[Ubuntu-ni] Ayuda con proxy transparente
Jose Ernesto Davila Pantoja
josernestodavila en ubuntu.org.ni
Vie Ene 4 20:28:22 GMT 2008
Me pronuncio,
El clavo lo resolvi antes de que escribieras la configuracion de tu
firewall. Pero igual se agradece tu aporte.
El día 4/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
>
> Yo tengo en ese equipo solamente una tarjeta de red de hecho tengo varios
> equipos que estan funcionando usando ese esquema adicional a un servidor
> proxy.
>
> Pero bueno, para gustos lo colores la idea es ayudarle al brother que
> necesitaba ayuda guia para resolver el problema, que por cierto no se ha
> pronunciado.
>
>
> Saludos.
>
> On Jan 4, 2008 1:05 PM, Jorge Dávila <jorgedavilalopez en gmail.com> wrote:
>
> > Wilbert,
> >
> > Tu firewall está innecesariamente "complejo".
> >
> > En principio, no deberías usar la cadena FORWARD para filtrar tráfico.
> >
> > Para simplicidad de esta discusión, deberías usar la cadena INPUT de
> > la tabla filter para hacer el filtrado de paquetes -ese es el
> > propósito de esa tabla. Luego, en la cadena FORWARD nada más tener
> > reglas como esta:
> >
> > iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
> > iptables -A FORWARD -i $nic_interna $nic_externa -s $red_interna -j
> > ACCEPT
> > iptables -A FORWARD -p all -j DROP
> >
> > Nota que a la cadena FORWARD solo llegaran aquellos paquetes que han
> > sido permitidos en la cadena INPUT de la tabla filter.
> >
> > Las reglas para permitir el tráfico en respuesta al tráfico que pasa a
> > través del firewall son las que te hacen falta (similares a --m state
> > --state RELATED,ESTABLISHED -j ACCEPT )
> >
> > Saludos,
> >
> > Jorge Dávila.
> >
> > El 2/01/08, Wilbert Rojas <wjrojas en gmail.com> escribió:
> > > En las maquinas de los clientes/usuarios no tengo seteado
> > absolutamente
> > > nada.
> > >
> > > saludos
> > >
> > >
> > > On Jan 2, 2008 12:58 PM, Wilbert Rojas <wjrojas en gmail.com > wrote:
> > > > Feliz Año NUevo 2008 !!
> > > >
> > > > De antemano mis disculpas por no haber contestado antes, pero aqui
> > les va
> > > una config donde tengo el firewall al millon.
> > > >
> > > > Consideraciones:
> > > > Solamente tengo una sola tarjeta de red que tiene el IP 10.0.0.65 de
> > ahi
> > > solo permito los puertos comunes 110,53,25,21,22,80,etc luego mando a
> > > dropear todo.
> > > >
> > > > #!/bin/bash
> > > >
> > > > /sbin/iptables -F INPUT
> > > > /sbin/iptables -F OUTPUT
> > > > /sbin/iptables -F FORWARD
> > > > /sbin/iptables --t nat -F POSTROUTING
> > > > /sbin/iptables --t nat -F PREROUTING
> > > > echo 1 > /proc/sys/net/ipv4/ip_forward
> > > >
> > > >
> > > > #direccion IP del propio equipo
> > > > /sbin/iptables -A INPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> > ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> > ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.65/255.255.255.255 -d 0/0 -j
> > ACCEPT
> > > >
> > > > /sbin/iptables -A INPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 3389 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 25 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 143 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 110 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 80 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 443 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 53 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 3306 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > udp
> > > --dport 53 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 995 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 9999 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 465 -j ACCEPT
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -i eth1 -p
> > tcp
> > > --dport 22 -j ACCEPT
> > > >
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 3389
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 25
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 143
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 110
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 443
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 53
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport
> > > 3306 -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p udp
> > --dport 53
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 995
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 9999
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 465
> > > -j ACCEPT
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -p tcp
> > --dport 22
> > > -j ACCEPT
> > > >
> > > >
> > > > /sbin/iptables -A INPUT -p icmp --icmp-type any -j ACCEPT
> > > > /sbin/iptables -A FORWARD -p icmp --icmp-type any -j ACCEPT
> > > >
> > > > /sbin/iptables -t nat -A PREROUTING -s 10.0.0.0/24 -d 0/0 -p tcp
> > > --dport 80 -j REDIRECT --to-port 8080
> > > >
> > > > /sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> > > >
> > > > /sbin/iptables -A FORWARD -s 10.0.0.0/255.255.255.0 -d 0/0 -j
> > DROP
> > > > /sbin/iptables -A OUTPUT -s 10.0.0.0/255.255.255.0 -d 0/0 -j DROP
> > > >
> > > > /sbin/modprobe ip_conntrack_ftp
> > > > /sbin/modprobe ip_nat_ftp
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > >
> > > > On Dec 28, 2007 2:18 PM, Jorge Dávila <jorgedavilalopez en gmail.com>
> > wrote:
> > > >
> > > > > La verdad, la cosa no es tanto así complicada. Siéntase libres de
> > > > > llamarme ( 4305462) si todavía no han resuelto el problema.
> > > > >
> > > > > Saludos,
> > > > >
> > > > > Jorge Dávila
> > > > >
> > > > > 2007/12/28, Jose Ernesto Davila Pantoja <
> > > josernestodavila en ubuntu.org.ni>:
> > > > >
> > > > >
> > > > >
> > > > > > Mae Wilbert, seria bueno alguna pista sobre como lo has hecho.
> > > > > >
> > > > > > 2007/12/29, Wilbert Rojas < wjrojas en gmail.com>:
> > > > > > > Si ustedes configuran sus browser entonces no hes
> > transparente,
> > > transparente
> > > > > > > es que puedas navegar sin hacer cambios en su configuracion
> > del
> > > navegador.
> > > > > > >
> > > > > > > Si tienen algun problema me avisan no se porque ustedes hacen
> > eso Yo
> > > he
> > > > > > > configurado proxy transparente con los siguientes escenarios:
> > > > > > > 1 sola NIC en el servidor
> > > > > > > 2 NICs en el servidor
> > > > > > >
> > > > > > > en ambos escenarios mis aplicaciones tanto del
> > emule,kazaa,utorrent,
> > > > > > > clientes de correo, ftp, etc siempre me han funcionado creo
> > que el
> > > problema
> > > > > > > de ustedes es mas bien de las reglas del iptables que
> > utilizan.
> > > > > > >
> > > > > > > saludos.
> > > > > > >
> > > > > > >
> > > > > > > On Dec 28, 2007 11:00 AM, Jose Ernesto Davila Pantoja <
> > > > > > > josernestodavila en ubuntu.org.ni > wrote:
> > > > > > >
> > > > > > > > OK esa era la duda existencial que tenia. Gracias garrobo
> > mayor
> > > :-)
> > > > > > > >
> > > > > > > > 2007/12/28, @LeX < alexio44 en gmail.com >:
> > > > > > > > > eth0 >> coneccion a la internet {EXTERNO}
> > > > > > > > > eth1 >> coneccion red {INTERNA}
> > > > > > > > >
> > > > > > > > > Para poder hacer eso tenes que hacer un enmascaramiento de
> > esas
> > > > > > > > interfacez
> > > > > > > > >
> > > > > > > > > y logicamente la que vas a poner como gateway en todas las
> > > maquinas de
> > > > > > > > la
> > > > > > > > > red interna es
> > > > > > > > > eth1 >> ya que es la INTERNA !
> > > > > > > > >
> > > > > > > > > todo el trafico sera recibida por eth1, por
> > enmascaramiento sera
> > > > > > > > re-enviado
> > > > > > > > > a eth0 para luego salir a la internet
> > > > > > > > >
> > > > > > > > > Saludos
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > On Dec 27, 2007 10:06 PM, Jose Ernesto Davila Pantoja <
> > > > > > > > > josernestodavila en ubuntu.org.ni> wrote:
> > > > > > > > >
> > > > > > > > > > estamos en la misma situacion. si configuro los
> > navegadores
> > > todo
> > > > > > > > > > funca. mi duda esta en la configuracion de las dos
> > interfaces:
> > > > > > > > > > suponiendo que eth0 se conecta a internet y eth1 a la
> > red
> > > local, el gw
> > > > > > > > > > de eth1 debe ser eth0?
> > > > > > > > > >
> > > > > > > > > > --
> > > > > > > > > > Ubuntu-ni mailing list
> > > > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > > > Modify settings or unsubscribe at:
> > > > > > > > > >
> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > >
> > > > > > > > > --
> > > > > > > > > Ing. Alejandro Rodriguez || @LeX
> > > > > > > > > Linux user # 379802
> > > > > > > > > kernel 2.6.22.5-31 @ openSUSE 10.3 [64bits]
> > > > > > > > > SUSE-ni >> http://suse-ni.blogspot.com/
> > > > > > > > >
> > > > > > > > > "Lo que es público, no tiene dueño"
> > > > > > > > >
> > > > > > > >
> > > > > > > >
> > > > > > > > --
> > > > > > > > José Ernesto Dávila Pantoja
> > > > > > > > (alucardni)
> > > > > > > > http://josernestodavila.blogspot.com
> > > > > > > >
> > > > > > > > --
> > > > > > > > Ubuntu-ni mailing list
> > > > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > > > Modify settings or unsubscribe at:
> > > > > > > >
> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > > > >
> > > > > > >
> > > > > > >
> > > > > > >
> > > > > > > --
> > > > > > > ...........................
> > > > > > > ...: Wilbert J. Rojas O. :...
> > > > > > > ...: Debian GNU/Linux Etch :...
> > > > > > > ...: Linux User #394389 :...
> > > > > > > ...: Managua, Nicaragua. :...
> > > > > > > .........................
> > > > > > >
> > > > > >
> > > > > >
> > > > > > --
> > > > > > José Ernesto Dávila Pantoja
> > > > > > (alucardni)
> > > > > > http://josernestodavila.blogspot.com
> > > > > >
> > > > > > --
> > > > > > Ubuntu-ni mailing list
> > > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > > Modify settings or unsubscribe at:
> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > > >
> > > > >
> > > > >
> > > > > --
> > > > > Jorge Isaac Dávila López
> > > > > +505 430 5462
> > > > > jorgedavilalopez en gmail.com
> > > > > --
> > > > >
> > > > > [...] the security of a computer system or network is a function
> > of
> > > > > many factors, including personnel, physical, procedural,
> > compromising
> > > > > emanations, and computer security practices. [Kent & Seo » RFC
> > 4301]
> > > > >
> > > > > --
> > > > >
> > > > >
> > > > >
> > > > > Ubuntu-ni mailing list
> > > > > Ubuntu-ni en lists.ubuntu.com
> > > > > Modify settings or unsubscribe at:
> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > >
> > > >
> > > >
> > > > ...........................
> > > > ...: Wilbert J. Rojas O. :...
> > > > ...: Debian GNU/Linux Etch :...
> > > > ...: Linux User #394389 :...
> > > > ...: Managua, Nicaragua. :...
> > > > .........................
> > >
> > >
> > >
> > > --
> > >
> > > ...........................
> > > ...: Wilbert J. Rojas O. :...
> > > ...: Debian GNU/Linux Etch :...
> > > ...: Linux User #394389 :...
> > > ...: Managua, Nicaragua. :...
> > > .........................
> > > --
> > > Ubuntu-ni mailing list
> > > Ubuntu-ni en lists.ubuntu.com
> > > Modify settings or unsubscribe at:
> > > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> > >
> > >
> >
> >
> > --
> > Jorge Isaac Dávila López
> > +505 430 5462
> > jorgedavilalopez en gmail.com
> > --
> >
> > [...] the security of a computer system or network is a function of
> > many factors, including personnel, physical, procedural, compromising
> > emanations, and computer security practices. [Kent & Seo » RFC 4301]
> >
> > --
> > Ubuntu-ni mailing list
> > Ubuntu-ni en lists.ubuntu.com
> > Modify settings or unsubscribe at:
> > https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
> >
>
>
>
> --
> ...........................
> ...: Wilbert J. Rojas O. :...
> ...: Debian GNU/Linux Etch :...
> ...: Linux User #394389 :...
> ...: Managua, Nicaragua. :...
> .........................
>
> --
> Ubuntu-ni mailing list
> Ubuntu-ni en lists.ubuntu.com
> Modify settings or unsubscribe at:
> https://lists.ubuntu.com/mailman/listinfo/ubuntu-ni
>
>
--
José Ernesto Dávila Pantoja
(alucardni)
Linux User: 395356
Ubuntu User: 18273
http://josernestodavila.blogspot.com
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: https://lists.ubuntu.com/archives/ubuntu-ni/attachments/20080104/e222088d/attachment.htm
Más información sobre la lista de distribución Ubuntu-ni