[Ubuntu-ni] Ayuda con proxy transparente
Wilbert Rojas
wjrojas en gmail.com
Vie Ene 4 20:14:40 GMT 2008
Yo tengo en ese equipo solamente una tarjeta de red de hecho tengo varios
equipos que estan funcionando usando ese esquema adicional a un servidor
proxy.
Pero bueno, para gustos lo colores la idea es ayudarle al brother que
necesitaba ayuda guia para resolver el problema, que por cierto no se ha
pronunciado.
Saludos.
On Jan 4, 2008 1:05 PM, Jorge Dávila <jorgedavilalopez en gmail.com> wrote:
> Wilbert,
>
> Tu firewall está innecesariamente "complejo".
>
> En principio, no deberías usar la cadena FORWARD para filtrar tráfico.
>
> Para simplicidad de esta discusión, deberías usar la cadena INPUT de
> la tabla filter para hacer el filtrado de paquetes -ese es el
> propósito de esa tabla. Luego, en la cadena FORWARD nada más tener
> reglas como esta:
>
> iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> iptables -A FORWARD -i $nic_interna $nic_externa -s $red_interna -j ACCEPT
> iptables -A FORWARD -p all -j DROP
>
> Nota que a la cadena FORWARD solo llegaran aquellos paquetes que han
> sido permitidos en la cadena INPUT de la tabla filter.
>
> Las reglas para permitir el tráfico en respuesta al tráfico que pasa a
> través del firewall son las que te hacen falta (similares a --m state
> --state RELATED,ESTABLISHED -j ACCEPT )
>
> Saludos,
>
> Jorge Dávila.
>
> El 2/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
> > En las maquinas de los clientes/usuarios no tengo seteado absolutamente
> > nada.
> >
> > saludos
> >
> >
> > On Jan 2, 2008 12:58 PM, Wilbert Rojas <wjrojas en gmail.com > wrote:
> > > Feliz Año NUevo 2008 !!
> > >
> > > De antemano mis disculpas por no haber contestado antes, pero aqui les
> va
> > una config donde tengo el firewall al millon.
> > >
> > > Consideraciones:
> > > Solamente tengo una sola tarjeta de red que tiene el IP 10.0.0.65 de
> ahi
> > solo permito los puertos comunes 110,53,25,21,22,80,etc luego mando a
> > dropear todo.
> > >
> > > #!/bin/bash
> > >
> > > /sbin/iptables -F INPUT
> > > /sbin/iptables -F OUTPUT
> > > /sbin/iptables -F FORWARD
> > > /sbin/iptables --t nat -F POSTROUTING
> > > /sbin/iptables --t nat -F PREROUTING
> > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > >
> > >
> > > #direccion IP del propio equipo
> > > /sbin/iptables -A INPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> ACCEPT
> > >
> > > /sbin/iptables -A INPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 3389 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 25 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 143 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 110 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 80 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 443 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 53 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 3306 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p udp
> > --dport 53 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 995 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 9999 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 465 -j ACCEPT
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
> > --dport 22 -j ACCEPT
> > >
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 3389
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 25
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 143
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 110
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 443
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 53
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> > 3306 -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p udp --dport
> 53
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 995
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 9999
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 465
> > -j ACCEPT
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport
> 22
> > -j ACCEPT
> > >
> > >
> > > /sbin/iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
> > > /sbin/iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT
> > >
> > > /sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 0/0 -p tcp
> > --dport 80 -j REDIRECT --to-port 8080
> > >
> > > /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> > >
> > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
> > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
> > >
> > > /sbin/modprobe ip_conntrack_ftp
> > > /sbin/modprobe ip_nat_ftp
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > >
> > > On Dec 28, 2007 2:18 PM, Jorge Dávila <jorgedavilalopez en gmail.com>
> wrote:
> > >
> > > > La verdad, la cosa no es tanto así complicada. Siéntase libres de
> > > > llamarme ( 4305462) si todavía no han resuelto el problema.
> > > >
> > > > Saludos,
> > > >
> > > > Jorge Dávila
> > > >
> > > > 2007/12/28, Jose Ernesto Davila Pantoja <
> > josernestodavila en ubuntu.org.ni>:
> > > >
> > > >
> > > >
> > > > > Mae Wilbert, seria bueno alguna pista sobre como lo has hecho.
> > > > >
> > > > > 2007/12/29, Wilbert Rojas < wjrojas en gmail.com>:
> > > > > > Si ustedes configuran sus browser entonces no hes transparente,
> > transparente
> > > > > > es que puedas navegar sin hacer cambios en su configuracion del
> > navegador.
> > > > > >
> > > > > > Si tienen algun problema me avisan no se porque ustedes hacen
> eso Yo
> > he
> > > > > > configurado proxy transparente con los siguientes escenarios:
> > > > > > 1 sola NIC en el servidor
> > > > > > 2 NICs en el servidor
> > > > > >
> > > > > > en ambos escenarios mis aplicaciones tanto del
> emule,kazaa,utorrent,
> > > > > > clientes de correo, ftp, etc siempre me han funcionado creo que
> el
> > problema
> > > > > > de ustedes es mas bien de las reglas del iptables que utilizan.
> > > > > >
> > > > > > saludos.
> > > > > >
> > > > > >
> > > > > > On Dec 28, 2007 11:00 AM, Jose Ernesto Davila Pantoja <
> > > > > > josernestodavila en ubuntu.org.ni > wrote:
> > > > > >
> > > > > > > OK esa era la duda existencial que tenia. Gracias garrobo
> mayor
> > :-)
> > > > > > >
> > > > > > > 2007/12/28, @LeX < alexio44 en gmail.com >:
> > > > > > > > eth0 >> coneccion a la internet {EXTERNO}
> > > > > > > > eth1 >> coneccion red {INTERNA}
> > > > > > > >
> > > > > > > > Para poder hacer eso tenes que hacer un enmascaramiento de
> esas
> > > > > > > interfacez
> > > > > > > >
> > > > > > > > y logicamente la que vas a poner como gateway en todas las
> > maquinas de
> > > > > > > la
> > > > > > > > red interna es
> > > > > > > > eth1 >> ya que es la INTERNA !
> > > > > > > >
> > > > > > > > todo el trafico sera recibida por eth1, por enmascaramiento
> sera
> > > > > > > re-enviado
> > > > > > > > a eth0 para luego salir a la internet
> > > > > > > >
> > > > > > > > Saludos
> > > > > > > >
> > > > > > > >
> > > > > > > > On Dec 27, 2007 10:06 PM, Jose Ernesto Davila Pantoja <
> > > > > > > > josernestodavila en ubuntu.org.ni> wrote:
> > > > > > > >
> > > > > > > > > estamos en la misma situacion. si configuro los
> navegadores
> > todo
> > > > > > > > > funca. mi duda esta en la configuracion de las dos
> interfaces:
> > > > > > > > > suponiendo que eth0 se conecta a internet y eth1 a la red
> > local, el gw
> > > > > > > > > de eth1 debe ser eth0?
> > > > > > > > >
> > > > > > > > > --
> > > > > > > > > Ubuntu-ni mailing list
> > > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > > Modify settings or unsubscribe at:
> > > > > > > > >
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > Ing. Alejandro Rodriguez || @LeX
> > > > > > > > Linux user # 379802
> > > > > > > > kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> > > > > > > > SUSE-ni >> http://suse-ni.blogspot.com/
> > > > > > > >
> > > > > > > > "Lo que es público, no tiene dueño"
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > José Ernesto Dávila Pantoja
> > > > > > > (alucardni)
> > > > > > > http://josernestodavila.blogspot.com
> > > > > > >
> > > > > > > --
> > > > > > > Ubuntu-ni mailing list
> > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > Modify settings or unsubscribe at:
> > > > > > >
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > ...........................
> > > > > > ...: Wilbert J. Rojas O. :...
> > > > > > ...: Debian GNU/Linux Etch :...
> > > > > > ...: Linux User #394389 :...
> > > > > > ...: Managua, Nicaragua. :...
> > > > > > .........................
> > > > > >
> > > > >
> > > > >
> > > > > --
> > > > > José Ernesto Dávila Pantoja
> > > > > (alucardni)
> > > > > http://josernestodavila.blogspot.com
> > > > >
> > > > > --
> > > > > Ubuntu-ni mailing list
> > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > Modify settings or unsubscribe at:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > >
> > > >
> > > >
> > > > --
> > > > Jorge Isaac Dávila López
> > > > +505 430 5462
> > > > jorgedavilalopez en gmail.com
> > > > --
> > > >
> > > > [...] the security of a computer system or network is a function of
> > > > many factors, including personnel, physical, procedural,
> compromising
> > > > emanations, and computer security practices. [Kent & Seo » RFC
> 4301]
> > > >
> > > > --
> > > >
> > > >
> > > >
> > > > Ubuntu-ni mailing list
> > > > Ubuntu-ni en lists.ubuntu.com
> > > > Modify settings or unsubscribe at:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > >
> > >
> > >
> > >
> > > --
> > >
> > >
> > >
> > > ...........................
> > > ...: Wilbert J. Rojas O. :...
> > > ...: Debian GNU/Linux Etch :...
> > > ...: Linux User #394389 :...
> > > ...: Managua, Nicaragua. :...
> > > .........................
> >
> >
> >
> > --
> >
> > ...........................
> > ...: Wilbert J. Rojas O. :...
> > ...: Debian GNU/Linux Etch :...
> > ...: Linux User #394389 :...
> > ...: Managua, Nicaragua. :...
> > .........................
> > --
> > Ubuntu-ni mailing list
> > Ubuntu-ni en lists.ubuntu.com
> > Modify settings or unsubscribe at:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> >
> >
>
>
> --
> Jorge Isaac Dávila López
> +505 430 5462
> jorgedavilalopez en gmail.com
> --
>
> [...] the security of a computer system or network is a function of
> many factors, including personnel, physical, procedural, compromising
> emanations, and computer security practices. [Kent & Seo » RFC 4301]
>
> --
> Ubuntu-ni mailing list
> Ubuntu-ni en lists.ubuntu.com
> Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
>
--
...........................
...: Wilbert J. Rojas O. :...
...: Debian GNU/Linux Etch :...
...: Linux User #394389 :...
...: Managua, Nicaragua. :...
.........................
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ni/attachments/20080104/a87d7da5/attachment.htm
Más información sobre la lista de distribución Ubuntu-ni