Re: [CentOS-es] Squid e Iptables AYUDA
Te doy un alcance. yo tuve el mismo problema y le hice estos cambios y ahora mi proxy me da muy bien cambia esta línea: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128 por (o weno agregale solo la segunda linea) : iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j DNAT --to 192.168.1.254:3128 iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128 Y borra las lineas de prerouting q van a ETH0 Espero q te ayude. Date: Wed, 20 Oct 2010 13:10:58 -0500 From: walvi...@gmail.com To: centos-es@centos.org Subject: [CentOS-es] Squid e Iptables AYUDA hola a todos, me he dispuesto configurar mi Squid de forma transparente y para estoy siguiendo el manual de de la web http://www2.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base%20de%20Conocimiento/Servidor+Proxy el cual dice textualmente y sito: Configuración Squid Transparente Este tipo de configuración de squid transparente, lo que hace es que conexiones son enrutadas al proxy sin hacer ninguna configuración en los clientes para que tengan salida a internet. Este tipo de configuración depende de reglas de nuestro firewall. Parámetro http_port Solamente tendremos que configurar este parámetro para que se un proxy transparente. Se le debe indicar la IP del servidor squid, puerto de escucha y la palabra transparente. http_port 3128 por http_port 192.168.1.254:3128 transparent Reglas del Firewall Para poder configurar este tipo de proxy transparente, tendremos que configurar reglas de firewall, en nuestro caso usaremos reglas de iptables ya que es la herramienta mas utilizada en todas distribuciones GNU/Linux. Pero para que funcione de manera transparente debemos de aplicar la siguiente regla en iptables. iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3128 Con esto estamos desviando el trafico que venga por la LAN que vaya por web al puerto 3128. Con esto ya hicimos transparente nuestro proxy pero no se pueden desplegar las paginas seguras, para eso necesitamos aplicar otras reglas en iptables liberando el puerto 443, y lo hacemos de la siguiente manera: iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT --to-port 3128 Habilitamos el reenvío de paquetes dentro de la red. echo 1 /proc/sys/net/ipv4/ip_forward Y Guardamos las reglas con el siguiente comando. iptables-save /etc/sysconfig/iptables Reiniciamos el servicio de firewall /etc/init.d/iptables restart Con esto tendremos configurado nuestro squid transparente. - mi problema es que aun siguiendo esta guía, me da problemas a la hora de reinicar el iptables ** aquí esta el reicicio del demonio*** # service iptables restart Bad argument `80' Bad argument `443' Aplicando reglas del cortafuegos iptables: [ OK ] Cargando módulos iptables adicionales:ip_conntrack_netbios_[ OK ]nntrack_ftp *** Esta es la configuración que agregue en iptables, el resto viene por defecto y no la toqué * iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp -dport 443 -j REDIRECT --to-port 3128 gracias por adelantado -- Ing. Walvis Acosta Dpto. Técnico IQ-Tech Telef: (02) 2594943 (Quito-Ecuador) ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] Servidor DNS para varias redes
buenos dias listeros e configurado mi servidor DNS y esta trabajando muy bien, pero me surgio el problema de poner otra red, como configurar el servidor DNS para que resueva nombres de dos redes distentas. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] Servidor DNS para varias redes
Me puedes explicar las dos opciones: teniendo el mismo nombre de dominio donde se agregan las nuevas entradas. y si fuera, dominios distintos, un ejemplo de la configuracion . por favor! Date: Thu, 7 Oct 2010 10:33:10 -0400 From: jib8...@gmail.com To: centos-es@centos.org Subject: Re: [CentOS-es] Servidor DNS para varias redes una pregunta: Pero la otra red nueva tiene un nombre de dominio diferente? Porque si no es así pienso que no hay que hacer nada nuevo, solo agregar las nuevas entradas al DNS. Si tiene otro nombre de dominio debes de crear una nueva zona. Y por supuesto las maquinas de la nueva red deben de tener acceso al DNS. ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] reducir letras de consola
buenas tarde listeros. estoy trabajando en nivel de arranque 3 y weno el problema es q las letras en modo consola son muy grandes y comandos como ifconfig o un chkconfig --list, solo se puede ver la informacion ultima. hay alguna forma de reducir las letras para poder ver mas informacion o en tal caso pasar la informacion q arrojan comandos en pantalla a un archivo y despues verlo con vim,? eso es posible o estoy delirando. gracias! ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
[CentOS-es] iptables con interfaces virtuales
buenos dias listeros Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar otra tarjeta. eth0 -- 192.168.2.2/24--- al router eth1 -- 192.168.210.1/24 --- LAN eth1:0 -- 192.168.205.1/24 --- LAN (SE QUIERE AGREGAR) ## REGLAS DE FIREWALL iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.210.1/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.210.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.210.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP ## intente ponerle asi iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT pero me salen errores de estas lineas ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] iptables con interfaces virtuales
disculpen... iptables -A INPUT -s 192.168.205.1/24 -i eth1:0 -j ACCEPT probe tu consejo ... ya no sale error pero tmabien el forwarder pero no hay conexion si no es mucha molestia ... como deberia estar las reglas para q haya conexion de la lam a la red q va al router?? From: eduardo.groscla...@gmail.com Date: Wed, 29 Sep 2010 14:30:50 -0300 To: centos-es@centos.org Subject: Re: [CentOS-es] iptables con interfaces virtuales 2010/9/29 Roberto Panta Arcos roberto_pa...@hotmail.com: buenos dias listeros Mi consulta es. Tengo mi firewall trabajando muy bien pero en mi LAN e puesto otra red y la quiero alojar en la misma interface como VIRTUAL para no comprar otra tarjeta. -snip- intente ponerle asi iptables -A INPUT -s 195.168.205.1/24 -i eth1:0 -j ACCEPT iptables -A INPUT -s 192.168.205.0/24 -i eth1:0 -p tcp --dport 80 -j ACCEPT pero me salen errores de estas lineas Si eliminas la cláusula -i eth1:0 de las últimas líneas debería quedar funcionando tu política. Fíjate que en algunos lugares aparece 195.168.X.X, me parece que no es la dirección que has elegido (y estaría mal de ser así porque no se trata de una dirección privada). -- Eduardo Grosclaude Universidad Nacional del Comahue Neuquen, Argentina ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es ___ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Re: [CentOS-es] problemas con DNS e IPTABLES
Muchas gracias pero ya encontre ĺa respuesta. esta ahora es mi iptables lo q pasaba es q no podia pinear y el los host no podian conectarse al server DNS e hice estos cambios a las politicas echo -n Aplicando Reglas de Firewall por roberto panta arcos... ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT # para poder acceder al servidor DNS y poder salir a internet con el dns local;necesite las tres sentencias sino el ultimo drop lo niega para el cliente #del servidor al host se pinea con nombre pero del host al server no,con las dos primeras; con las tres no hay problema y solo con la ultima tampoco pasa naa #el permiso para protocolo tcp es opcional ya q DNS trabaja con protocolo UDP iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #el -udp puede ir antes o despues del -s ip y el --sport tambien --source-port iptables -A INPUT -s 192.168.200.0/24 -p udp --sport 53 -j ACCEPT # sin esta sentencia no hay pineo del lado: server-host pero si de host - server iptables -A INPUT -i eth1 -p ICMP -j ACCEPT #las siguientes sentencias se probaron pero no tienen repercucion #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT #iptables -A FORWARD -s 192.168.200.0/24 -i eth1 -p udp --sport 53 -j ACCEPT #esta setencia estuvo en un tutorial pero no sirvio de naa #iptables -t nat -A POSTROUTING -p udp -s 192.168.200.0/24 --sport 1024:65535 -d any/0 -dport 53 -j ACCEPT cerramos todo lo q no quiero iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP # enmascaramiento de la red eth1 iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE #cerramos todos los puertos restantes iptables -A INPUT -s 0/0 -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0/0 -p udp --dport 1:1024 -j DROP echo OK . Verifique que lo que se aplica con: iptables -L -n # Fin del script y con esto. no tengo problemas... pineo sin ningun problema con mis nombres de dominio negando el resto de puertos. y salir a internet desde mis clientes sin problemas. GRACIAS From: domin...@linuxsc.net To: centos-es@centos.org Date: Thu, 16 Sep 2010 20:24:16 -0500 Subject: Re: [CentOS-es] problemas con DNS e IPTABLES Y ya probaste abriendo el puerto 53 tcp y udp en iptables -- mens. original -- Asunto: [CentOS-es] problemas con DNS e IPTABLES De: Roberto Panta Arcos roberto_pa...@hotmail.com Fecha: 16/09/2010 11:54 Buenos dias tengo centos 5.4 , instalando iptables y named. todo va bien con el servicio DNS para mi red local. El problema es cuando activo el iptables, alli solo puedo pinear con IP's y ya no con los nombres. si desactivo el iptables puedo pinear con nombres e ip's options { directory /var/named; dump-file /var/named/data/cache_dump.db; statistics-file /var/named/data/named_stats.txt; allow-recursion { 127.0.0.1; 192.168.200.0/24; }; forwarders { 200.48.225.130; 200.48.225.146; }; forward first; }; zone sicannet.com { type master; file sicannet.com.zone; allow-update { none; }; }; zone 200.168.192.in-addr.arpa { type master; file 200.168.192.in-addr.arpa.zone; allow-update { none; }; }; include /etc/rndc.key; * y el IPTABLES echo -n ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT ## Empezamos a filtrar # El localhost se deja (por ejemplo conexiones locales a mysql) iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 195.168.200.105/24 -i eth1 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p tcp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -p udp --dport 53 -j ACCEPT iptables -A INPUT -s 192.168.200.0/24 -i eth1 -j DROP iptables -t nat -A POSTROUTING -s 192.168.200.0/24 -o eth0 -j MASQUERADE iptables -A INPUT -s 0/0 -p tcp --dport 1 -j DROP # Fin del script