[Ubuntu-ni] Ayuda con proxy transparente
Jorge Dávila
jorgedavilalopez en gmail.com
Vie Ene 4 19:05:24 GMT 2008
Wilbert,
Tu firewall está innecesariamente "complejo".
En principio, no deberías usar la cadena FORWARD para filtrar tráfico.
Para simplicidad de esta discusión, deberías usar la cadena INPUT de
la tabla filter para hacer el filtrado de paquetes -ese es el
propósito de esa tabla. Luego, en la cadena FORWARD nada más tener
reglas como esta:
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i $nic_interna $nic_externa -s $red_interna -j ACCEPT
iptables -A FORWARD -p all -j DROP
Nota que a la cadena FORWARD solo llegaran aquellos paquetes que han
sido permitidos en la cadena INPUT de la tabla filter.
Las reglas para permitir el tráfico en respuesta al tráfico que pasa a
través del firewall son las que te hacen falta (similares a --m state
--state RELATED,ESTABLISHED -j ACCEPT )
Saludos,
Jorge Dávila.
El 2/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
> En las maquinas de los clientes/usuarios no tengo seteado absolutamente
> nada.
>
> saludos
>
>
> On Jan 2, 2008 12:58 PM, Wilbert Rojas <wjrojas en gmail.com > wrote:
> > Feliz Año NUevo 2008 !!
> >
> > De antemano mis disculpas por no haber contestado antes, pero aqui les va
> una config donde tengo el firewall al millon.
> >
> > Consideraciones:
> > Solamente tengo una sola tarjeta de red que tiene el IP 10.0.0.65 de ahi
> solo permito los puertos comunes 110,53,25,21,22,80,etc luego mando a
> dropear todo.
> >
> > #!/bin/bash
> >
> > /sbin/iptables -F INPUT
> > /sbin/iptables -F OUTPUT
> > /sbin/iptables -F FORWARD
> > /sbin/iptables --t nat -F POSTROUTING
> > /sbin/iptables --t nat -F PREROUTING
> > echo 1 > /proc/sys/net/ipv4/ip_forward
> >
> >
> > #direccion IP del propio equipo
> > /sbin/iptables -A INPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
> >
> > /sbin/iptables -A INPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 3389 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 25 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 143 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 110 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 80 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 443 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 53 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 3306 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p udp
> --dport 53 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 995 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 9999 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 465 -j ACCEPT
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> --dport 22 -j ACCEPT
> >
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 3389
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 25
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 143
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 110
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 443
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 53
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 3306 -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p udp --dport 53
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 995
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 9999
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 465
> -j ACCEPT
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 22
> -j ACCEPT
> >
> >
> > /sbin/iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
> > /sbin/iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT
> >
> > /sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 0/0 -p tcp
> --dport 80 -j REDIRECT --to-port 8080
> >
> > /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> >
> > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
> > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
> >
> > /sbin/modprobe ip_conntrack_ftp
> > /sbin/modprobe ip_nat_ftp
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> >
> > On Dec 28, 2007 2:18 PM, Jorge Dávila <jorgedavilalopez en gmail.com> wrote:
> >
> > > La verdad, la cosa no es tanto así complicada. Siéntase libres de
> > > llamarme ( 4305462) si todavía no han resuelto el problema.
> > >
> > > Saludos,
> > >
> > > Jorge Dávila
> > >
> > > 2007/12/28, Jose Ernesto Davila Pantoja <
> josernestodavila en ubuntu.org.ni>:
> > >
> > >
> > >
> > > > Mae Wilbert, seria bueno alguna pista sobre como lo has hecho.
> > > >
> > > > 2007/12/29, Wilbert Rojas < wjrojas en gmail.com>:
> > > > > Si ustedes configuran sus browser entonces no hes transparente,
> transparente
> > > > > es que puedas navegar sin hacer cambios en su configuracion del
> navegador.
> > > > >
> > > > > Si tienen algun problema me avisan no se porque ustedes hacen eso Yo
> he
> > > > > configurado proxy transparente con los siguientes escenarios:
> > > > > 1 sola NIC en el servidor
> > > > > 2 NICs en el servidor
> > > > >
> > > > > en ambos escenarios mis aplicaciones tanto del emule,kazaa,utorrent,
> > > > > clientes de correo, ftp, etc siempre me han funcionado creo que el
> problema
> > > > > de ustedes es mas bien de las reglas del iptables que utilizan.
> > > > >
> > > > > saludos.
> > > > >
> > > > >
> > > > > On Dec 28, 2007 11:00 AM, Jose Ernesto Davila Pantoja <
> > > > > josernestodavila en ubuntu.org.ni > wrote:
> > > > >
> > > > > > OK esa era la duda existencial que tenia. Gracias garrobo mayor
> :-)
> > > > > >
> > > > > > 2007/12/28, @LeX < alexio44 en gmail.com >:
> > > > > > > eth0 >> coneccion a la internet {EXTERNO}
> > > > > > > eth1 >> coneccion red {INTERNA}
> > > > > > >
> > > > > > > Para poder hacer eso tenes que hacer un enmascaramiento de esas
> > > > > > interfacez
> > > > > > >
> > > > > > > y logicamente la que vas a poner como gateway en todas las
> maquinas de
> > > > > > la
> > > > > > > red interna es
> > > > > > > eth1 >> ya que es la INTERNA !
> > > > > > >
> > > > > > > todo el trafico sera recibida por eth1, por enmascaramiento sera
> > > > > > re-enviado
> > > > > > > a eth0 para luego salir a la internet
> > > > > > >
> > > > > > > Saludos
> > > > > > >
> > > > > > >
> > > > > > > On Dec 27, 2007 10:06 PM, Jose Ernesto Davila Pantoja <
> > > > > > > josernestodavila en ubuntu.org.ni> wrote:
> > > > > > >
> > > > > > > > estamos en la misma situacion. si configuro los navegadores
> todo
> > > > > > > > funca. mi duda esta en la configuracion de las dos interfaces:
> > > > > > > > suponiendo que eth0 se conecta a internet y eth1 a la red
> local, el gw
> > > > > > > > de eth1 debe ser eth0?
> > > > > > > >
> > > > > > > > --
> > > > > > > > Ubuntu-ni mailing list
> > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > Modify settings or unsubscribe at:
> > > > > > > >
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > Ing. Alejandro Rodriguez || @LeX
> > > > > > > Linux user # 379802
> > > > > > > kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> > > > > > > SUSE-ni >> http://suse-ni.blogspot.com/
> > > > > > >
> > > > > > > "Lo que es público, no tiene dueño"
> > > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > José Ernesto Dávila Pantoja
> > > > > > (alucardni)
> > > > > > http://josernestodavila.blogspot.com
> > > > > >
> > > > > > --
> > > > > > Ubuntu-ni mailing list
> > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > Modify settings or unsubscribe at:
> > > > > >
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > ...........................
> > > > > ...: Wilbert J. Rojas O. :...
> > > > > ...: Debian GNU/Linux Etch :...
> > > > > ...: Linux User #394389 :...
> > > > > ...: Managua, Nicaragua. :...
> > > > > .........................
> > > > >
> > > >
> > > >
> > > > --
> > > > José Ernesto Dávila Pantoja
> > > > (alucardni)
> > > > http://josernestodavila.blogspot.com
> > > >
> > > > --
> > > > Ubuntu-ni mailing list
> > > > Ubuntu-ni en lists.ubuntu.com
> > > > Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > >
> > >
> > >
> > > --
> > > Jorge Isaac Dávila López
> > > +505 430 5462
> > > jorgedavilalopez en gmail.com
> > > --
> > >
> > > [...] the security of a computer system or network is a function of
> > > many factors, including personnel, physical, procedural, compromising
> > > emanations, and computer security practices. [Kent & Seo » RFC 4301]
> > >
> > > --
> > >
> > >
> > >
> > > Ubuntu-ni mailing list
> > > Ubuntu-ni en lists.ubuntu.com
> > > Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > >
> >
> >
> >
> > --
> >
> >
> >
> > ...........................
> > ...: Wilbert J. Rojas O. :...
> > ...: Debian GNU/Linux Etch :...
> > ...: Linux User #394389 :...
> > ...: Managua, Nicaragua. :...
> > .........................
>
>
>
> --
>
> ...........................
> ...: Wilbert J. Rojas O. :...
> ...: Debian GNU/Linux Etch :...
> ...: Linux User #394389 :...
> ...: Managua, Nicaragua. :...
> .........................
> --
> Ubuntu-ni mailing list
> Ubuntu-ni en lists.ubuntu.com
> Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
>
>
--
Jorge Isaac Dávila López
+505 430 5462
jorgedavilalopez en gmail.com
--
[...] the security of a computer system or network is a function of
many factors, including personnel, physical, procedural, compromising
emanations, and computer security practices. [Kent & Seo » RFC 4301]
Más información sobre la lista de distribución Ubuntu-ni