Proxy transparente + proxy no transparente

Imagen de falcom

Forums: 

Tengo una duda pueden convivir en un proxy/firewall las 2 configuraciones, una de un proxy transparente y otra configuracion en el q se coloque la dir_ip:pto del proxy en los browsers... es decir pueden las 2 configuraciones aplicarse en una LAN.
para la 2da opcion en la q se coloca la ip:pto del proxy funciona bien estas son las reglas q han colocado:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to 192.168.0.1:8080
iptables -t nat -A POSTROUTING -s 192.168.0.0/22 -o eth1 -j MASQUERADE
...
echo 1 > /proc/sys/net/ipv4/ip_forward

ademas en el archivo squid.conf

http_port 8080 transparent

eth0=Lan
eth1=exterior
pero la configuracion de proxy transparente no funca donde podria estar el error??
PD: los clientes de la lan no dan ping hacia afuera... pero tienen como gw a la ip del proxy
Gracias

Pueden convivir sin

Imagen de deathUser

Pueden convivir sin problemas, pero para que funcione el proxy transparente, los clientes deben poder resolver nombres, ya que la petición no es interceptada, sino hasta después de que la resolución de nombres se realiza ...

Tienes bloqueado el ping ...??? ya que veo que estás enmascarando si no lo tienes bloqueado los clientes deberían poder hacer ping hacia cualquier red de fuera, verifica las rutas, haz un tracerote digo traceroute o tracert desde un cliente según aplique ...

bye
;)

no tienen bloqueado el

Imagen de falcom

no tienen bloqueado el ping... pero igual siguen sin dar ping afuera
al hacerlo desde un cliente mira

ping www.google.com
ping: unknown host www.google.com


traceroute www.google.com
www.google.com: Nombre o servicio desconocido
Cannot handle "host" cmdline arg `www.google.com' on position 1 (argc 1)

los clientes tienen una ip fija y como gw la ip del proxy y en el proxy verifique q los dns del isp esten correctos

cat /etc/resolv.conf

y estan bien... alguna otra idea gracias

Creo que tú mismo te has

Imagen de deathUser

Creo que tú mismo te has contestado:
[quote]ping www.google.com
ping: unknown host www.google.com[/quote]

Esto es desde el cliente supongo ??? como ves, no pueden resolver nombres, quien es el DNS de los clientes ...???

El server supongo puede resolver nombres, probaste con nslookup o similares la resolución de nombres en los clientes ...???

los clientes son linux o güin2...???

bye
;)

sip es desde los clientes q

Imagen de falcom

sip es desde los clientes q son mixtos windoze (en su mayoria) y algunos linux, el dns de los clientes es la ip eth0 del proxy (192.168.0.1) igual el gw
En el server de una resuelve...


nslookup www.google.com
;; connection timed out; no servers could be reached

eso bota desde un cliente..

pues diría yo que, o no está

Imagen de deathUser

pues diría yo que, o no está instalado un dns de caché en tu server o no está declarada la red interna para que se pueda conectar al server dns-cache, revisa esa configuración y creo que solucionas tu problema ...

bye
;)

Tenias razon no le habian

Imagen de falcom

Tenias razon no le habian agregado la subred en el named.conf
ahora los clientes ya navegan con o sin proxy, pero me queda una duda, al hacer ping desde una pc de la lan resuelve la ip pero no hace ping

ping www.google.com
haciendo ping a www.l.google.com (74.125.47.106) con 32 bits de datos:
Tiempo de espera agotado para esta solicitud.
...
...

el named.conf lo deje asi en la parte pertinente de options:

options {
allow-recursion { 192.168.0.0/22; 127.0.0.1; };
allow-query { 192.168.0.0/22; 127.0.0.1; };
directory "/var/named";
dump-file "/var/named/data/cache_dump.db";
statistics-file "/var/named/data/named_stats.txt";
forwarders { 190.12.61.2; 200.105.225.2; };
forward only;
};

en el firewall esta la linea q abre el pto 53 asi

iptables -A INPUT -s 192.168.0.0/22 -p udp --dport 53 -j ACCEPT

y en el resolv.conf esta unicamente el 127.0.0.1 (x los forwards con los dns de arriba)
ya revise y no esta bloqueado los pings en el firewall, dame una ultima ayuda!

Lo del ping no tiene relación

Imagen de deathUser

Lo del ping no tiene relación con el DNS, una vez resuelto el nombre el paquete va por IP, no se si has probado con traceroute a ver si está cogiendo la ruta adecuada y no se te están quedando los paquetes en otro lado ...

Veo que tienes la regla para enmascarar como:


iptables -t nat -A POSTROUTING -s 192.168.0.0/22 -o eth1 -j MASQUERADE

Asumo que la máscara de tu red es la adecuada y que tu interfaz conectada al internet es la eth1 en el firewall, si es así está correcto aparentemente...

No se si te falte una regla como:


iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Para aceptar los paquetes relacionados a una conexión ...

La verdad yo no hago scripts de iptables así a puño limpio, es mejor usar scripts como el arno por ejemplo ;)

Suerte ...

bye
;)

es correcto en esa regla la

Imagen de falcom

es correcto en esa regla la eth1 es la nic conectada a inet y la mascara y red estan bien, al hacer traceroute se resuelve a travez de la ip del proxy (osea esta bien) pero nunca llega a su destino...
Voy a seguir probando
thnx
PD: Yo en cambio hago estos scripts a pata... }:) me gusta ir probando nuevas cosas asi se aprende mas....