manda un dibujito de tu red. Salu2 -- Miguel