Forums:
Estimados colegas, soy nuevo en el foro y de antemano agardezco vuestras respuesta; les comento mi caso:
Configure un Proxy Server y funciona OK, pero nesecito colocarlo como firewall para que proteja mi red, tengo la siguiente configracion de red:
Eth0 192.168.1.10 == red externa con salida a internet
Eth1 192.168.0.1 == red interna LAN
Actualmente mis equipos estan configurados con el IP 192.168.0.1 como puerta de enlace, eso quiere decir que el proxy debe estar en modo transparente:
http_port 192.168.0.1:3128 transparent
El problema que tengo es que cuanod ingreso a internet se detecta el proxy, ya que cuando ingreso a alguna pagina restringida me bloquea el proxy, pero cuando quiero acceder a una pagfina permitida se queda cargando y a las finales me sale un mensaje del proxy : the dns returned time out
Lo mas extraño es que en la barra de estado al parecer si resuelve la direccion pero no obtiene respuesta.
Para agregar algo mas, mis politicas por defecto esta en DROP!!!
Por favor espero me puedan ayudar con este tema.
y Aqui pego el script de iptables que tengo
#!/bin/sh
echo -n Aplicando Reglas de Firewall...
IPTABLES="/sbin/iptables"
## Instalando modulos
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
modprobe ip_conntrack_h323
modprobe ip_nat_h323
modprobe ipt_REJECT
modprobe ipt_TOS
modprobe ipt_MASQUERADE
modprobe ipt_LOG
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_nat_ftp
modprobe ip_nat_irc
#Limpiamos todas las reglas
$IPTABLES -F
$IPTABLES -X
$IPTABLES -Z
$IPTABLES -t nat -F
## Politica por defecto
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
## permitir Localhost
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
## Permitir todo al servidor
$IPTABLES -A INPUT -s 192.168.1.1 -j ACCEPT
$IPTABLES -A OUTPUT -d 192.168.1.1 -j ACCEPT
## Aceptar todo lo que viene de la LAN
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/24 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -d 192.168.0.0/24 -j ACCEPT
##Servidor: Proxy
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/24 -p tcp --dport 3128 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -d 192.168.0.0/24 -p tcp --sport 3128 -j ACCEPT
## Servidor: Permitir salida de IP privados
$IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128 || fail=1
#$IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
$IPTABLES -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 192.168.1.1
## Servidor: Permitir resolver DNS al servidor
$IPTABLES -A INPUT -i eth1 -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p udp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p udp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p udp --sport 53 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p tcp --sport 53 -j ACCEPT
## Servidor: Permitir PING
$IPTABLES -A INPUT -i eth1 -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p icmp --icmp-type echo-reply -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p icmp --icmp-type echo-request -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p icmp --icmp-type echo-reply -j ACCEPT
## Servidor: Permitir Conexiones a Webmin
$IPTABLES -A INPUT -i eth1 -s 192.168.0.0/24 -d 192.168.0.1 -p tcp --dport 10000 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -d 192.168.0.0/24 -s 192.168.0.1 -p tcp --sport 10000 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.1.1 -p tcp --dport 10000 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -d 0.0.0.0/0 -s 192.168.1.1 -p tcp --sport 10000 -j ACCEPT
## Servidor: Permitir resolver DNS de la red interna
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p udp --dport 53 -j ACCEPT || fail=1
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p udp --sport 53 -j ACCEPT || fail=1
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT || fail=1
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p tcp --sport 53 -j ACCEPT || fail=1
## Proxy
$IPTABLES -A FORWARD -i eth1 -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -j ACCEPT || fail=1
$IPTABLES -A FORWARD -o eth1 -i eth0 -d 192.168.0.0/24 -s 0.0.0.0/0 -m state --state RELATED,ESTABLISHED -j ACCEPT || fail=1
## Servidor: Puertos Http - Https
$IPTABLES -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 80 -j ACCEPT
$IPTABLES -A INPUT -i eth0 -p tcp --dport 443 -j ACCEPT
$IPTABLES -A OUTPUT -o eth0 -p tcp --sport 443 -j ACCEPT
$IPTABLES -A INPUT -i eth1 -p tcp --dport 430 -j ACCEPT
$IPTABLES -A OUTPUT -o eth1 -p tcp --sport 443 -j ACCEPT
## Aceptar peticiones y respuestas Http - Https
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p tcp --sport 80 -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p tcp --sport 443 -j ACCEPT
## Permitir resolver DNS de la red interna
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p udp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p udp --sport 53 -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p tcp --dport 53 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p tcp --sport 53 -j ACCEPT
## Permitir Protocolos de correo POP3-SMTP-IMAP
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p tcp --sport 110 -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p tcp --sport 25 -j ACCEPT
$IPTABLES -A FORWARD -i eth1 -s 192.168.0.0/24 -o eth0 -d 0.0.0.0/0 -p tcp --dport 993 -j ACCEPT
$IPTABLES -A FORWARD -o eth1 -d 192.168.0.0/24 -i eth0 -s 0.0.0.0/0 -p tcp --sport 993 -j ACCEPT
Tambien les copio el iptables -t nat -L -n
Chain PREROUTING (policy ACCEPT)
target prot opt source destination
REDIRECT tcp -- 192.168.0.0/24 0.0.0.0/0 tcp dpt:80 redir ports 3128
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.0.0/24 0.0.0.0/0 to:192.168.1.1
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
tambien postea las reglas
tambien postea las reglas pertinentes de tu squid!! parece tambien error del dns, tienes dns de cache??
En la regla que tienes de
En la regla que tienes de Postrouting no especificas ningún protocolo, por lo que sugiero que agregues a tu regla -p tcp , con eso debería funcionar sin problema.
Saludos,
aMIGOS
aMIGOS AUXILIOOOOOOOOOOOO!!!!
ya probe de todo, cuanod le quito esta linea
$IPTABLES -t nat -A PREROUTING -i eth1 -s 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128
navego normal, pero cuanod la habilito se da el problema, ya problema poniendo el IP en la direccion y tampoko me da respuesta... sera mi SQUID??
ZS
y compañero, lo ideal sería
y compañero, lo ideal sería saber que configuraste en el DNS cache
como veo el DNS cache??
como veo el DNS cache??
ZS
prueba con service named
prueba con
service named status