[Ubuntu-ni] Ayuda con proxy transparente
Bayardo Sanchez
bayardo.sanchez en gmail.com
Vie Ene 4 20:35:16 GMT 2008
yo tomando nota tengo que hacer eso mismo aqui
El día 4/01/08, @LeX <alexio44 en gmail.com> escribió:
>
> y vos como lo resolviste ... ???
>
> estoy sacando las diferencias [pro/contras] de las dos soluciones ya
> planteadas .----
>
> On Jan 4, 2008 2:28 PM, Jose Ernesto Davila Pantoja <josernestodavila en ubuntu.org.ni>
> wrote:
>
> > Me pronuncio,
> >
> > El clavo lo resolvi antes de que escribieras la configuracion de tu
> > firewall. Pero igual se agradece tu aporte.
> >
> > El día 4/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
> >
> > > Yo tengo en ese equipo solamente una tarjeta de red de hecho tengo
> > > varios equipos que estan funcionando usando ese esquema adicional a un
> > > servidor proxy.
> > >
> > > Pero bueno, para gustos lo colores la idea es ayudarle al brother que
> > > necesitaba ayuda guia para resolver el problema, que por cierto no se ha
> > > pronunciado.
> > >
> > >
> > > Saludos.
> > >
> > > On Jan 4, 2008 1:05 PM, Jorge Dávila < jorgedavilalopez en gmail.com>
> > > wrote:
> > >
> > > > Wilbert,
> > > >
> > > > Tu firewall está innecesariamente "complejo".
> > > >
> > > > En principio, no deberías usar la cadena FORWARD para filtrar
> > > > tráfico.
> > > >
> > > > Para simplicidad de esta discusión, deberías usar la cadena INPUT de
> > > >
> > > > la tabla filter para hacer el filtrado de paquetes -ese es el
> > > > propósito de esa tabla. Luego, en la cadena FORWARD nada más tener
> > > > reglas como esta:
> > > >
> > > > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> > > > iptables -A FORWARD -i $nic_interna $nic_externa -s $red_interna -j
> > > > ACCEPT
> > > > iptables -A FORWARD -p all -j DROP
> > > >
> > > > Nota que a la cadena FORWARD solo llegaran aquellos paquetes que han
> > > > sido permitidos en la cadena INPUT de la tabla filter.
> > > >
> > > > Las reglas para permitir el tráfico en respuesta al tráfico que pasa
> > > > a
> > > > través del firewall son las que te hacen falta (similares a --m
> > > > state
> > > > --state RELATED,ESTABLISHED -j ACCEPT )
> > > >
> > > > Saludos,
> > > >
> > > > Jorge Dávila.
> > > >
> > > > El 2/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
> > > > > En las maquinas de los clientes/usuarios no tengo seteado
> > > > absolutamente
> > > > > nada.
> > > > >
> > > > > saludos
> > > > >
> > > > >
> > > > > On Jan 2, 2008 12:58 PM, Wilbert Rojas <wjrojas en gmail.com > wrote:
> > > > > > Feliz Año NUevo 2008 !!
> > > > > >
> > > > > > De antemano mis disculpas por no haber contestado antes, pero
> > > > aqui les va
> > > > > una config donde tengo el firewall al millon.
> > > > > >
> > > > > > Consideraciones:
> > > > > > Solamente tengo una sola tarjeta de red que tiene el IP
> > > > 10.0.0.65 de ahi
> > > > > solo permito los puertos comunes 110,53,25,21,22,80,etc luego
> > > > mando a
> > > > > dropear todo.
> > > > > >
> > > > > > #!/bin/bash
> > > > > >
> > > > > > /sbin/iptables -F INPUT
> > > > > > /sbin/iptables -F OUTPUT
> > > > > > /sbin/iptables -F FORWARD
> > > > > > /sbin/iptables --t nat -F POSTROUTING
> > > > > > /sbin/iptables --t nat -F PREROUTING
> > > > > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > > > > >
> > > > > >
> > > > > > #direccion IP del propio equipo
> > > > > > /sbin/iptables -A INPUT -s 10.0.0.65/255.255.255.255 -d 0/0
> > > > -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.65/255.255.255.255 -d 0/0
> > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.65/255.255.255.255 -d 0/0
> > > > -j ACCEPT
> > > > > >
> > > > > > /sbin/iptables -A INPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > > > ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 3389 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 25 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 143 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 110 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 80 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 443 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 53 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 3306 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p udp
> > > > > --dport 53 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 995 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 9999 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 465 -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1
> > > > -p tcp
> > > > > --dport 22 -j ACCEPT
> > > > > >
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 3389
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 25
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 143
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 110
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 443
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 53
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport
> > > > > 3306 -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p udp
> > > > --dport 53
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 995
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 9999
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 465
> > > > > -j ACCEPT
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > > > --dport 22
> > > > > -j ACCEPT
> > > > > >
> > > > > >
> > > > > > /sbin/iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
> > > > > > /sbin/iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT
> > > > > >
> > > > > > /sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 0/0 -p
> > > > tcp
> > > > > --dport 80 -j REDIRECT --to-port 8080
> > > > > >
> > > > > > /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> > > > > >
> > > > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > > > DROP
> > > > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > > > DROP
> > > > > >
> > > > > > /sbin/modprobe ip_conntrack_ftp
> > > > > > /sbin/modprobe ip_nat_ftp
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > On Dec 28, 2007 2:18 PM, Jorge Dávila <jorgedavilalopez en gmail.com>
> > > > wrote:
> > > > > >
> > > > > > > La verdad, la cosa no es tanto así complicada. Siéntase libres
> > > > de
> > > > > > > llamarme ( 4305462) si todavía no han resuelto el problema.
> > > > > > >
> > > > > > > Saludos,
> > > > > > >
> > > > > > > Jorge Dávila
> > > > > > >
> > > > > > > 2007/12/28, Jose Ernesto Davila Pantoja <
> > > > > josernestodavila en ubuntu.org.ni>:
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > > Mae Wilbert, seria bueno alguna pista sobre como lo has
> > > > hecho.
> > > > > > > >
> > > > > > > > 2007/12/29, Wilbert Rojas < wjrojas en gmail.com>:
> > > > > > > > > Si ustedes configuran sus browser entonces no hes
> > > > transparente,
> > > > > transparente
> > > > > > > > > es que puedas navegar sin hacer cambios en su
> > > > configuracion del
> > > > > navegador.
> > > > > > > > >
> > > > > > > > > Si tienen algun problema me avisan no se porque ustedes
> > > > hacen eso Yo
> > > > > he
> > > > > > > > > configurado proxy transparente con los siguientes
> > > > escenarios:
> > > > > > > > > 1 sola NIC en el servidor
> > > > > > > > > 2 NICs en el servidor
> > > > > > > > >
> > > > > > > > > en ambos escenarios mis aplicaciones tanto del
> > > > emule,kazaa,utorrent,
> > > > > > > > > clientes de correo, ftp, etc siempre me han funcionado
> > > > creo que el
> > > > > problema
> > > > > > > > > de ustedes es mas bien de las reglas del iptables que
> > > > utilizan.
> > > > > > > > >
> > > > > > > > > saludos.
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > On Dec 28, 2007 11:00 AM, Jose Ernesto Davila Pantoja <
> > > > > > > > > josernestodavila en ubuntu.org.ni > wrote:
> > > > > > > > >
> > > > > > > > > > OK esa era la duda existencial que tenia. Gracias
> > > > garrobo mayor
> > > > > :-)
> > > > > > > > > >
> > > > > > > > > > 2007/12/28, @LeX < alexio44 en gmail.com >:
> > > > > > > > > > > eth0 >> coneccion a la internet {EXTERNO}
> > > > > > > > > > > eth1 >> coneccion red {INTERNA}
> > > > > > > > > > >
> > > > > > > > > > > Para poder hacer eso tenes que hacer un
> > > > enmascaramiento de esas
> > > > > > > > > > interfacez
> > > > > > > > > > >
> > > > > > > > > > > y logicamente la que vas a poner como gateway en todas
> > > > las
> > > > > maquinas de
> > > > > > > > > > la
> > > > > > > > > > > red interna es
> > > > > > > > > > > eth1 >> ya que es la INTERNA !
> > > > > > > > > > >
> > > > > > > > > > > todo el trafico sera recibida por eth1, por
> > > > enmascaramiento sera
> > > > > > > > > > re-enviado
> > > > > > > > > > > a eth0 para luego salir a la internet
> > > > > > > > > > >
> > > > > > > > > > > Saludos
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > On Dec 27, 2007 10:06 PM, Jose Ernesto Davila Pantoja
> > > > <
> > > > > > > > > > > josernestodavila en ubuntu.org.ni> wrote:
> > > > > > > > > > >
> > > > > > > > > > > > estamos en la misma situacion. si configuro los
> > > > navegadores
> > > > > todo
> > > > > > > > > > > > funca. mi duda esta en la configuracion de las dos
> > > > interfaces:
> > > > > > > > > > > > suponiendo que eth0 se conecta a internet y eth1 a
> > > > la red
> > > > > local, el gw
> > > > > > > > > > > > de eth1 debe ser eth0?
> > > > > > > > > > > >
> > > > > > > > > > > > --
> > > > > > > > > > > > Ubuntu-ni mailing list
> > > > > > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > > > > > Modify settings or unsubscribe at:
> > > > > > > > > > > >
> > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > >
> > > > > > > > > > > --
> > > > > > > > > > > Ing. Alejandro Rodriguez || @LeX
> > > > > > > > > > > Linux user # 379802
> > > > > > > > > > > kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> > > > > > > > > > > SUSE-ni >> http://suse-ni.blogspot.com/
> > > > > > > > > > >
> > > > > > > > > > > "Lo que es público, no tiene dueño"
> > > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > José Ernesto Dávila Pantoja
> > > > > > > > > > (alucardni)
> > > > > > > > > > http://josernestodavila.blogspot.com
> > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > Ubuntu-ni mailing list
> > > > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > > > Modify settings or unsubscribe at:
> > > > > > > > > >
> > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > --
> > > > > > > > > ...........................
> > > > > > > > > ...: Wilbert J. Rojas O. :...
> > > > > > > > > ...: Debian GNU/Linux Etch :...
> > > > > > > > > ...: Linux User #394389 :...
> > > > > > > > > ...: Managua, Nicaragua. :...
> > > > > > > > > .........................
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > José Ernesto Dávila Pantoja
> > > > > > > > (alucardni)
> > > > > > > > http://josernestodavila.blogspot.com
> > > > > > > >
> > > > > > > > --
> > > > > > > > Ubuntu-ni mailing list
> > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > Modify settings or unsubscribe at:
> > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > Jorge Isaac Dávila López
> > > > > > > +505 430 5462
> > > > > > > jorgedavilalopez en gmail.com
> > > > > > > --
> > > > > > >
> > > > > > > [...] the security of a computer system or network is a
> > > > function of
> > > > > > > many factors, including personnel, physical, procedural,
> > > > compromising
> > > > > > > emanations, and computer security practices. [Kent & Seo »
> > > > RFC 4301]
> > > > > > >
> > > > > > > --
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > Ubuntu-ni mailing list
> > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > Modify settings or unsubscribe at:
> > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > >
> > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > >
> > > > > >
> > > > > >
> > > > > > ...........................
> > > > > > ...: Wilbert J. Rojas O. :...
> > > > > > ...: Debian GNU/Linux Etch :...
> > > > > > ...: Linux User #394389 :...
> > > > > > ...: Managua, Nicaragua. :...
> > > > > > .........................
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > >
> > > > > ...........................
> > > > > ...: Wilbert J. Rojas O. :...
> > > > > ...: Debian GNU/Linux Etch :...
> > > > > ...: Linux User #394389 :...
> > > > > ...: Managua, Nicaragua. :...
> > > > > .........................
> > > > > --
> > > > > Ubuntu-ni mailing list
> > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > Modify settings or unsubscribe at:
> > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > >
> > > > >
> > > >
> > > >
> > > > --
> > > > Jorge Isaac Dávila López
> > > > +505 430 5462
> > > > jorgedavilalopez en gmail.com
> > > > --
> > > >
> > > > [...] the security of a computer system or network is a function of
> > > > many factors, including personnel, physical, procedural,
> > > > compromising
> > > > emanations, and computer security practices. [Kent & Seo » RFC
> > > > 4301]
> > > >
> > > > --
> > > > Ubuntu-ni mailing list
> > > > Ubuntu-ni en lists.ubuntu.com
> > > > Modify settings or unsubscribe at:
> > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > >
> > >
> > >
> > >
> > > --
> > > ...........................
> > > ...: Wilbert J. Rojas O. :...
> > > ...: Debian GNU/Linux Etch :...
> > > ...: Linux User #394389 :...
> > > ...: Managua, Nicaragua. :...
> > > .........................
> > >
> > > --
> > > Ubuntu-ni mailing list
> > > Ubuntu-ni en lists.ubuntu.com
> > > Modify settings or unsubscribe at:
> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > >
> > >
> >
> >
> > --
> > José Ernesto Dávila Pantoja
> > (alucardni)
> > Linux User: 395356
> > Ubuntu User: 18273
> > http://josernestodavila.blogspot.com
> > --
> > Ubuntu-ni mailing list
> > Ubuntu-ni en lists.ubuntu.com
> > Modify settings or unsubscribe at:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> >
> >
>
>
> --
> Ing. Alejandro Rodriguez || @LeX
> Linux user # 379802
> kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> SUSE-ni >> http://suse-ni.blogspot.com/
>
> "Lo que es público, no tiene dueño"
>
> --
> Ubuntu-ni mailing list
> Ubuntu-ni en lists.ubuntu.com
> Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
>
>
--
Bayardo Sánchez García
Web Developer - Internet Portals
Linux User: #418392
Ubuntu User #14171
Kernel 2.6.20-15-server
Central America - Managua, NI (505) 2492853
North America - Charlotte, NC (704) 582-3781
Blog:http://d3b14n.wordpress.com/
IM msn messenger: bjsanchezg en hotmail.com
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ni/attachments/20080104/88be7b05/attachment.htm
Más información sobre la lista de distribución Ubuntu-ni