Re: [CentOS-es] Squid e Iptables AYUDA

2010-10-20 Por tema Roberto Panta Arcos 

Te doy un alcance. yo tuve el mismo problema y le hice estos cambios y ahora mi 
proxy me da muy bien 
cambia esta línea:
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 
3128

por (o weno agregale solo la segunda linea) :
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT --to 
192.168.1.254:3128
iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 
3128

Y borra las lineas de prerouting q van a ETH0

Espero q te ayude.


 Date: Wed, 20 Oct 2010 13:10:58 -0500
 From: walvi...@gmail.com
 To: centos-es@centos.org
 Subject: [CentOS-es] Squid e Iptables AYUDA
 
 hola a todos,
 
 me he dispuesto configurar mi Squid de forma transparente y para estoy
 siguiendo el manual de de la web
 http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base%20de%20Conocimiento/Servidor+Proxy
 
 el cual dice textualmente y sito:
 
 Configuración Squid Transparente Este tipo de configuración de squid
 transparente, lo que hace es que conexiones son enrutadas al proxy sin hacer
 ninguna configuración en los clientes para que tengan salida a internet.
 Este tipo de configuración depende de reglas de nuestro firewall. Parámetro
 http_port Solamente tendremos que configurar este parámetro para que se un
 proxy transparente. Se le debe indicar la IP del servidor squid, puerto de
 escucha y la palabra transparente.
 
 http_port 3128
 
 por
 
 http_port 192.168.1.254:3128 transparent
 
 Reglas del Firewall Para poder configurar este tipo de proxy transparente,
 tendremos que configurar reglas de firewall, en nuestro caso usaremos reglas
 de iptables ya que es la herramienta mas utilizada en todas distribuciones
 GNU/Linux. Pero para que funcione de manera transparente debemos de aplicar
 la siguiente regla en iptables.
 
 iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT
 --to-port 3128
 
 Con esto estamos desviando el trafico que venga por la LAN que vaya por web
 al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se
 pueden desplegar las paginas seguras, para eso necesitamos aplicar otras
 reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente
 manera:
 
 iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT
 --to-port 3128
 
 Habilitamos el reenvío de paquetes dentro de la red.
 
 echo 1  /proc/sys/net/ipv4/ip_forward
 
 Y Guardamos las reglas con el siguiente comando.
 
 iptables-save  /etc/sysconfig/iptables
 
 Reiniciamos el servicio de firewall
 
 /etc/init.d/iptables restart
 
 Con esto tendremos configurado nuestro squid transparente.
 -
 
 mi problema es que aun siguiendo esta guía, me da problemas a la hora de
 reinicar el iptables
 
 ** aquí esta el reicicio del demonio***
 
 # service iptables restart
 
 Bad argument `80'
 
 Bad argument `443'
 
 Aplicando reglas del cortafuegos iptables: [  OK  ]
 
 Cargando módulos iptables adicionales:ip_conntrack_netbios_[  OK  ]nntrack_ftp
 
 
 
 
 
 *** Esta es la configuración que agregue en iptables, el resto viene
 por defecto y no la toqué *
 
 
 
 iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-port
 3128
 
 iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 443 -j REDIRECT
 --to-port 3128
 
 
 gracias por adelantado
 
 -- 
 Ing. Walvis Acosta
 Dpto. Técnico
 IQ-Tech
 Telef: (02) 2594943 (Quito-Ecuador)
 ___
 CentOS-es mailing list
 CentOS-es@centos.org
 http://lists.centos.org/mailman/listinfo/centos-es
  
___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] Servidor DNS para varias redes

2010-10-07 Por tema Roberto Panta Arcos 

buenos dias listeros

e configurado mi servidor DNS y esta trabajando muy bien, pero me surgio el 
problema de poner otra red, como configurar el servidor DNS para que resueva 
nombres de dos redes distentas. 
  ___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] Servidor DNS para varias redes

2010-10-07 Por tema Roberto Panta Arcos 

Me puedes explicar las dos opciones:
teniendo el mismo nombre de dominio donde se agregan las nuevas entradas. 
y si fuera, dominios distintos, un ejemplo de la configuracion . por favor!

 Date: Thu, 7 Oct 2010 10:33:10 -0400
 From: jib8...@gmail.com
 To: centos-es@centos.org
 Subject: Re: [CentOS-es] Servidor DNS para varias redes
 
 una pregunta: Pero la otra red nueva tiene un nombre de dominio diferente?
 Porque si no es así pienso que no hay que hacer nada nuevo, solo agregar 
 las nuevas entradas al DNS.
 Si tiene otro nombre de dominio debes de crear una nueva zona.
 Y por supuesto las maquinas de la nueva red deben de tener acceso al DNS.
 ___
 CentOS-es mailing list
 CentOS-es@centos.org
 http://lists.centos.org/mailman/listinfo/centos-es
  ___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] reducir letras de consola

2010-09-30 Por tema Roberto Panta Arcos 

buenas tarde listeros.
estoy trabajando en nivel de arranque  3 y weno el problema es q las letras en 
modo consola son muy grandes y comandos como ifconfig o un chkconfig --list, 
solo se puede ver la informacion ultima.
hay alguna forma de reducir las letras para poder ver mas informacion o en tal 
caso pasar la informacion q arrojan comandos en pantalla a un archivo y despues 
verlo con vim,? eso es posible o estoy delirando.

gracias!
  ___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

[CentOS-es] iptables con interfaces virtuales

2010-09-29 Por tema Roberto Panta Arcos 

buenos dias listeros
Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto 
otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar 
otra tarjeta.
eth0 -- 192.168.2.2/24--- al router
eth1 -- 192.168.210.1/24 --- LAN
eth1:0 -- 192.168.205.1/24 --- LAN (SE QUIERE AGREGAR)
## REGLAS DE FIREWALL
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 195.168.210.1/24 -i eth1 -j ACCEPT

iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.210.0/24 -i eth1 -j DROP

iptables -t nat -A POSTROUTING -s 192.168.210.0/24 -o eth0 -j MASQUERADE
iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP 
iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP
iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP 
##
intente ponerle asi 
iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT

iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT
pero me salen errores de estas lineas
  ___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] iptables con interfaces virtuales

2010-09-29 Por tema Roberto Panta Arcos 

disculpen...
iptables -A INPUT -s 192.168.205.1/24 -i eth1:0 -j ACCEPT 
probe tu consejo ... ya no sale error pero tmabien el forwarder pero no hay 
conexion 
si no es mucha molestia ... como deberia estar las reglas para q haya conexion 
de la lam a la red q va al router??

 From: eduardo.groscla...@gmail.com
 Date: Wed, 29 Sep 2010 14:30:50 -0300
 To: centos-es@centos.org
 Subject: Re: [CentOS-es] iptables con interfaces virtuales
 
 2010/9/29 Roberto Panta Arcos roberto_pa...@hotmail.com:
  buenos dias listeros
  Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e
  puesto otra red y la quiero alojar en la misma interface como VIRTUAL para
  no comprar otra tarjeta.
 -snip-
  intente ponerle asi
  iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT
  iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT
  pero me salen errores de estas lineas
 
 Si eliminas la cláusula -i eth1:0 de las últimas líneas debería
 quedar funcionando tu política.
 Fíjate que en algunos lugares aparece 195.168.X.X, me parece que no es
 la dirección que has elegido (y estaría mal de ser así porque no se
 trata de una dirección privada).
 
 -- 
 Eduardo Grosclaude
 Universidad Nacional del Comahue
 Neuquen, Argentina
 ___
 CentOS-es mailing list
 CentOS-es@centos.org
 http://lists.centos.org/mailman/listinfo/centos-es
  ___
CentOS-es mailing list
CentOS-es@centos.org
http://lists.centos.org/mailman/listinfo/centos-es

Re: [CentOS-es] problemas con DNS e IPTABLES

2010-09-17 Por tema Roberto Panta Arcos 

Muchas  gracias pero ya encontre ĺa respuesta. esta ahora es mi iptables
lo q pasaba es q no podia pinear y el los host no podian conectarse al server 
DNS e hice estos cambios a las politicas

echo -n Aplicando Reglas de Firewall por roberto panta arcos...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar

# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT

# para poder acceder al servidor DNS y poder salir a internet con el dns 
local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente
#del servidor al host se pinea con nombre pero del host al server no,con las 
dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa
#el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
#el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port 
iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT

# sin esta sentencia no hay pineo del lado: server-host pero si de host - 
server
iptables -A INPUT -i eth1 -p ICMP -j ACCEPT

#las siguientes sentencias se probaron pero no tienen repercucion
#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
#iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT
#esta setencia estuvo en un tutorial pero no sirvio de naa
#iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535 
-d any/0 -dport 53 -j ACCEPT

cerramos todo lo q no quiero
iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP
# enmascaramiento de la red eth1
iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE
#cerramos todos los puertos restantes
iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP 
iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP

echo  OK . Verifique que lo que se aplica con: iptables -L -n
# Fin del script

y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de 
dominio negando el resto de puertos. y salir a internet desde mis clientes sin 
problemas.
GRACIAS

 From: domin...@linuxsc.net
 To: centos-es@centos.org
 Date: Thu, 16 Sep 2010 20:24:16 -0500
 Subject: Re: [CentOS-es] problemas con DNS e IPTABLES
 
 Y ya probaste abriendo el puerto 53 tcp y udp en iptables
 
 
 -- mens. original --
 Asunto: [CentOS-es] problemas con DNS e IPTABLES
 De: Roberto Panta Arcos roberto_pa...@hotmail.com
 Fecha: 16/09/2010 11:54
 
 
 Buenos dias
 tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio 
 DNS para mi red local. El problema es cuando activo el iptables, alli solo 
 puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo 
 pinear con nombres e ip's
 
 options {
  directory /var/named;
  dump-file /var/named/data/cache_dump.db;
  statistics-file /var/named/data/named_stats.txt;
  allow-recursion {
127.0.0.1;
192.168.200.0/24;
 };
  forwarders {
200.48.225.130;
200.48.225.146;
 };
  forward first;   
 };
 zone sicannet.com {
  type master;
  file sicannet.com.zone;
  allow-update { none; };
 };
 zone 200.168.192.in-addr.arpa {
  type master;
  file 200.168.192.in-addr.arpa.zone;
  allow-update { none; };
 };
 include /etc/rndc.key;
 *
 y el IPTABLES
 
 echo -n 
 ## FLUSH de reglas
 iptables -F
 iptables -X
 iptables -Z
 iptables -t nat -F
 
 ## Establecemos politica por defecto
 iptables -P INPUT ACCEPT
 iptables -P OUTPUT ACCEPT
 iptables -P FORWARD ACCEPT
 iptables -t nat -P PREROUTING ACCEPT
 iptables -t nat -P POSTROUTING ACCEPT
 
 ## Empezamos a filtrar
 
 # El localhost se deja (por ejemplo conexiones locales a mysql)
 iptables -A INPUT -i lo -j ACCEPT
 iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT
 iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT
 iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT
 iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT
 iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT
 iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP
 iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE
 iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP 
 
 # Fin del script