2009/8/20 Miguel Angel Amador L <joke...@gmail.com>: > 2009/8/19 Juan Andres Ramirez <jandresa...@gmail.com>: >> 2009/8/19 Miguel Angel Amador L <joke...@gmail.com>: >>> 2009/8/19 Juan Andres Ramirez <jandresa...@gmail.com>: >>>> Hola Amigos: >>>> Tengo funcionando una máquina en forma correcta con >>>> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace >>>> lo que tiene que hacer, el problema es que no puedo bloquear nada que >>>> este en el mismo rango de direccion ip que el firewall, me explico: >>>> >>>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 >>>> --dport 80 -j REDIRECT --to-ports 3128 >>>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 >>>> --dport 80 -j REDIRECT --to-ports 3128 >>>> >>>> Como ven pasan 2 subredes por el firewall, el firewall tiene las >>>> siguientes IP: >>>> >>>> eth1-> 192.168.100.2 ->entran las sub redes >>>> eth2> 192.168.100.4 -> salen las sub redes. >>>> >>>> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace >>>> sin problemas. >>>> >>>> El problema lo tengo porque quiero bloquear un server que esta en el >>>> rango 192.168.100.XXX , aplico la regla: >>>> >>>> ================================================== >>>> acl wordpress url_regex http://192.168.100.72/sitio >>>> #causa el mismo efecto >>>> acl wordpress url_regex http://192.168.100.72 >>>> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX >>>> http_access deny sitio >>>> ================================================== >>>> >>>> Pues bien, si accedo desde un computador con el rango ip >>>> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde >>>> la red con rango 192.168.100.XXX , es como si la regla no la tomara al >>>> estar dentro de este rango. >>>> >>>> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias. >>>> >>>> >>> Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC >>> cliente al intentar buscar la pagina web que no te bloquea? >>> .. has pensado que tal vez >> >> Si esta resolviendo un windows 2003. >> >>> >>> mmm.. >>>> eth1-> 192.168.100.2 ->entran las sub redes >>>> eth2> 192.168.100.4 -> salen las sub redes. >>> >>> Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?... >> >> Las 2 tarjetas estan en el mismo segmento. >> >>> y ambos segmentos estan fisicamente separados? hay algo raro en tu >>> explicacion... >>> >> >> Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas >> las maquinas que tienen como puerta de enlace esa direccion), y la >> otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera. >> Es un firewall con proxy transparente. >> >>> Saludos >>> >>> -- >>> Miguel >>> >>> >> >> > > mmm ya, el tema es que si tienes un windows o un dns interno.. cuando > preguntas por la pagina http://mi-intranet y el windows resuelve > 192.168.100.72, tu computador se conecta directamente a esa ip, porque > esta en el mismo segmento de red que el computador que consulta, lo > podrias probar haciendo un traceroute a la ip, o un tracert si estas > en windows,y veras que no pasas por el firewall...el router solo > recibira paquetes que vayan a un segmento de red distinto al tuyo, ya > que si miras la tabla de rutas de tu PC (en windows es route print), > veras que para la salida a tu red, no ocupa el firewall, si no que > suelta el paquete a la red y el switch se encarga de pasarlo a la boca > correcta en que tiene registrada la mac address del servidor. > en mis tiempos, los routers, o firewall ruteaban cuando tenian > segmentos distintos de red en sus puertas (alguna vez vi un ejemplo en > que ambas tarjetas tenian el mismo segmento, pero los paquetes eran > marcados y ruteados segun la marca que definia la tarjeta por la cual > venian, y no creo que si lo hubieras hecho asi, hubieras omitido ese > dato). > Si quisieras que el pc cliente pase obligadamente por el proxy, > deberias configurarlo en el navegador o en el servidor de dominio para > que aplique a los pc de clientes del dominio. > o en el peor de los casos... restringues en el servidor web, las ips > de usuarios que pueden acceder a el. > > Espero te sirva.. o manda un dibujito de tu red.
Si me sirve gracias, y me imaginaba que podria ser algo asi. Muchas gracias. > Salu2 > -- > Miguel > >