[Ubuntu-ni] Ayuda con proxy transparente

Wilbert Rojas wjrojas en gmail.com
Mie Ene 2 19:00:55 GMT 2008 

En las maquinas de los clientes/usuarios no tengo seteado absolutamente
nada.

saludos

On Jan 2, 2008 12:58 PM, Wilbert Rojas <wjrojas en gmail.com> wrote:

> Feliz Año NUevo 2008 !!
>
> De antemano mis disculpas por no haber contestado antes, pero aqui les va
> una config donde tengo el firewall al millon.
>
> Consideraciones:
> Solamente tengo una sola tarjeta de red que tiene el IP 10.0.0.65 de ahi
> solo permito los puertos comunes 110,53,25,21,22,80,etc luego mando a
> dropear todo.
>
> #!/bin/bash
>
>    /sbin/iptables -F INPUT
>    /sbin/iptables -F OUTPUT
>    /sbin/iptables -F FORWARD
>    /sbin/iptables --t nat -F POSTROUTING
>    /sbin/iptables --t nat -F PREROUTING
>    echo 1 > /proc/sys/net/ipv4/ip_forward
>
>
>    #direccion IP del propio equipo
>    /sbin/iptables -A INPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
>
>    /sbin/iptables -A INPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 3389 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 25 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 143 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 110 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 80 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 443 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 53 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 3306 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p udp
> --dport 53 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 995 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 9999 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 465 -j ACCEPT
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 22 -j ACCEPT
>
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 3389
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 25
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 143
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 110
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 443
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 53
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0   -p tcp --dport
> 3306 -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p udp --dport 53
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 995
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 9999
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 465
> -j ACCEPT
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0  -p tcp --dport 22
> -j ACCEPT
>
>
>    /sbin/iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
>    /sbin/iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT
>
>    /sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 0/0 -p tcp
> --dport 80 -j REDIRECT --to-port 8080
>
>    /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
>
>    /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
>    /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
>
>    /sbin/modprobe ip_conntrack_ftp
>    /sbin/modprobe ip_nat_ftp
>
>
>
>
>
>
>
>
> On Dec 28, 2007 2:18 PM, Jorge Dávila <jorgedavilalopez en gmail.com> wrote:
>
> > La verdad, la cosa no es tanto así complicada. Siéntase libres de
> > llamarme ( 4305462) si todavía no han resuelto el problema.
> >
> > Saludos,
> >
> > Jorge Dávila
> >
> > 2007/12/28, Jose Ernesto Davila Pantoja < josernestodavila en ubuntu.org.ni
> > >:
> > > Mae Wilbert, seria bueno alguna pista sobre como lo has hecho.
> > >
> > > 2007/12/29, Wilbert Rojas < wjrojas en gmail.com>:
> > > > Si ustedes configuran sus browser entonces no hes transparente,
> > transparente
> > > > es que puedas navegar sin hacer cambios en su configuracion del
> > navegador.
> > > >
> > > > Si tienen algun problema me avisan no se porque ustedes hacen eso Yo
> > he
> > > > configurado proxy transparente con los siguientes escenarios:
> > > > 1 sola NIC en el servidor
> > > > 2 NICs en el servidor
> > > >
> > > > en ambos escenarios mis aplicaciones tanto del emule,kazaa,utorrent,
> > > > clientes de correo, ftp, etc siempre me han funcionado creo que el
> > problema
> > > > de ustedes es mas bien de las reglas del iptables que utilizan.
> > > >
> > > > saludos.
> > > >
> > > >
> > > > On Dec 28, 2007 11:00 AM, Jose Ernesto Davila Pantoja <
> > > > josernestodavila en ubuntu.org.ni > wrote:
> > > >
> > > > > OK esa era la duda existencial que tenia. Gracias garrobo mayor
> > :-)
> > > > >
> > > > > 2007/12/28, @LeX <alexio44 en gmail.com >:
> > > > > > eth0 >> coneccion a la internet {EXTERNO}
> > > > > > eth1 >> coneccion red {INTERNA}
> > > > > >
> > > > > > Para poder hacer eso tenes que hacer un enmascaramiento de esas
> > > > > interfacez
> > > > > >
> > > > > > y logicamente la que vas a poner como gateway en todas las
> > maquinas de
> > > > > la
> > > > > > red interna es
> > > > > > eth1 >> ya que es la INTERNA !
> > > > > >
> > > > > > todo el trafico sera recibida por eth1, por enmascaramiento sera
> > > > > re-enviado
> > > > > > a eth0 para luego salir a la internet
> > > > > >
> > > > > > Saludos
> > > > > >
> > > > > >
> > > > > > On Dec 27, 2007 10:06 PM, Jose Ernesto Davila Pantoja <
> > > > > > josernestodavila en ubuntu.org.ni> wrote:
> > > > > >
> > > > > > > estamos en la misma situacion. si configuro los navegadores
> > todo
> > > > > > > funca. mi duda esta en la configuracion de las dos interfaces:
> >
> > > > > > > suponiendo que eth0 se conecta a internet y eth1 a la red
> > local, el gw
> > > > > > > de eth1 debe ser eth0?
> > > > > > >
> > > > > > > --
> > > > > > > Ubuntu-ni mailing list
> > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > Modify settings or unsubscribe at:
> > > > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Ing. Alejandro Rodriguez  || @LeX
> > > > > > Linux user # 379802
> > > > > > kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> > > > > > SUSE-ni >> http://suse-ni.blogspot.com/
> > > > > >
> > > > > > "Lo que es público, no tiene dueño"
> > > > > >
> > > > >
> > > > >
> > > > > --
> > > > > José Ernesto Dávila Pantoja
> > > > > (alucardni)
> > > > > http://josernestodavila.blogspot.com
> > > > >
> > > > > --
> > > > > Ubuntu-ni mailing list
> > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > Modify settings or unsubscribe at:
> > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > >      ...........................
> > > > ...:    Wilbert J. Rojas O.  :...
> > > > ...: Debian GNU/Linux Etch :...
> > > > ...:   Linux User #394389    :...
> > > > ...:    Managua, Nicaragua.  :...
> > > >       .........................
> > > >
> > >
> > >
> > > --
> > > José Ernesto Dávila Pantoja
> > > (alucardni)
> > > http://josernestodavila.blogspot.com
> > >
> > > --
> > > Ubuntu-ni mailing list
> > > Ubuntu-ni en lists.ubuntu.com
> > > Modify settings or unsubscribe at: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> >
> > >
> >
> >
> > --
> > Jorge Isaac Dávila López
> > +505 430 5462
> > jorgedavilalopez en gmail.com
> > --
> >
> > [...] the security of a computer system or network is a function of
> > many factors, including personnel, physical, procedural, compromising
> > emanations,  and computer security practices. [Kent & Seo » RFC 4301]
> >
> > --
> > Ubuntu-ni mailing list
> > Ubuntu-ni en lists.ubuntu.com
> > Modify settings or unsubscribe at: https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> >
> >
>
>
>
> --
>
>      ...........................
> ...:    Wilbert J. Rojas O.  :...
> ...: Debian GNU/Linux Etch :...
> ...:   Linux User #394389    :...
> ...:    Managua, Nicaragua.  :...
>       .........................
>



-- 
     ...........................
...:    Wilbert J. Rojas O.  :...
...: Debian GNU/Linux Etch :...
...:   Linux User #394389    :...
...:    Managua, Nicaragua.  :...
      .........................
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ni/attachments/20080102/81353da9/attachment.htm

Más información sobre la lista de distribución Ubuntu-ni