Forums:
Acabo de configurar un servidor proxy squid transparente, puedo navegar por la red sin problemas pero cuando kiero acceder a las paginas de correo(yahoo, hotmail, gmail, entre otros), no logro accesar a k puede deberse esta situacion, ¿Alguien podria asesorarme?, la configuracion k utilizo es la siguiente:
para el archivo squid.conf:
*******************************************************
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl permitidos src "/etc/squid/directions"
acl deny_sites url_regex "/etc/squid/deny_sites"
acl deny_files urlpath_regex "/etc/squid/deny_files"
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# "Esto viene por defaul'
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# "http's Access agregados"
http_access allow localhost
http_access deny deny_files
http_access deny deny_sites
http_access allow permitidos
http_access deny all
******************************************************
tengo un archivo firewall.sh con lo siguiente:
//////////////////////////////////////////////////////
#limpieza general de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
#politica por defecto para lo que cruza
iptables -P FORWARD DROP
#crear conexion de tarjetas y salida de LAN a internet
echo 1 >/proc/sys/net/ipv4/ip_forward
#generar salida de la red LAN hacia el internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
#forzar a que toda salida http pase por Squid
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#permitir salida de DNS
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
iptables -A FORWARD -p udp --sport 53 -j ACCEPT
#permitir salida al puerto FTP
iptables -A FORWARD -p tcp --dport 20:21 -j ACCEPT
iptables -A FORWARD -p tcp --sport 20:21 -j ACCEPT
//////////////////////////////////////////////////////////
Anteriormente habia levantado otro proxy, el cual tenia dos intefaces de red Eth0 y Eth1 respectivamente. En las estaciones de trabajo si yo keria comprobar conexion con la puerta de enlace y el dns establecido de forma estatica a traves de un ping me arrojaba datos satisfactorios pero ahora solo establece conexion con la puerta de enlace y con el dns no obtengo ningun resultado solo me informa que tiempo de espera se ha agotado, ¿quizas tenga k ver la configuracion de las tarjetas de red? de antemano agradesco cualquier ayuda y asesoria.
Atte:osopal
Problemas para acceder a las paginas de correo con un proxy squi
Problema un poco raro, si puedes navegar a traves de tu proxy deberías ver las páginas de correos que mencionas en cuestión. Yo recuerdo una vez que instalando un Squid en Debian me sucedia algo parecido porque el trae (no se ahora) el puerto 443 bloqueado por defecto y este puerto lo utulizan casi todos (Gmail, Yahoo, etc) mira ver si por aho anda el asunto. Por otra parte espero que esas direcciones no estén en tu fichero:
acl deny_sites url_regex "/etc/squid/deny_sites" 8)
No dices que distribución usas .... pero espero que ya tengas este manual:
http://www.com-sl.org/docs/joel_barrios/Implementacion_Servidores_Linux-SEPTIEMBRE-20090910.pdf.tar.bz2
salu2
Comunidad del Software Libre
Lic. Burjans L. Garcia. Disotuar
Com-SL http://www.com-sl.org
Versiones
Utilizo la distribucion de fedora 9, y conrespecto a squid es la version 3 espero k esto pueda ayudar un poco mas, por cierto en el archivo deny_sites solo se encuentran paginas de videos,peliculas e imagenes, las paginas de correo no estan bloqueadas en ningun momento gracias nuevamente
Squid tenia bloqueado el
Squid tenia bloqueado el puerto de SSL 443, seguro, lo dudo, el problema radica en que squid es un proxy HTTP más no HTTPS (osea 443), aqui es cuando se debe por medio de Iptables y hacer un FORWARD de el mensionado puerto:
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
Con eso tendrás acceso a los sitios que usen HTTPS.
Ya hice forward al puerto 443
Ya hice forward al puerto 443 k me sugeriste pero sigo sin tener acceso a las paginas de correo, alguna otra sugerencia, gracias te agradesco la ayuda
iptables -P FORWARD
iptables -P FORWARD DROP
Debes revisar esa regla
luis eduardo parrales g.
Cual crees k sea el problema
Cual crees k sea el problema con esta regla, k puede tener de particular
Con esa regla estás
Con esa regla estás descartando todo el tráfico que va en forward, en otras palabras cierras el tráfico a todos los puertos. Luego en tu script solo redireccionas el tráfico del puerto 80 al squid, y dejas pasar el 20-21 y 53. Todo lo demas queda descartado por default.
En otras palabras tiene que habilitar el forward al puerto 443
iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp --sport 443 -j ACCEPT
Si con esto no te funciona, quitala =P y acepta el forward
iptables -A FORWARD -i eth1 -j ACCEPT
Suponiendo que eth1 es tu interfaz de LAN
http://poquiblog.blogspot.com/
iptables -p FORWARD DROP se
iptables -p FORWARD DROP se refiere a la política pro defecto de la cadena de FORWARD, pero así este en DROP, si se hace accept del puerto en mencion debería poder salir, quizás sea algo más alguna ACL que este denegando.
Problemas con Squid
Hola osopal lei tu problema y weno por lo q segun veo en tu squid.conf en tus acl no has definido tu redlocal, bueno es lo que veo , deberia haber algo asi:
acl mired src 192.168.1.0/24, con su respectiva regla de control de acceso
Ahora veo que usa un firewall con DROP como politica por defecto las reglas serian algo diferente a lo que hiciste, claro que deberias abrir los puertos 80 (http) y 443 (https) para acceder a las paginas que deseas te dejo algunas reglas que yo uso para abrir puertos...cuando se trata de DROP como politicas x defecto ....
PNPV:"1024:65535"
#ACCESO A LOS SERVICIOS WEB EXTERNOS
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -s $LAN --sport $PNPV --dport 80 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED ! --syn --sport 80 -d $LAN --dport $PNPV -j ACCEPT
#ACCESO A SERVIDORES HTTPS EXTERNOS (SERVIDORES DE CORREO VIA WEB, POR EJEMPLO : GOOGLE, YAHOO, HOTMAIL)
iptables -A FORWARD -p tcp -m state --state NEW,ESTABLISHED -s $LAN --sport $PNPV --dport 443 -j ACCEPT
iptables -A FORWARD -p tcp -m state --state ESTABLISHED,RELATED ! --syn --sport 443 -d $LAN --dport $PNPV -j ACCEPT
spero te ayude revisa informacion sobre estados de paquetes....
######richard007####
---------richard007-----------
Red Hat Certified Technician
Linux Registered User # 493753
RedLinux SRL www.redlinux.com.pe
www.colisol.org
Hola richard gracias por los
Hola richard gracias por los comentarios k me hiciste llegar, he solucionado el problema de acceso a las paginas de correo, ahora intento integrar una regla k permita k una de las ip's de mi intranet tenga acceso a todo sin restriccion alguna de cualquier puerto, espero tengas algunas opciones para mi intencion, de antemano agradesco cualquier aporte.
atte: osopal
Páginas