Re: [CentOS-es] Squid e Iptables AYUDA
Te doy un alcance. yo tuve el mismo problema y le hice estos cambios y ahora mi proxy me da muy bien cambia esta línea: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128 por (o weno agregale solo la segunda linea) : iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT --to 192.168.1.254:3128 iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128 Y borra las lineas de prerouting q van a ETH0 Espero q te ayude. > Date: Wed, 20 Oct 2010 13:10:58 -0500 > From: walvi...@gmail.com > To: centos-es@centos.org > Subject: [CentOS-es] Squid e Iptables AYUDA > > hola a todos, > > me he dispuesto configurar mi Squid de forma transparente y para estoy > siguiendo el manual de de la web > http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base%20de%20Conocimiento/Servidor+Proxy > > el cual dice textualmente y sito: > > Configuración Squid Transparente Este tipo de configuración de squid > transparente, lo que hace es que conexiones son enrutadas al proxy sin hacer > ninguna configuración en los clientes para que tengan salida a internet. > Este tipo de configuración depende de reglas de nuestro firewall. Parámetro > http_port Solamente tendremos que configurar este parámetro para que se un > proxy transparente. Se le debe indicar la IP del servidor squid, puerto de > escucha y la palabra transparente. > > http_port 3128 > > por > > http_port 192.168.1.254:3128 transparent > > Reglas del Firewall Para poder configurar este tipo de proxy transparente, > tendremos que configurar reglas de firewall, en nuestro caso usaremos reglas > de iptables ya que es la herramienta mas utilizada en todas distribuciones > GNU/Linux. Pero para que funcione de manera transparente debemos de aplicar > la siguiente regla en iptables. > > iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT > --to-port 3128 > > Con esto estamos desviando el trafico que venga por la LAN que vaya por web > al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se > pueden desplegar las paginas seguras, para eso necesitamos aplicar otras > reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente > manera: > > iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT > --to-port 3128 > > Habilitamos el reenvío de paquetes dentro de la red. > > echo 1 > /proc/sys/net/ipv4/ip_forward > > Y Guardamos las reglas con el siguiente comando. > > iptables-save > /etc/sysconfig/iptables > > Reiniciamos el servicio de firewall > > /etc/init.d/iptables restart > > Con esto tendremos configurado nuestro squid transparente. > - > > mi problema es que aun siguiendo esta guía, me da problemas a la hora de > reinicar el iptables > > ** aquí esta el reicicio del demonio*** > > # service iptables restart > > Bad argument `80' > > Bad argument `443' > > Aplicando reglas del cortafuegos iptables: [ OK ] > > Cargando módulos iptables adicionales:ip_conntrack_netbios_[ OK ]nntrack_ftp > > > > > > *** Esta es la configuración que agregue en iptables, el resto viene > por defecto y no la toqué * > > > > iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-port > 3128 > > iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 443 -j REDIRECT > --to-port 3128 > > > gracias por adelantado > > -- > Ing. Walvis Acosta > Dpto. Técnico > IQ-Tech > Telef: (02) 2594943 (Quito-Ecuador) > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor DNS para varias redes
Me puedes explicar las dos opciones: teniendo el mismo nombre de dominio donde se agregan las nuevas entradas. y si fuera, dominios distintos, un ejemplo de la configuracion . por favor! > Date: Thu, 7 Oct 2010 10:33:10 -0400 > From: jib8...@gmail.com > To: centos-es@centos.org > Subject: Re: [CentOS-es] Servidor DNS para varias redes > > una pregunta: Pero la otra red nueva tiene un nombre de dominio diferente? > Porque si no es así pienso que no hay que hacer nada nuevo, solo agregar > las nuevas entradas al DNS. > Si tiene otro nombre de dominio debes de crear una nueva zona. > Y por supuesto las maquinas de la nueva red deben de tener acceso al DNS. > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Servidor DNS para varias redes
buenos dias listeros e configurado mi servidor DNS y esta trabajando muy bien, pero me surgio el problema de poner otra red, como configurar el servidor DNS para que resueva nombres de dos redes distentas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] reducir letras de consola
buenas tarde listeros. estoy trabajando en nivel de arranque 3 y weno el problema es q las letras en modo consola son muy grandes y comandos como ifconfig o un chkconfig --list, solo se puede ver la informacion ultima. hay alguna forma de reducir las letras para poder ver mas informacion o en tal caso pasar la informacion q arrojan comandos en pantalla a un archivo y despues verlo con vim,? eso es posible o estoy delirando. gracias! ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables con interfaces virtuales
disculpen... iptables -A INPUT -s 192.168.205.1/24 -i eth1:0 -j ACCEPT probe tu consejo ... ya no sale error pero tmabien el forwarder pero no hay conexion si no es mucha molestia ... como deberia estar las reglas para q haya conexion de la lam a la red q va al router?? > From: eduardo.groscla...@gmail.com > Date: Wed, 29 Sep 2010 14:30:50 -0300 > To: centos-es@centos.org > Subject: Re: [CentOS-es] iptables con interfaces virtuales > > 2010/9/29 Roberto Panta Arcos : > > buenos dias listeros > > Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e > > puesto otra red y la quiero alojar en la misma interface como VIRTUAL para > > no comprar otra tarjeta. > -snip- > > intente ponerle asi > > iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT > > iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT > > pero me salen errores de estas lineas > > Si eliminas la cláusula "-i eth1:0" de las últimas líneas debería > quedar funcionando tu política. > Fíjate que en algunos lugares aparece 195.168.X.X, me parece que no es > la dirección que has elegido (y estaría mal de ser así porque no se > trata de una dirección privada). > > -- > Eduardo Grosclaude > Universidad Nacional del Comahue > Neuquen, Argentina > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] iptables con interfaces virtuales
buenos dias listeros Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar otra tarjeta. eth0 -- 192.168.2.2/24--- al router eth1 -- 192.168.210.1/24 --- LAN eth1:0 -- 192.168.205.1/24 --- LAN (SE QUIERE AGREGAR) ## REGLAS DE FIREWALL iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.210.1/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.210.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP ## intente ponerle asi iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT pero me salen errores de estas lineas ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] problemas con DNS e IPTABLES
Muchas gracias pero ya encontre ĺa respuesta. esta ahora es mi iptables
lo q pasaba es q no podia pinear y el los host no podian conectarse al server
DNS e hice estos cambios a las politicas
echo -n Aplicando Reglas de Firewall por roberto panta arcos...
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
# para poder acceder al servidor DNS y poder salir a internet con el dns
local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente
#del servidor al host se pinea con nombre pero del host al server no,con las
dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa
#el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
#el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port
iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT
# sin esta sentencia no hay pineo del lado: server->>>host pero si de host ->>>
server
iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
#las siguientes sentencias se probaron pero no tienen repercucion
#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT
#esta setencia estuvo en un tutorial pero no sirvio de naa
#iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535
-d any/0 -dport 53 -j ACCEPT
cerramos todo lo q no quiero
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP
# enmascaramiento de la red eth1
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE
#cerramos todos los puertos restantes
iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP
echo " OK . Verifique que lo que se aplica con: iptables -L -n"
# Fin del script
y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de
dominio negando el resto de puertos. y salir a internet desde mis clientes sin
problemas.
GRACIAS
> From: domin...@linuxsc.net
> To: centos-es@centos.org
> Date: Thu, 16 Sep 2010 20:24:16 -0500
> Subject: Re: [CentOS-es] problemas con DNS e IPTABLES
>
> Y ya probaste abriendo el puerto 53 tcp y udp en iptables
>
>
> -- mens. original --
> Asunto: [CentOS-es] problemas con DNS e IPTABLES
> De: Roberto Panta Arcos
> Fecha: 16/09/2010 11:54
>
>
> Buenos dias
> tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio
> DNS para mi red local. El problema es cuando activo el iptables, alli solo
> puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo
> pinear con nombres e ip's
>
> options {
> directory "/var/named";
> dump-file "/var/named/data/cache_dump.db";
> statistics-file "/var/named/data/named_stats.txt";
> allow-recursion {
>127.0.0.1;
>192.168.200.0/24;
> };
> forwarders {
>200.48.225.130;
>200.48.225.146;
> };
> forward first;
> };
> zone "sicannet.com" {
> type master;
> file "sicannet.com.zone";
> allow-update { none; };
> };
> zone "200.168.192.in-addr.arpa" {
> type master;
> file "200.168.192.in-addr.arpa.zone";
> allow-update { none; };
> };
> include "/etc/rndc.key";
> *
> y el IPTABLES
>
> echo -n
> ## FLUSH de reglas
> iptables -F
> iptables -X
> iptables -Z
> iptables -t nat -F
>
> ## Establecemos politica por defecto
> iptables -P INPUT ACCEPT
> iptables -P OUTPUT ACCEPT
> iptables -P FORWARD ACCEPT
> iptables -t nat -P PREROUTING ACCEPT
> iptables -t nat -P POSTROUTING ACCEPT
>
> ## Empezamos a filtrar
>
> # El localhost se deja (por ejemplo conexiones locales a mysql)
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT
> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
> iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp
[CentOS-es] problemas con DNS e IPTABLES
Buenos dias
tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio
DNS para mi red local. El problema es cuando activo el iptables, alli solo
puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo
pinear con nombres e ip's
options {
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
allow-recursion {
127.0.0.1;
192.168.200.0/24;
};
forwarders {
200.48.225.130;
200.48.225.146;
};
forward first;
};
zone "sicannet.com" {
type master;
file "sicannet.com.zone";
allow-update { none; };
};
zone "200.168.192.in-addr.arpa" {
type master;
file "200.168.192.in-addr.arpa.zone";
allow-update { none; };
};
include "/etc/rndc.key";
*
y el IPTABLES
echo -n
## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
## Empezamos a filtrar
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP
# Fin del script
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es
