Hola, como les comente en mi anterior mensaje, estoy tratando de implementar un proxy transparente y un firewall, en principio al implementar solo el proxy transparente (SQUID+iptables), de la forma:
asumiendo que la eth0 es la LAN y eth1 es la salida ainternet # redirecciona squid iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # habilitar forwarding echo 1 > /proc/sys/net/ipv4/ip_forward hasta ahi todo ok (funcionan mis reglas y restricciones) pero cuando quiero incrementar reglas de control al firewall (basicamente empezar a bloquear y permitir accesos), todo deja de funcionar,el script que utilizo es el siguiente: ## FLUSH de reglas iptables -F iptables -X iptables -Z iptables -t nat -F ## Establecemos politica por defecto: DROP!!! iptables -P INPUT DROP iptables -P OUTPUT DROP iptables -P FORWARD DROP # redirecciona squid iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # habilitar forwarding echo 1 > /proc/sys/net/ipv4/ip_forward # Dejo pasar los paquetes ICMP hacia y desde el firewall. iptables -A INPUT -i eth0 -p ICMP -j ACCEPT iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT iptables -A INPUT -i eth1 -p ICMP -j ACCEPT iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT #reglas de redireccion iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT Como todo dejo de funcionar tratae de implemetar reglas para dejar pasar navegacion y ping (en ambos sentidos pr que la politica por defecto es drop) pero ni aun con eso funciona Me podrian ayudar a resilver mi problema, ya que despues de esto debo empezar a bloquear el msn y a permitir accesos remotos, pero no puedo avanzar mientras esto no funcione bein. saludos y gracias adelntadas _______________________________________________ linux-plug mailing list [email protected] http://www.linux.org.pe/mailman/listinfo/linux-plug
