On 1/9/06, Percy Gonzales <[EMAIL PROTECTED]> wrote: > Hola, como les comente en mi anterior mensaje, estoy tratando de > implementar un proxy transparente y un firewall, en principio al > implementar solo el proxy transparente (SQUID+iptables), de la forma: > > asumiendo que la eth0 es la LAN y eth1 es la salida ainternet > > # redirecciona squid > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 3128 > > # habilitar forwarding > echo 1 > /proc/sys/net/ipv4/ip_forward > > hasta ahi todo ok (funcionan mis reglas y restricciones) > > pero cuando quiero incrementar reglas de control al firewall > (basicamente empezar a bloquear y permitir accesos), todo deja de > funcionar,el script que utilizo es el siguiente: > > ## FLUSH de reglas > iptables -F > iptables -X > iptables -Z > iptables -t nat -F > > ## Establecemos politica por defecto: DROP!!! > iptables -P INPUT DROP > iptables -P OUTPUT DROP > iptables -P FORWARD DROP > > # redirecciona squid > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE > > iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT > --to-port 3128 > > # habilitar forwarding > echo 1 > /proc/sys/net/ipv4/ip_forward > > # Dejo pasar los paquetes ICMP hacia y desde el firewall. > iptables -A INPUT -i eth0 -p ICMP -j ACCEPT > iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT > iptables -A INPUT -i eth1 -p ICMP -j ACCEPT > iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT > > #reglas de redireccion > iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT > iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT > > iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT > iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT > > Como todo dejo de funcionar tratae de implemetar reglas para dejar > pasar navegacion y ping (en ambos sentidos pr que la politica por > defecto es drop) pero ni aun con eso funciona > > > > Me podrian ayudar a resilver mi problema, ya que despues de esto debo > empezar a bloquear el msn y a permitir accesos remotos, pero no puedo > avanzar mientras esto no funcione bein. > > saludos y gracias adelntadas > > Te faltan reglas que hagan lo siguiente:
- Permitir que la maquina de firewall haga consultas a los DNS resolver. - Permitir que el proxy que tienes funcionando en el puerto 3128 pueda recibir y contestar peticiones de los paquetes que le son reenviados desde tu red 192.168. - Que el mismo programa de proxy pueda establecer conexiones hacia servidores web en internet. Eso basicamente, puede que falte alguno, pero te diria que te buscaras algun script ya hecho en internet con la explicacion, pq tienes las reglas por defecto muy restrictivas y para habilitar el servicio tienes que entender como funciona antes de ponerte a aplicar reglas. buscate un manual de iptables (los how to de www.netfilter.org ) y los tipicos manuales que encuentras en espaƱol en internet te daran mas pautas de como debe funcionar. Saludos Miguel -- Miguel Angel Amador L. [ jokercl at gmail dot com | User #297569 counter.li.org ] [ http://www.fotolog.net/kush ]
