At 10:34 09-01-2006, you wrote: >Hola, como les comente en mi anterior mensaje, estoy tratando de >implementar un proxy transparente y un firewall, en principio al >implementar solo el proxy transparente (SQUID+iptables), de la forma: > >asumiendo que la eth0 es la LAN y eth1 es la salida ainternet > ># redirecciona squid >iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE > >iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT >--to-port 3128 > ># habilitar forwarding >echo 1 > /proc/sys/net/ipv4/ip_forward > >hasta ahi todo ok (funcionan mis reglas y restricciones) > >pero cuando quiero incrementar reglas de control al firewall >(basicamente empezar a bloquear y permitir accesos), todo deja de >funcionar,el script que utilizo es el siguiente: > >## FLUSH de reglas >iptables -F >iptables -X >iptables -Z >iptables -t nat -F > >## Establecemos politica por defecto: DROP!!! >iptables -P INPUT DROP >iptables -P OUTPUT DROP >iptables -P FORWARD DROP > ># redirecciona squid >iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0.0.0.0/0 -j MASQUERADE > >iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT >--to-port 3128 > ># habilitar forwarding >echo 1 > /proc/sys/net/ipv4/ip_forward > ># Dejo pasar los paquetes ICMP hacia y desde el firewall. >iptables -A INPUT -i eth0 -p ICMP -j ACCEPT >iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT >iptables -A INPUT -i eth1 -p ICMP -j ACCEPT >iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT > >#reglas de redireccion >iptables -A FORWARD -s 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT >iptables -A FORWARD -d 192.168.0.0/24 -p tcp --dport 80 -j ACCEPT > >iptables -A FORWARD -s 192.168.0.0/24 -p ICMP -j ACCEPT >iptables -A FORWARD -d 192.168.0.0/24 -p ICMP -j ACCEPT > >Como todo dejo de funcionar tratae de implemetar reglas para dejar >pasar navegacion y ping (en ambos sentidos pr que la politica por >defecto es drop) pero ni aun con eso funciona > > >Me podrian ayudar a resilver mi problema, ya que despues de esto debo >empezar a bloquear el msn y a permitir accesos remotos, pero no puedo >avanzar mientras esto no funcione bein. > >saludos y gracias adelntadas
1) agregale -o ethx o -i ethx a las cadenas que corresponda 2) La puerta 53 (DNS) esta bloqueda en FORWADR y OUTPUT, ni tus clentes en la LAN ni tu proxy (proceso local) podrĂ¡n resolver los dominios asi. 3) Me asalta la duda... por que usas MASQUERADE si sales a la red por una eth1 ? que cosa te conecta a Internet? Pienso que deberias usar SNAT (pero depende de lo qye tengas en la wan). Slaudos Miguel Oyarzo INALAMBRICA Punta Arenas
