Compartir internet con centos 5.4

Enviado por ebox en

Forums: 

hola a todos , para comentarles que recientemente hemos instalado centos 5.4 con la finalidad de bloquear páginas y poner seguridad en la red . El problema que tenemos es que no podemos compartir internet desde el servidor centos , la configuración que hicimos es configurar un proxy no transparente , iptables pero no comparte internet hacia nuestra red lan . Ayuda

Adjunto config iptables

echo -n Aplicando Reglas de Firewall...

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.0.0/16 -i eth1 -j ACCEPT

# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.0.0/16 -o eth0 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red
# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script

ebox wrote:

Enviado por deathUser en

Imagen de deathUser

[quote=ebox]A veces me muestra el error en los correos de recepción en microsoft outlook , en Mozilla Thunderbird me funciona perfecto ¿Porque a veces ese error en microsoft outlook será porque mi conexión a internet es lenta ?[/quote]

Pues si son problemas de conectividad eventualmente te dará el mismo problema con thunderbird, aunque puede ser que thunderbird haga un mejor manejo de las conexiones y por eso no te de el error que en esa KK de outlook.

Cuando te mencioné que tu configuración de iptables me parecía insegura es básicamente porque tienes puesto como ACCEPT el default de todos los CHAINS, cuando se recomienda que lo tengas en REJECT para que aceptes explícitamente lo que quieres, en tu caso aceptas todo y niegas explícitamente lo que no quieres lo que es más difícil de especificar ...

iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

Al menos los CHAINS INPUT y FORWARD deberían tener como default REJECT ...

Para bloquear un puerto en particular puedes especificar como ya lo tienes en una regla similar:

iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 3389 -j DROP

Aunque si ya pones como default REJECT a tus chains ya no necesitarías bloquearlo ya que está bloqueado todo por default ...

[quote=ebox]Quisiera saber si se puede borrar el contenido de la configuración que viene por defecto en iptables para poner en orden las reglas .[/quote]

Cuando haces un flush de las reglas (iptables -F) estás borrando todas las reglas existentes en los chains y deberían entrar en el orden en el que las especificas, lee el manual respecto a la diferencia entre -A y -I en iptables ...

bye
;)

Hola buenos días , ya se ha

Enviado por ebox en

Hola buenos días , ya se ha solucionado el error que tenía en microsoft outlook , estoy leyendo sobre iptables para corregir ese error CHAINS INPUT y FORWARD , tengo un problema que al activar en el navegador la opción sin proxy me da internet y eso no quiero , porque si no todos los usuarios tendrán acceso a navegar en horas de trabajo saltandose el proxy , pero este problema nace desde que configure iptables , quiero que toda máquina este registrada en el servidor para que tenga internet y si no lo está que lo bloquee. El problema será que falta redireccionar el puerto 80 al puerto 3128 en iptables su ayuda.

Saludos

El problema que tienes es

Enviado por deathUser en

Imagen de deathUser

El problema que tienes es porque estás enmascarando todo el tráfico, deberías natear solo el tráfico que te interesa de esa manera no podrán tener acceso si no es a través de proxy, para lo de la redirección del puerto, busca proxy transparente en el foro y vas a encontrar lo que buscas...

bye
;)

Agrege esta línea en iptables

Enviado por ebox en

Agrege esta línea en iptables :

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Tengo un proxy no transparente , hice la prueba igual se puede acceder sin proxy a internet su ayuda.

Saludos

la regla:

Enviado por deathUser en

Imagen de deathUser

la regla:
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

debería redireccionar todas las peticiones al puerto 80 hacia el puerto 3128 (el del squid) y eso configura un proxy transparente, siempre y cuando el LINUX en el que has agregado la regla esté haciendo de router/firewall de la red y sea el default router de las estaciones de trabajo, claro que vas a requerir agregar configuraciones en squid para que pueda servir peticiones de proxy transparente RTFM, si no quitas el ENMASCARAMIENTO O NAT las estaciones de trabajo van a seguir teniendo accesos a servicios sin proxy como por ejemplo páginas HTTPS (como facebook) sin pasar por el proxy ya que normalmente el tráfico HTTPS no puede ser "proxificado" de manera transparente ...

bye
;)

Hola como estas , ya he

Enviado por ebox en

Hola como estas , ya he solucionado el problema , faltaba reiniciar los servicios , quisiera saber cuantas tarjetas de red tengo que tener para hacer un balanceamiento de carga con dos lineas de internet . En mi caso tengo dos tarjetas la eth0 , eth1 aquí se conectarán las dos lineas de internet me faltaría una para conectar al switch está bien el escenario que planteo .

Saludos.

Páginas