el problema esta aqui a mi parecer: #redireccionamiento Proxy transparent
/sbin/iptables –t nat -A PREROUTING –i eth1 –p tcp –dport 80-j REDIRECT –to-port 172.16.1.1:3128 <---- solo deja el puerto 3128 debe quedarte asi: /sbin/iptables –t nat -A PREROUTING –i eth1 –p tcp –dport 80-j REDIRECT –to-port 3128 ese script es que yo usaba, no recuerdo si era de NAT PARA VAGOS o del manual de PELLO, pero si funciona. Lo de que se quede grabado prueba nuevamente y revisa las reglas con #iptables -L. -n -v Saludos... 2009/3/26 Ken Salinas Rodriguez <[email protected]>: > Un Saludo: > > > > Mi estimado he creado mi script firewall siendo eth0 internet y eth1 LAN: > > > > #!/bin/sh > > ## SCRIPT de IPTABLES - ejemplo del manual de iptables > > ## Ejemplo de script para proteger la propia máquina con DROP por defecto > > echo -n Aplicando Reglas de Firewall... > > ## FLUSH de reglas > > iptables -F > > iptables -X > > iptables -Z > > iptables -t nat -F > > ## Establecemos politica por defecto: DROP > > iptables -P INPUT DROP > > iptables -P OUTPUT DROP > > iptables -P FORWARD DROP > > ## Empezamos a filtrar? no! empezamos a abrir! porque ahora esta TODO > negado. > > ## Debemos decir de manera explicita qué es lo que queremos abrir > > # Operar en localhost sin limitaciones > > /sbin/iptables -A INPUT -i lo -j ACCEPT > > /sbin/iptables -A OUTPUT -o lo -j ACCEPT > > # A nuestra IP le dejamos todo > > iptables -A INPUT -s 172.16.1.1 -j ACCEPT > > iptables -A OUTPUT -d 192.168.1.2 -j ACCEPT > > # Permitimos trafico al web. > > /sbin/iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT > > /sbin/iptables -A OUTPUT -p tcp -m tcp --sport 80 -m state --state > RELATED,ESTABLISHED -j ACCEPT > > # Permitimos que la maquina pueda salir a la web > > /sbin/iptables -A INPUT -p tcp -m tcp --sport 80 -m state --state > RELATED,ESTABLISHED -j ACCEPT > > /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT > > # Ya tambien a webs seguras > > /sbin/iptables -A INPUT -p tcp -m tcp --sport 443 -m state --state > RELATED,ESTABLISHED -j ACCEPT > > /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT > > # Reglas necesarias para FTP pasivo y activo. Se permiten conexiones > entrantes YA establecidas > > /sbin/iptables -A INPUT -p tcp -m tcp --sport 20:21 -m state --state > RELATED,ESTABLISHED -j ACCEPT > > /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 20:21 -j ACCEPT > > /sbin/iptables -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 1024:65535 > -m state --state ESTABLISHED -j ACCEPT > > /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1024:65535 -m state --state > NEW,RELATED,ESTABLISHED -j ACCEPT > > # Reglas necesarias para FTP pasivo y activo. Se permiten conexiones > entrantes YA establecidas > > /sbin/iptables -A INPUT -p tcp -m tcp --sport 1194 -m state --state > RELATED,ESTABLISHED -j ACCEPT > > /sbin/iptables -A OUTPUT -p tcp -m tcp --dport 1194 -j ACCEPT > > # Permitimos la consulta a un primer DNS > > /sbin/iptables -A INPUT -s 200.48.225.130 -p udp -m udp --sport 53 -j ACCEPT > > /sbin/iptables -A OUTPUT -d 200.48.225.130 -p udp -m udp --dport 53 -j > ACCEPT > > # Permitimos la consulta a un segundo DNS > > /sbin/iptables -A INPUT -s 200.48.225.146 -p udp -m udp --sport 53 -j ACCEPT > > /sbin/iptables -A OUTPUT -d 200.48.225.146 -p udp -m udp --dport 53 -j > ACCEPT > > #Permitir trafico de la lan al firewall > > iptables -A INPUT -s 172.16.1.0/24 -i eth1 -j ACCEPT > > #Permitir trafico de la lan al webmin > > iptables -A INPUT -s 172.16.1.0/24 -p tcp --dport 10000 -j ACCEPT > > > > #redireccionamiento Proxy transparent > > /sbin/iptables –t nat -A PREROUTING –i eth1 –p tcp –dport 80-j REDIRECT > –to-port 172.16.1.1:3128 > > > > # Con esto protegemos los puertos reservados y otros well-known > > /sbin/iptables -A INPUT -p tcp -m tcp --dport 1:1024 -j DROP > > /sbin/iptables -A INPUT -p udp -m udp --dport 1:1024 -j DROP > > echo " OK . Verifique que lo que se aplica con: iptables -L -n" > > > > > > Uso CENTOS 5.2, el tema es q lo aplico parece q se aplica, ejecuto "sh > firewall.sh" ejecuto service iptables save, reinicio la pc y las reglas se > borran! apart, el proxy transparente no me funciona, en > /etc/squid/squid.conf coloco "http_port 172.16.1.1:3128 transparent" pero no > navega, tengo q ir a la pc herramientas proxy 172.16.1.1 puerto 3128 y > recien navega, COMO PUEDO HACER para se almacenen las reglas en iptables y > el proxy sea transparente? o cual es mi error? > > > > Salu2! > > Ken Salinas > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group (http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://listas.linux.org.pe/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > -- Aland Laines Calonge Tecnico en Informatica
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://listas.linux.org.pe/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
