[Ubuntu-ni] Ayuda con proxy transparente
@LeX
alexio44 en gmail.com
Vie Ene 4 20:30:55 GMT 2008
y vos como lo resolviste ... ???
estoy sacando las diferencias [pro/contras] de las dos soluciones ya
planteadas .----
On Jan 4, 2008 2:28 PM, Jose Ernesto Davila Pantoja <
josernestodavila en ubuntu.org.ni> wrote:
> Me pronuncio,
>
> El clavo lo resolvi antes de que escribieras la configuracion de tu
> firewall. Pero igual se agradece tu aporte.
>
> El día 4/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
>
> > Yo tengo en ese equipo solamente una tarjeta de red de hecho tengo
> > varios equipos que estan funcionando usando ese esquema adicional a un
> > servidor proxy.
> >
> > Pero bueno, para gustos lo colores la idea es ayudarle al brother que
> > necesitaba ayuda guia para resolver el problema, que por cierto no se ha
> > pronunciado.
> >
> >
> > Saludos.
> >
> > On Jan 4, 2008 1:05 PM, Jorge Dávila < jorgedavilalopez en gmail.com>
> > wrote:
> >
> > > Wilbert,
> > >
> > > Tu firewall está innecesariamente "complejo".
> > >
> > > En principio, no deberías usar la cadena FORWARD para filtrar tráfico.
> > >
> > > Para simplicidad de esta discusión, deberías usar la cadena INPUT de
> > > la tabla filter para hacer el filtrado de paquetes -ese es el
> > > propósito de esa tabla. Luego, en la cadena FORWARD nada más tener
> > > reglas como esta:
> > >
> > > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> > > iptables -A FORWARD -i $nic_interna $nic_externa -s $red_interna -j
> > > ACCEPT
> > > iptables -A FORWARD -p all -j DROP
> > >
> > > Nota que a la cadena FORWARD solo llegaran aquellos paquetes que han
> > > sido permitidos en la cadena INPUT de la tabla filter.
> > >
> > > Las reglas para permitir el tráfico en respuesta al tráfico que pasa a
> > > través del firewall son las que te hacen falta (similares a --m state
> > > --state RELATED,ESTABLISHED -j ACCEPT )
> > >
> > > Saludos,
> > >
> > > Jorge Dávila.
> > >
> > > El 2/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
> > > > En las maquinas de los clientes/usuarios no tengo seteado
> > > absolutamente
> > > > nada.
> > > >
> > > > saludos
> > > >
> > > >
> > > > On Jan 2, 2008 12:58 PM, Wilbert Rojas <wjrojas en gmail.com > wrote:
> > > > > Feliz Año NUevo 2008 !!
> > > > >
> > > > > De antemano mis disculpas por no haber contestado antes, pero aqui
> > > les va
> > > > una config donde tengo el firewall al millon.
> > > > >
> > > > > Consideraciones:
> > > > > Solamente tengo una sola tarjeta de red que tiene el IP 10.0.0.65de ahi
> > > > solo permito los puertos comunes 110,53,25,21,22,80,etc luego mando
> > > a
> > > > dropear todo.
> > > > >
> > > > > #!/bin/bash
> > > > >
> > > > > /sbin/iptables -F INPUT
> > > > > /sbin/iptables -F OUTPUT
> > > > > /sbin/iptables -F FORWARD
> > > > > /sbin/iptables --t nat -F POSTROUTING
> > > > > /sbin/iptables --t nat -F PREROUTING
> > > > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > > > >
> > > > >
> > > > > #direccion IP del propio equipo
> > > > > /sbin/iptables -A INPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> > > ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.65/255.255.255.255 -d 0/0
> > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> > > ACCEPT
> > > > >
> > > > > /sbin/iptables -A INPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > > ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 3389 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 25 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 143 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 110 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 80 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 443 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 53 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 3306 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > udp
> > > > --dport 53 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 995 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 9999 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 465 -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > > tcp
> > > > --dport 22 -j ACCEPT
> > > > >
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 3389
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 25
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 143
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 110
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 443
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 53
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport
> > > > 3306 -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p udp
> > > --dport 53
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 995
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 9999
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 465
> > > > -j ACCEPT
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > --dport 22
> > > > -j ACCEPT
> > > > >
> > > > >
> > > > > /sbin/iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
> > > > > /sbin/iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT
> > > > >
> > > > > /sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 0/0 -p
> > > tcp
> > > > --dport 80 -j REDIRECT --to-port 8080
> > > > >
> > > > > /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> > > > >
> > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > > DROP
> > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > > DROP
> > > > >
> > > > > /sbin/modprobe ip_conntrack_ftp
> > > > > /sbin/modprobe ip_nat_ftp
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > >
> > > > > On Dec 28, 2007 2:18 PM, Jorge Dávila < jorgedavilalopez en gmail.com>
> > > wrote:
> > > > >
> > > > > > La verdad, la cosa no es tanto así complicada. Siéntase libres
> > > de
> > > > > > llamarme ( 4305462) si todavía no han resuelto el problema.
> > > > > >
> > > > > > Saludos,
> > > > > >
> > > > > > Jorge Dávila
> > > > > >
> > > > > > 2007/12/28, Jose Ernesto Davila Pantoja <
> > > > josernestodavila en ubuntu.org.ni>:
> > > > > >
> > > > > >
> > > > > >
> > > > > > > Mae Wilbert, seria bueno alguna pista sobre como lo has hecho.
> > > > > > >
> > > > > > > 2007/12/29, Wilbert Rojas < wjrojas en gmail.com>:
> > > > > > > > Si ustedes configuran sus browser entonces no hes
> > > transparente,
> > > > transparente
> > > > > > > > es que puedas navegar sin hacer cambios en su configuracion
> > > del
> > > > navegador.
> > > > > > > >
> > > > > > > > Si tienen algun problema me avisan no se porque ustedes
> > > hacen eso Yo
> > > > he
> > > > > > > > configurado proxy transparente con los siguientes
> > > escenarios:
> > > > > > > > 1 sola NIC en el servidor
> > > > > > > > 2 NICs en el servidor
> > > > > > > >
> > > > > > > > en ambos escenarios mis aplicaciones tanto del
> > > emule,kazaa,utorrent,
> > > > > > > > clientes de correo, ftp, etc siempre me han funcionado creo
> > > que el
> > > > problema
> > > > > > > > de ustedes es mas bien de las reglas del iptables que
> > > utilizan.
> > > > > > > >
> > > > > > > > saludos.
> > > > > > > >
> > > > > > > >
> > > > > > > > On Dec 28, 2007 11:00 AM, Jose Ernesto Davila Pantoja <
> > > > > > > > josernestodavila en ubuntu.org.ni > wrote:
> > > > > > > >
> > > > > > > > > OK esa era la duda existencial que tenia. Gracias garrobo
> > > mayor
> > > > :-)
> > > > > > > > >
> > > > > > > > > 2007/12/28, @LeX < alexio44 en gmail.com >:
> > > > > > > > > > eth0 >> coneccion a la internet {EXTERNO}
> > > > > > > > > > eth1 >> coneccion red {INTERNA}
> > > > > > > > > >
> > > > > > > > > > Para poder hacer eso tenes que hacer un enmascaramiento
> > > de esas
> > > > > > > > > interfacez
> > > > > > > > > >
> > > > > > > > > > y logicamente la que vas a poner como gateway en todas
> > > las
> > > > maquinas de
> > > > > > > > > la
> > > > > > > > > > red interna es
> > > > > > > > > > eth1 >> ya que es la INTERNA !
> > > > > > > > > >
> > > > > > > > > > todo el trafico sera recibida por eth1, por
> > > enmascaramiento sera
> > > > > > > > > re-enviado
> > > > > > > > > > a eth0 para luego salir a la internet
> > > > > > > > > >
> > > > > > > > > > Saludos
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > On Dec 27, 2007 10:06 PM, Jose Ernesto Davila Pantoja <
> > > > > > > > > > josernestodavila en ubuntu.org.ni> wrote:
> > > > > > > > > >
> > > > > > > > > > > estamos en la misma situacion. si configuro los
> > > navegadores
> > > > todo
> > > > > > > > > > > funca. mi duda esta en la configuracion de las dos
> > > interfaces:
> > > > > > > > > > > suponiendo que eth0 se conecta a internet y eth1 a la
> > > red
> > > > local, el gw
> > > > > > > > > > > de eth1 debe ser eth0?
> > > > > > > > > > >
> > > > > > > > > > > --
> > > > > > > > > > > Ubuntu-ni mailing list
> > > > > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > > > > Modify settings or unsubscribe at:
> > > > > > > > > > >
> > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > Ing. Alejandro Rodriguez || @LeX
> > > > > > > > > > Linux user # 379802
> > > > > > > > > > kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> > > > > > > > > > SUSE-ni >> http://suse-ni.blogspot.com/
> > > > > > > > > >
> > > > > > > > > > "Lo que es público, no tiene dueño"
> > > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > --
> > > > > > > > > José Ernesto Dávila Pantoja
> > > > > > > > > (alucardni)
> > > > > > > > > http://josernestodavila.blogspot.com
> > > > > > > > >
> > > > > > > > > --
> > > > > > > > > Ubuntu-ni mailing list
> > > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > > Modify settings or unsubscribe at:
> > > > > > > > >
> > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > ...........................
> > > > > > > > ...: Wilbert J. Rojas O. :...
> > > > > > > > ...: Debian GNU/Linux Etch :...
> > > > > > > > ...: Linux User #394389 :...
> > > > > > > > ...: Managua, Nicaragua. :...
> > > > > > > > .........................
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > José Ernesto Dávila Pantoja
> > > > > > > (alucardni)
> > > > > > > http://josernestodavila.blogspot.com
> > > > > > >
> > > > > > > --
> > > > > > > Ubuntu-ni mailing list
> > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > Modify settings or unsubscribe at:
> > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Jorge Isaac Dávila López
> > > > > > +505 430 5462
> > > > > > jorgedavilalopez en gmail.com
> > > > > > --
> > > > > >
> > > > > > [...] the security of a computer system or network is a function
> > > of
> > > > > > many factors, including personnel, physical, procedural,
> > > compromising
> > > > > > emanations, and computer security practices. [Kent & Seo » RFC
> > > 4301]
> > > > > >
> > > > > > --
> > > > > >
> > > > > >
> > > > > >
> > > > > > Ubuntu-ni mailing list
> > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > Modify settings or unsubscribe at:
> > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > >
> > > > >
> > > > >
> > > > > ...........................
> > > > > ...: Wilbert J. Rojas O. :...
> > > > > ...: Debian GNU/Linux Etch :...
> > > > > ...: Linux User #394389 :...
> > > > > ...: Managua, Nicaragua. :...
> > > > > .........................
> > > >
> > > >
> > > >
> > > > --
> > > >
> > > > ...........................
> > > > ...: Wilbert J. Rojas O. :...
> > > > ...: Debian GNU/Linux Etch :...
> > > > ...: Linux User #394389 :...
> > > > ...: Managua, Nicaragua. :...
> > > > .........................
> > > > --
> > > > Ubuntu-ni mailing list
> > > > Ubuntu-ni en lists.ubuntu.com
> > > > Modify settings or unsubscribe at:
> > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > >
> > > >
> > >
> > >
> > > --
> > > Jorge Isaac Dávila López
> > > +505 430 5462
> > > jorgedavilalopez en gmail.com
> > > --
> > >
> > > [...] the security of a computer system or network is a function of
> > > many factors, including personnel, physical, procedural, compromising
> > > emanations, and computer security practices. [Kent & Seo » RFC 4301]
> > >
> > > --
> > > Ubuntu-ni mailing list
> > > Ubuntu-ni en lists.ubuntu.com
> > > Modify settings or unsubscribe at:
> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > >
> >
> >
> >
> > --
> > ...........................
> > ...: Wilbert J. Rojas O. :...
> > ...: Debian GNU/Linux Etch :...
> > ...: Linux User #394389 :...
> > ...: Managua, Nicaragua. :...
> > .........................
> >
> > --
> > Ubuntu-ni mailing list
> > Ubuntu-ni en lists.ubuntu.com
> > Modify settings or unsubscribe at:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> >
> >
>
>
> --
> José Ernesto Dávila Pantoja
> (alucardni)
> Linux User: 395356
> Ubuntu User: 18273
> http://josernestodavila.blogspot.com
> --
> Ubuntu-ni mailing list
> Ubuntu-ni en lists.ubuntu.com
> Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
>
>
--
Ing. Alejandro Rodriguez || @LeX
Linux user # 379802
kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
SUSE-ni >> http://suse-ni.blogspot.com/
"Lo que es público, no tiene dueño"
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ni/attachments/20080104/643a3343/attachment.htm
Más información sobre la lista de distribución Ubuntu-ni