On Sun, 25 Mar 2001, Alfredo Figueroa wrote:
> para lo que queres hacer tenes que tener Ipmasquerade instalado..
> porque squid es solo proxy para web ..
>
> A Figueroa
Asumiendo kernel 2.2.x, configurado con soporte a enmascaramiento, habría
que agregar algo como esto entre los scripts de arranque:
ipchains -A forward -J MASQ -i intX -p tcp -s A.B.C.D/E.F.G.H -d W.X.Y.Z pop2
ipchains -A forward -J MASQ -i intX -p tcp -s A.B.C.D/E.F.G.H -d W.X.Y.Z pop3
Donde:
intX -> interface que tiene la salida a Internet (i.e. la que está en la
misma subred que el default gateway). Si tu proxy es una conexión de
dial-up, posiblemente será ppp0. Si es un cablemódem de dos vías, la
tarjeta de red que está apuntando hacia la red de cable. Si es una línea
dedicada, la tarjeta que esté conectada con el router.
A.B.C.D/E.F.G.H -> la red local (privada o protegida). Esto debería ser
algo como 192.168.0.0/255.255.255.0, donde la primera parte es la
dirección de la red y la segunda, la máscara. Si lo preferís, podés usar
a notación reducida para la máscara, con lo que lo de arriba sería
192.168.0.0/24. Si no sabés de dónde sale el 24, preguntá de nuevo a la
lista.
En vez de poner toda la subred, podés poner reglas por cada máquina que
querés dejar usar POP.
W.X.Y.Z -> servidor pop al que se está autorizando conectar. Aquí se pone
el IP al que queremos que puedan acceder por medio de POP. Si querés dejar
abierta la conexión a _varios_ servidores distintos de POP, creás reglas
nuevas para cada uno de los servidores. Si querés dejar abierto a que se
peguen a _cualquier_ servidor POP, podés poner -d 0.0.0.0/0, que significa
cualquier dirección ip posible.
Como verás, estamos abriendo tanto pop2 (puerto 109) como pop3 (puerto
110). Esto es para evitar problemas con clientes de correo que prefieran
una u otra versión del protocolo. Perfectamente podríamos ahorrar una
línea poniendo pop2:pop3 (lo que define un rango de puertos) en la primera
línea.
Otra cosa es que sólo estamos poniendo reglas para el protocolo tcp. Hasta
donde recuerdo, POP sólo usa tcp. Si estoy equivocado, tendrías que
agregar reglas correspondientes a las de tcp, pero con -p udp.
Recordá que nada de esto sirve si no tenés las opciones apropiadas en el
kernel.
Para terminar, veamos un ejemplo.
[C1]---+---[C2] +---------[S1]
==== | ==== ____|_____
| / \-------------[S2]
+---------[P1]-----< INTERNET >
| ==== \__________/-------------[S3]
| |
[C3]---+---[C4] +---------[S4]
==== ====
Aquí P1 es nuestro proxy, C[1-4] son los clientes en la red local, S[1-4]
son servidores regados por todo Internet. Las direcciones ip son:
C1 - 192.168.0.11 Todas estas están en la red local,
C2 - 192.168.0.12 192.168.0.0, con máscara 255.255.255.0,
C3 - 192.168.0.13 y el gateway para los C es 192.168.0.1
C4 - 192.168.0.14
P1 - 192.168.0.1
163.178.60.16 Dirección válida/real de P1
S1 - 163.178.60.2
S2 - 163.178.101.5
S3 - 196.40.31.20
S4 - 64.28.67.35
Queremos que todos puedan leer el correo por pop2 o pop3 desde S1.
ipchains -A forward -J MASQ -i eth0 -p tcp -s 192.168.0.0/24 -d 163.178.60.2 pop2:pop3
Queremos que C1 pueda leer el correo de S2 por pop2, y C2 pueda leerlo por
pop3.
ipchains -A forward -J MASQ -i eth0 -p tcp -s 192.168.0.11 -d 163.178.101.5 pop2
ipchains -A forward -J MASQ -i eth0 -p tcp -s 192.168.0.12 -d 163.178.101.5 pop3
Queremos que todos _excepto_ C3 puedan leer el correo de S3 por pop3
ipchains -A forward -J DENY -i eth0 -p tcp -s 192.168.0.13 -d 196.40.31.20 pop3
ipchains -A forward -J MASQ -i eth0 -p tcp -s 192.168.0.0/24 -d 196.40.31.20 pop3
Queremos que nadie pueda leer el correo de S4
ipchains -A forward -J DENY -i eth0 -p tcp -s 192.168.0.0/24 -d 64.28.67.35 pop2:pop3
Y que C4 pueda leer el correo de cualquier lugar del mundo.
ipchains -A forward -J MASQ -i eth0 -p tcp -s 192.168.0.14 -d 0.0.0.0/0 pop2:pop3
Espero que esto te sirva.
Saludos,
-alf
--
¿Desea desuscribirse? Escriba a [EMAIL PROTECTED] con
el tema "unsubscribe".
