Re: [CentOS-es] Squid e Iptables AYUDA
Te doy un alcance. yo tuve el mismo problema y le hice estos cambios y ahora mi proxy me da muy bien cambia esta línea: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128 por (o weno agregale solo la segunda linea) : iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT --to 192.168.1.254:3128 iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128 Y borra las lineas de prerouting q van a ETH0 Espero q te ayude. > Date: Wed, 20 Oct 2010 13:10:58 -0500 > From: walvi...@gmail.com > To: centos-es@centos.org > Subject: [CentOS-es] Squid e Iptables AYUDA > > hola a todos, > > me he dispuesto configurar mi Squid de forma transparente y para estoy > siguiendo el manual de de la web > http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base%20de%20Conocimiento/Servidor+Proxy > > el cual dice textualmente y sito: > > Configuración Squid Transparente Este tipo de configuración de squid > transparente, lo que hace es que conexiones son enrutadas al proxy sin hacer > ninguna configuración en los clientes para que tengan salida a internet. > Este tipo de configuración depende de reglas de nuestro firewall. Parámetro > http_port Solamente tendremos que configurar este parámetro para que se un > proxy transparente. Se le debe indicar la IP del servidor squid, puerto de > escucha y la palabra transparente. > > http_port 3128 > > por > > http_port 192.168.1.254:3128 transparent > > Reglas del Firewall Para poder configurar este tipo de proxy transparente, > tendremos que configurar reglas de firewall, en nuestro caso usaremos reglas > de iptables ya que es la herramienta mas utilizada en todas distribuciones > GNU/Linux. Pero para que funcione de manera transparente debemos de aplicar > la siguiente regla en iptables. > > iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT > --to-port 3128 > > Con esto estamos desviando el trafico que venga por la LAN que vaya por web > al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se > pueden desplegar las paginas seguras, para eso necesitamos aplicar otras > reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente > manera: > > iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT > --to-port 3128 > > Habilitamos el reenvío de paquetes dentro de la red. > > echo 1 > /proc/sys/net/ipv4/ip_forward > > Y Guardamos las reglas con el siguiente comando. > > iptables-save > /etc/sysconfig/iptables > > Reiniciamos el servicio de firewall > > /etc/init.d/iptables restart > > Con esto tendremos configurado nuestro squid transparente. > - > > mi problema es que aun siguiendo esta guía, me da problemas a la hora de > reinicar el iptables > > ** aquí esta el reicicio del demonio*** > > # service iptables restart > > Bad argument `80' > > Bad argument `443' > > Aplicando reglas del cortafuegos iptables: [ OK ] > > Cargando módulos iptables adicionales:ip_conntrack_netbios_[ OK ]nntrack_ftp > > > > > > *** Esta es la configuración que agregue en iptables, el resto viene > por defecto y no la toqué * > > > > iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-port > 3128 > > iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 443 -j REDIRECT > --to-port 3128 > > > gracias por adelantado > > -- > Ing. Walvis Acosta > Dpto. Técnico > IQ-Tech > Telef: (02) 2594943 (Quito-Ecuador) > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor DNS para varias redes
Me puedes explicar las dos opciones: teniendo el mismo nombre de dominio donde se agregan las nuevas entradas. y si fuera, dominios distintos, un ejemplo de la configuracion . por favor! > Date: Thu, 7 Oct 2010 10:33:10 -0400 > From: jib8...@gmail.com > To: centos-es@centos.org > Subject: Re: [CentOS-es] Servidor DNS para varias redes > > una pregunta: Pero la otra red nueva tiene un nombre de dominio diferente? > Porque si no es así pienso que no hay que hacer nada nuevo, solo agregar > las nuevas entradas al DNS. > Si tiene otro nombre de dominio debes de crear una nueva zona. > Y por supuesto las maquinas de la nueva red deben de tener acceso al DNS. > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Servidor DNS para varias redes
buenos dias listeros e configurado mi servidor DNS y esta trabajando muy bien, pero me surgio el problema de poner otra red, como configurar el servidor DNS para que resueva nombres de dos redes distentas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] reducir letras de consola
buenas tarde listeros. estoy trabajando en nivel de arranque 3 y weno el problema es q las letras en modo consola son muy grandes y comandos como ifconfig o un chkconfig --list, solo se puede ver la informacion ultima. hay alguna forma de reducir las letras para poder ver mas informacion o en tal caso pasar la informacion q arrojan comandos en pantalla a un archivo y despues verlo con vim,? eso es posible o estoy delirando. gracias! ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables con interfaces virtuales
disculpen... iptables -A INPUT -s 192.168.205.1/24 -i eth1:0 -j ACCEPT probe tu consejo ... ya no sale error pero tmabien el forwarder pero no hay conexion si no es mucha molestia ... como deberia estar las reglas para q haya conexion de la lam a la red q va al router?? > From: eduardo.groscla...@gmail.com > Date: Wed, 29 Sep 2010 14:30:50 -0300 > To: centos-es@centos.org > Subject: Re: [CentOS-es] iptables con interfaces virtuales > > 2010/9/29 Roberto Panta Arcos : > > buenos dias listeros > > Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e > > puesto otra red y la quiero alojar en la misma interface como VIRTUAL para > > no comprar otra tarjeta. > -snip- > > intente ponerle asi > > iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT > > iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT > > pero me salen errores de estas lineas > > Si eliminas la cláusula "-i eth1:0" de las últimas líneas debería > quedar funcionando tu política. > Fíjate que en algunos lugares aparece 195.168.X.X, me parece que no es > la dirección que has elegido (y estaría mal de ser así porque no se > trata de una dirección privada). > > -- > Eduardo Grosclaude > Universidad Nacional del Comahue > Neuquen, Argentina > ___ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] iptables con interfaces virtuales
buenos dias listeros Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar otra tarjeta. eth0 -- 192.168.2.2/24--- al router eth1 -- 192.168.210.1/24 --- LAN eth1:0 -- 192.168.205.1/24 --- LAN (SE QUIERE AGREGAR) ## REGLAS DE FIREWALL iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.210.1/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.210.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP ## intente ponerle asi iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT pero me salen errores de estas lineas ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] problemas con DNS e IPTABLES
Muchas gracias pero ya encontre ĺa respuesta. esta ahora es mi iptables lo q pasaba es q no podia pinear y el los host no podian conectarse al server DNS e hice estos cambios a las politicas echo -n Aplicando Reglas de Firewall por roberto panta arcos... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT # para poder acceder al servidor DNS y poder salir a internet con el dns local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente #del servidor al host se pinea con nombre pero del host al server no,con las dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa #el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT # sin esta sentencia no hay pineo del lado: server->>>host pero si de host ->>> server iptables -A INPUT -i eth1 -p ICMP -j ACCEPT #las siguientes sentencias se probaron pero no tienen repercucion #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT #esta setencia estuvo en un tutorial pero no sirvio de naa #iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535 -d any/0 -dport 53 -j ACCEPT cerramos todo lo q no quiero iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP # enmascaramiento de la red eth1 iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE #cerramos todos los puertos restantes iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP echo " OK . Verifique que lo que se aplica con: iptables -L -n" # Fin del script y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de dominio negando el resto de puertos. y salir a internet desde mis clientes sin problemas. GRACIAS > From: domin...@linuxsc.net > To: centos-es@centos.org > Date: Thu, 16 Sep 2010 20:24:16 -0500 > Subject: Re: [CentOS-es] problemas con DNS e IPTABLES > > Y ya probaste abriendo el puerto 53 tcp y udp en iptables > > > -- mens. original -- > Asunto: [CentOS-es] problemas con DNS e IPTABLES > De: Roberto Panta Arcos > Fecha: 16/09/2010 11:54 > > > Buenos dias > tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio > DNS para mi red local. El problema es cuando activo el iptables, alli solo > puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo > pinear con nombres e ip's > > options { > directory "/var/named"; > dump-file "/var/named/data/cache_dump.db"; > statistics-file "/var/named/data/named_stats.txt"; > allow-recursion { >127.0.0.1; >192.168.200.0/24; > }; > forwarders { >200.48.225.130; >200.48.225.146; > }; > forward first; > }; > zone "sicannet.com" { > type master; > file "sicannet.com.zone"; > allow-update { none; }; > }; > zone "200.168.192.in-addr.arpa" { > type master; > file "200.168.192.in-addr.arpa.zone"; > allow-update { none; }; > }; > include "/etc/rndc.key"; > * > y el IPTABLES > > echo -n > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto > iptables -P INPUT ACCEPT > iptables -P OUTPUT ACCEPT > iptables -P FORWARD ACCEPT > iptables -t nat -P PREROUTING ACCEPT > iptables -t nat -P POSTROUTING ACCEPT > > ## Empezamos a filtrar > > # El localhost se deja (por ejemplo conexiones locales a mysql) > iptables -A INPUT -i lo -j ACCEPT > iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT > iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp
[CentOS-es] problemas con DNS e IPTABLES
Buenos dias tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio DNS para mi red local. El problema es cuando activo el iptables, alli solo puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo pinear con nombres e ip's options { directory "/var/named"; dump-file "/var/named/data/cache_dump.db"; statistics-file "/var/named/data/named_stats.txt"; allow-recursion { 127.0.0.1; 192.168.200.0/24; }; forwarders { 200.48.225.130; 200.48.225.146; }; forward first; }; zone "sicannet.com" { type master; file "sicannet.com.zone"; allow-update { none; }; }; zone "200.168.192.in-addr.arpa" { type master; file "200.168.192.in-addr.arpa.zone"; allow-update { none; }; }; include "/etc/rndc.key"; * y el IPTABLES echo -n ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP # Fin del script ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es