[Ubuntu-ni] Ayuda con proxy transparente
Wilbert Rojas
wjrojas en gmail.com
Mie Ene 2 18:58:49 GMT 2008
Feliz Año NUevo 2008 !!
De antemano mis disculpas por no haber contestado antes, pero aqui les va
una config donde tengo el firewall al millon.
Consideraciones:
Solamente tengo una sola tarjeta de red que tiene el IP 10.0.0.65 de ahi
solo permito los puertos comunes 110,53,25,21,22,80,etc luego mando a
dropear todo.
#!/bin/bash
/sbin/iptables -F INPUT
/sbin/iptables -F OUTPUT
/sbin/iptables -F FORWARD
/sbin/iptables --t nat -F POSTROUTING
/sbin/iptables --t nat -F PREROUTING
echo 1 > /proc/sys/net/ipv4/ip_forward
#direccion IP del propio equipo
/sbin/iptables -A INPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j ACCEPT
/sbin/iptables -A INPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 3389 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 25 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 143 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 110 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 80 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 443 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 3306 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p udp
--dport 53 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 995 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 9999 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 465 -j ACCEPT
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p tcp
--dport 22 -j ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 3389
-j ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 25 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 143 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 110 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 443 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 53 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 3306
-j ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p udp --dport 53 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 995 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 9999
-j ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 465 -j
ACCEPT
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp --dport 22 -j
ACCEPT
/sbin/iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
/sbin/iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT
/sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 0/0 -p tcp --dport
80 -j REDIRECT --to-port 8080
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
/sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
/sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
On Dec 28, 2007 2:18 PM, Jorge Dávila <jorgedavilalopez en gmail.com> wrote:
> La verdad, la cosa no es tanto así complicada. Siéntase libres de
> llamarme ( 4305462) si todavía no han resuelto el problema.
>
> Saludos,
>
> Jorge Dávila
>
> 2007/12/28, Jose Ernesto Davila Pantoja <josernestodavila en ubuntu.org.ni>:
> > Mae Wilbert, seria bueno alguna pista sobre como lo has hecho.
> >
> > 2007/12/29, Wilbert Rojas <wjrojas en gmail.com>:
> > > Si ustedes configuran sus browser entonces no hes transparente,
> transparente
> > > es que puedas navegar sin hacer cambios en su configuracion del
> navegador.
> > >
> > > Si tienen algun problema me avisan no se porque ustedes hacen eso Yo
> he
> > > configurado proxy transparente con los siguientes escenarios:
> > > 1 sola NIC en el servidor
> > > 2 NICs en el servidor
> > >
> > > en ambos escenarios mis aplicaciones tanto del emule,kazaa,utorrent,
> > > clientes de correo, ftp, etc siempre me han funcionado creo que el
> problema
> > > de ustedes es mas bien de las reglas del iptables que utilizan.
> > >
> > > saludos.
> > >
> > >
> > > On Dec 28, 2007 11:00 AM, Jose Ernesto Davila Pantoja <
> > > josernestodavila en ubuntu.org.ni> wrote:
> > >
> > > > OK esa era la duda existencial que tenia. Gracias garrobo mayor :-)
> > > >
> > > > 2007/12/28, @LeX <alexio44 en gmail.com>:
> > > > > eth0 >> coneccion a la internet {EXTERNO}
> > > > > eth1 >> coneccion red {INTERNA}
> > > > >
> > > > > Para poder hacer eso tenes que hacer un enmascaramiento de esas
> > > > interfacez
> > > > >
> > > > > y logicamente la que vas a poner como gateway en todas las
> maquinas de
> > > > la
> > > > > red interna es
> > > > > eth1 >> ya que es la INTERNA !
> > > > >
> > > > > todo el trafico sera recibida por eth1, por enmascaramiento sera
> > > > re-enviado
> > > > > a eth0 para luego salir a la internet
> > > > >
> > > > > Saludos
> > > > >
> > > > >
> > > > > On Dec 27, 2007 10:06 PM, Jose Ernesto Davila Pantoja <
> > > > > josernestodavila en ubuntu.org.ni> wrote:
> > > > >
> > > > > > estamos en la misma situacion. si configuro los navegadores todo
> > > > > > funca. mi duda esta en la configuracion de las dos interfaces:
> > > > > > suponiendo que eth0 se conecta a internet y eth1 a la red local,
> el gw
> > > > > > de eth1 debe ser eth0?
> > > > > >
> > > > > > --
> > > > > > Ubuntu-ni mailing list
> > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > Modify settings or unsubscribe at:
> > > > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > >
> > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Ing. Alejandro Rodriguez || @LeX
> > > > > Linux user # 379802
> > > > > kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> > > > > SUSE-ni >> http://suse-ni.blogspot.com/
> > > > >
> > > > > "Lo que es público, no tiene dueño"
> > > > >
> > > >
> > > >
> > > > --
> > > > José Ernesto Dávila Pantoja
> > > > (alucardni)
> > > > http://josernestodavila.blogspot.com
> > > >
> > > > --
> > > > Ubuntu-ni mailing list
> > > > Ubuntu-ni en lists.ubuntu.com
> > > > Modify settings or unsubscribe at:
> > > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > >
> > >
> > >
> > >
> > > --
> > > ...........................
> > > ...: Wilbert J. Rojas O. :...
> > > ...: Debian GNU/Linux Etch :...
> > > ...: Linux User #394389 :...
> > > ...: Managua, Nicaragua. :...
> > > .........................
> > >
> >
> >
> > --
> > José Ernesto Dávila Pantoja
> > (alucardni)
> > http://josernestodavila.blogspot.com
> >
> > --
> > Ubuntu-ni mailing list
> > Ubuntu-ni en lists.ubuntu.com
> > Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> >
>
>
> --
> Jorge Isaac Dávila López
> +505 430 5462
> jorgedavilalopez en gmail.com
> --
>
> [...] the security of a computer system or network is a function of
> many factors, including personnel, physical, procedural, compromising
> emanations, and computer security practices. [Kent & Seo » RFC 4301]
>
> --
> Ubuntu-ni mailing list
> Ubuntu-ni en lists.ubuntu.com
> Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
>
--
...........................
...: Wilbert J. Rojas O. :...
...: Debian GNU/Linux Etch :...
...: Linux User #394389 :...
...: Managua, Nicaragua. :...
.........................
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ni/attachments/20080102/2fbdabb7/attachment.htm
Más información sobre la lista de distribución Ubuntu-ni