servidor proxy, problemas al filtrar
Estimados, que tal? Tengo hace un par de dias (o mas) un gran problema con el servidor proxy lo he revisado decenas de veces y no veo error aparente alguno entre iptables y squid, adjunto configuracion de ambos. Lo puedes revisar los equipos tienen internet pero el script no filtra nada (IP ni filtros de contenido) por lo cual todos tienen acceso al contenido web Todas las sugerencias con bienvenidas SQUID .. #Versión 3.5.4.2 acl SSL_ports port 443 563 acl Safe_ports port 80 acl Safe_ports port 20 acl Safe_ports port 21 acl Safe_ports port 22 acl Safe_ports port 443 563 acl Safe_ports port 70 acl Safe_ports port 210 acl Safe_ports port 1025-65535 acl Safe_ports port 280 acl Safe_ports port 488 acl Safe_ports port 591 acl Safe_ports port 777 acl Safe_ports port 901 acl purge method PURGE acl CONNECT method CONNECT visible_hostname proxy.dominio http_port 3128 transparent http_port 8080 transparent cache_mem 256 MB cache_dir ufs /var/spool/squid 2 16 256 #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl lan src 190.0.0.0/255.255.255.0 Redes Completas ### Red clientes acl sinRESTRICCION src /etc/squid/usuariosip/ip-sinrestriccion acl nosaleainternet src /etc/squid/usuariosip/nosale-ip-internet acl saleipmedia src /etc/squid/usuariosip/sale-ip-media ### FIN Red clientes ### No utilizados #acl jefes src /etc/squid/usuariosip/jefes #acl administrativos src /etc/squid/usuariosip/administrativos #acl basico src /etc/squid/usuariosip/basico ### Especificaciones #///acl update dstdomain .microsoftupdate.com .microsoft.com .windowsupdate.com acl listaextensiones urlpath_regex -i /etc/squid/restricciones/listaextenciones acl inocentes url_regex /etc/squid/restricciones/inocentes acl archivospeligrosos urlpath_regex -i /etc/squid/restricciones/archivospeligrosos acl bloqueados url_regex /etc/squid/restricciones/bloqueados ### FIN Especificaciones Acceso a Internet http_access allow sinRESTRICCION http_access deny !Safe_ports !SSL_ports http_access deny CONNECT !SSL_ports http_access allow manager localhost http_access deny manager #http_access deny nosaleainternet listaextensiones archivospeligrosos bloqueados http_access allow lan !nosaleainternet http_reply_access deny all #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual log_fqdn on cache_effective_user squid cache_effective_group squid icp_access allow all max_filedesc 2048 ie_refresh on access_log /var/log/squid/access.log squid .. IPTABLES .. iptables -F iptables -X iptables -Z iptables -t nat -F iptables -P INPUT ACCPET iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT /sbin/iptables -A INPUT -i lo -j ACCEPT iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 80 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 20 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 21 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 22 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 70 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 210 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 280 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 488 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 591 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 777 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 443 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 563 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 901 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 110 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 25 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p udp --destination-port 53 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 1863 -j ACCEPT iptables -A FORWARD -s 190.0.0.0/24 -i eth0 -j DROP iptables -t nat -A PREROUTING -s 190.0.0.0/24 -i eth0 -p tcp --destination-port 80 -j REDIRECT -to-port 3128 iptables -t nat -A POSTROUTING -s 190.0.0.0/24 -o eth1 -j MASQUERADE echo 1 /proc/sys/net/ipv4/ip_forward service iptables save service iptables start .. -- Atte. Pablo Zúñiga E (+56 9) - 82129677 Estudiante de Técnico en redes de computadores Ing. (E) en
Re: servidor proxy, problemas al filtrar
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pablo Zuñiga wrote: Estimados, que tal? Tengo hace un par de dias (o mas) un gran problema con el servidor proxy lo he revisado decenas de veces y no veo error aparente alguno entre iptables y squid, adjunto configuracion de ambos. Lo puedes revisar los equipos tienen internet pero el script no filtra nada (IP ni filtros de contenido) por lo cual todos tienen acceso al contenido web Todas las sugerencias con bienvenidas Una verdadera ensalada #Versión 3.5.4.2 visible_hostname proxy.dominio http_port 3128 transparent http_port 8080 transparent Porqué 2 veces...? cache_mem 256 MB cache_dir ufs /var/spool/squid 2 16 256 #///http_access allow all #http_access allow jefes !archivospeligrosos #http_access allow soporte !archivospeligrosos #///http_access deny all_host virtual acl all src 0.0.0.0/0.0.0.0 - ??? acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl lan src 190.0.0.0/255.255.255.0 Eres consciente de que estas usando una subred clase B, que NO es privada lo que cual te puede generar el gran quilombo (como decimos aqui en Argentina) que puedes tener si necesitas rutear o llegar a un server con una IP pública como el que tengo en casa (por ejemplo = 190.191.223.24) cuando tengas 2 caminos distintos a esa subred desde tu server, siendo lo mas probable que intente rutear a tu red local. http://en.wikipedia.org/wiki/Private_network Redes Completas ### Red clientes acl sinRESTRICCION src /etc/squid/usuariosip/ip-sinrestriccion acl nosaleainternet src /etc/squid/usuariosip/nosale-ip-internet acl saleipmedia src /etc/squid/usuariosip/sale-ip-media ### FIN Red clientes ### No utilizados #acl jefes src /etc/squid/usuariosip/jefes #acl administrativos src /etc/squid/usuariosip/administrativos #acl basico src /etc/squid/usuariosip/basico Las reglas ACLs no se definen asi, me vas a disculpar pero es cualquier cosa eso publicaste. Te paso unos links para que les eches una mirada. http://www.squid-cache.org/Doc/config/acl/ http://wiki.squid-cache.org/SquidFaq/SquidAcl Te aconsejaria que simplifiques bastante lo que necesitas hacer, si se te complica squid + iptables, puede usar firehol para armar las reglas netfilter. http://firehol.sourceforge.net/ Saludos - -- La Voluntad es el único motor de nuestros logros http://ngen.com.ar/blog -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.9 (GNU/Linux) iEYEARECAAYFAkwGHJYACgkQN6aCDIWi44DJIgCfQqC2Y8vGog5KDVIuKIamer2n wyoAoLcKLQOfiTy6+L+2D5un0kLlF8Do =2jPg -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/4c061c96.8080...@ngen.com.ar
Re: servidor proxy, problemas al filtrar
El mié, 02-06-2010 a las 04:05 -0400, Pablo Zuñiga escribió: Tengo hace un par de dias (o mas) un gran problema con el servidor proxy lo he revisado decenas de veces y no veo error aparente alguno entre iptables y squid, adjunto configuracion de ambos. ¿Antes funcionaba...? Si es así, ¿Que fue lo que cambió...? ¿Que se instaló, que se desinstaló, a quién se le dió permiso de root...? Un saludo JulHer signature.asc Description: Esta parte del mensaje está firmada digitalmente