Re: SQUID Proxy Transparente
aca sale bien detallado lo que debes hacer http://beta.redes-linux.com/manuales/proxy/trans_proxi_sp.pdf saludos El 14 de abril de 2010 15:33, Javier Garay javierzga...@gmail.comescribió: ¿Como tienes tu topología de red? ¿Estas usando router, switch o algun tipo de conmutador para conectarte a tu ISP? Por otra parte el SQUID puedes configurarlo de dos formas: 1.- De tener 2 tarjetas de red en el servidor puedes hacerlo como proxy + bridge. Solo tienes que usar Squid, ebtables y iptables. Para eso te aconsejo que leas esta guía ( http://freshmeat.net/articles/configuring-a-transparent-proxywebcache-in-a-bridge-using-squid-and-ebtables ), solo falta agregar la palabra transparent a la configuración http_port de la configuración de SQUID. Ejemplo: http_port 8080 transparent El esquema seria: Hosts - (eth0) SQUID (eth1) - Internet 2.- Si solo tienes una tarjeta de red entonces debes rutear todo el trafico de tu red al SQUID y de aquí a tu ISP. Esto lo haces configurando en tus hosts como gateway el servidor SQUID y añadiendo una regla de ruteo en tu SQUID para que envíe el trafico a tu ISP, esto lo haces con la herramienta iproute, especificamente con el comando route add default gateway DIRECCION_IP_GATEWAY dev, donde dev es la interfaz a la que esta conectado tu ISP. Además debes añadir la misma regla a IPTABLES que usas en el punto anterior, aca no usas ebtables. Espero que te ayude. -- Atte, Javier Andrés Garay G. Ingeniero en Informática Plug And Play Net S.A. www.papnet.cl
Correo Spam
Hola, le escribo para ver si me pueden ayudar, he tratado de investigar pero no he podido resolver nada, desde hace un tiempo estoy recibiendo una cantidad impresionante de correos rebotes postmaster desde yahoo principalmente donde entre todas las cosas se dice que desde mi dominio.cl le envie un correo a una cuenta que no existe en Yahoo. Pues bien eso no seria nada, pero el problema que me llegan hasta mas de 6000 rebotes en un dia y las cuentas del tipo n...@midominio.cl no existen, me pueden decir como se generan, como evito que esto siga pasando, revise mi red y no hay pc usando el puerto 25, otro dato el rebote dice que el mensaje original viene de una IP dinamica que obviamente no es la mia. The original message was received at Thu, 15 Apr 2010 09:54:16 -0400 from 77-21-152-113-dynip.superkabel.de [77.21.152.113] Gracias por la orientación que me puedan dar. Saludos Andres _ Ahora no hace falta estar conectado para ver tus mails. Chequea tu Hotmail con Windows Live Mail, es fácil. Ver más. http://www.microsoft.com/latam/windows/windowslive/products/mail.aspx
Rayos con SQUID. Ayuda porfaa
señores. les suplico su ayuda porfa, estoy contra el tiempo y no se me ocurre que mas hacer. he leido los manuales que me envian, los tips, ayudas de internet, pero no se que estoy haciendo mal. no me quiere resultar el proxy transparente. les comento. Es una conexion ADSL de VTR (ip dinamica) que se conecta directo al servidor linux (del modem VTR al puerto ETH0 del computador). desde el servidor linux a un access point que entrega señal inalambrica (por el puerto eth1). En la maquina linux tengo: Fedora Core 6 (kernel: 2.6.18-1.2798.fc6) Squid: squid-2.6.STABLE4.1 Iptables: iptables-1.3.5-1.2.1 los equipos clientes tienen windows xp con navegador firefox e IE8 * Cuando configuro el squid, me funciona bien si es que en cada navegador, le indico la ip y el puerto del proxy. pero lo que busco es que a los navegadores no haya que configurarles nada. y que funcionen los clientes de correo como el outlook. por favor, si alguien ha hecho esto, que me pueda dar los pasos, o indicar donde me estoy equivocando. por si sirve de algo, dejo aca lo que tengo en el squid. y en cuanto a las reglas de iptables, les agradaceria me las dijeran, que ya he probado tantas, que seria muy largo escribirlas todas. - squid.conf - http_port 3128 transparent hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 1024 MB cache_dir ufs /var/spool/squid 700 16 256 access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.100.0/255.255.255.0 acl sitiosdenegados url_regex /etc/squid/sitiosdenegados acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access allow todalared !sitiosdenegados http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all http_reply_access allow all icp_access allow all cache_mgr administra...@redlocal httpd_accel_host virtual httpd_accel_port 80 # httpd_accel_single_host off httpd_accel_with_proxy on httpd_accel_uses_host_header on offline_mode on header_access X-Forwarded-For deny all header_access Via denyny all header_access Accept-Language deny all header_replace Accept-Language es,en header_access User-Agent deny all header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit) coredump_dir /var/spool/squid visible_hostname servidor.redlocal
Re: Rayos con SQUID. Ayuda porfaa
2010/4/15 listali...@tecnocreativo.cl señores. les suplico su ayuda porfa, estoy contra el tiempo y no se me ocurre que mas hacer. he leido los manuales que me envian, los tips, ayudas de internet, pero no se que estoy haciendo mal. no me quiere resultar el proxy transparente. les comento. Es una conexion ADSL de VTR (ip dinamica) que se conecta directo al servidor linux (del modem VTR al puerto ETH0 del computador). desde el servidor linux a un access point que entrega señal inalambrica (por el puerto eth1). En la maquina linux tengo: Fedora Core 6 (kernel: 2.6.18-1.2798.fc6) Squid: squid-2.6.STABLE4.1 Iptables: iptables-1.3.5-1.2.1 los equipos clientes tienen windows xp con navegador firefox e IE8 * Cuando configuro el squid, me funciona bien si es que en cada navegador, le indico la ip y el puerto del proxy. pero lo que busco es que a los navegadores no haya que configurarles nada. y que funcionen los clientes de correo como el outlook. Para que sea transparente tienes que hacer la redireccion de puertos en iptables, decirle que todo lo que tenga puerto de destino 80 lo rediriga al puerto del squid, asi no tienes que estar configurando el proxy en los pc. mira esto http://tldp.org/HOWTO/TransparentProxy-6.html ahi puedes ver lo que te falta de como hacer la redireccion. Saludos, Arturo.
Re: Rayos con SQUID. SOLUCIONADO (para quien le sirva)
Muchas gracias a todos los que me apoyaron con sus respuestas, ideas y conocimientos. En especial a Peter, que me dio una solucion preparada para mi caso. Gracias Peter. aca la solucion. adjunto el squid.conf, y mas abajito, las reglas iptables. --- squid.conf -- http_port 3128 transparent hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? cache deny QUERY acl apache rep_header Server ^Apache broken_vary_encoding allow apache cache_mem 64 MB cache_dir ufs /var/spool/squid 700 16 256 access_log /var/log/squid/access.log squid refresh_pattern ^ftp: 144020% 10080 refresh_pattern ^gopher:14400% 1440 refresh_pattern . 0 20% 4320 acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl todalared src 192.168.100.0/255.255.255.0 acl sitiosdenegados url_regex /etc/squid/sitiosdenegados acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access allow todalared !sitiosdenegados http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all http_reply_access allow all icp_access allow all cache_mgr administra...@redlocal offline_mode on header_access X-Forwarded-For deny all header_access Via deny all header_access Accept-Language deny all header_replace Accept-Language es,en header_access User-Agent deny all header_replace User-Agent Nutscrape/1.0 (CP/M; 8-bit) coredump_dir /var/spool/squid visible_hostname servidor.redlocal --- fin squid --- +++ --- REGLAS IPTABLES - #!/bin/bash /sbin/modprobe ipt_MASQUERADE # Activas el forwarding echo 1 /proc/sys/net/ipv4/ip_forward /sbin/iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE /sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 --- FIN REGLAS -- saludos a todos y gracias. Orlando Alvarez 2010/4/15 listali...@tecnocreativo.cl señores. les suplico su ayuda porfa, estoy contra el tiempo y no se me ocurre que mas hacer. he leido los manuales que me envian, los tips, ayudas de internet, pero no se que estoy haciendo mal. no me quiere resultar el proxy transparente. les comento. Es una conexion ADSL de VTR (ip dinamica) que se conecta directo al servidor linux (del modem VTR al puerto ETH0 del computador). desde el servidor linux a un access point que entrega señal inalambrica (por el puerto eth1). En la maquina linux tengo: Fedora Core 6 (kernel: 2.6.18-1.2798.fc6) Squid: squid-2.6.STABLE4.1 Iptables: iptables-1.3.5-1.2.1 los equipos clientes tienen windows xp con navegador firefox e IE8 * Cuando configuro el squid, me funciona bien si es que en cada navegador, le indico la ip y el puerto del proxy. pero lo que busco es que a los navegadores no haya que configurarles nada. y que funcionen los clientes de correo como el outlook. Para que sea transparente tienes que hacer la redireccion de puertos en iptables, decirle que todo lo que tenga puerto de destino 80 lo rediriga al puerto del squid, asi no tienes que estar configurando el proxy en los pc. mira esto http://tldp.org/HOWTO/TransparentProxy-6.html ahi puedes ver lo que te falta de como hacer la redireccion. Saludos, Arturo.
Bloquear chmod a través de samba
Tengo una ruta compartida en un server samba, en el cual tengo las directivas de force directory mode y force create mode. en modo 775, de esa forma todos usuarios de X grupo pueden escribir los archivos sin problemas. El problema que tengo es que los macosx, cuando crean una carpeta, luego lanzan un chmod 755 a archivo o carpeta creada, y los demás del grupo no pueden escribir. Estaba pensando en usar ACL, pero creo que lo ideal seria bloquear las peticiones chmod por samba, pero no encuentro la opción. Espero me puedan ayudar, Saludos! Aquí adjunto las lineas de cuando un usuario mac crea una carpeta, y a esta se le envía después un chmod. Apr 13 17:12:39 server smbd_audit: xxusuarioxx|xxusuarioxx|192.168.1.204|mkdir|ok|carpeta sin título Apr 13 17:12:39 server smbd_audit: xxusuarioxx|xxusuarioxx|192.168.1.204|chmod|ok|carpeta sin título|755
Re: Correo Spam
En tus DNS agrega un registro txt con un spf indicando que ips pueden enviar correos con tu dominio, con eso, en yahoo, hotmamail, gmail, etc los correos que salgan con @tudominio desde alguna ip que no sea las que especificaste, los correos serán descartados. http://es.wikipedia.org/wiki/Sender_Policy_Framework Saludos!. Atte. César Sepúlveda Barra. El 15 de abril de 2010 10:54, Andres Cruz Rodriguez acro...@hotmail.comescribió: Hola, le escribo para ver si me pueden ayudar, he tratado de investigar pero no he podido resolver nada, desde hace un tiempo estoy recibiendo una cantidad impresionante de correos rebotes postmaster desde yahoo principalmente donde entre todas las cosas se dice que desde mi dominio.clle envie un correo a una cuenta que no existe en Yahoo. Pues bien eso no seria nada, pero el problema que me llegan hasta mas de 6000 rebotes en un dia y las cuentas del tipo n...@midominio.cl no existen, me pueden decir como se generan, como evito que esto siga pasando, revise mi red y no hay pc usando el puerto 25, otro dato el rebote dice que el mensaje original viene de una IP dinamica que obviamente no es la mia. The original message was received at Thu, 15 Apr 2010 09:54:16 -0400 from 77-21-152-113-dynip.superkabel.de [77.21.152.113] Gracias por la orientación que me puedan dar. Saludos Andres _ Ahora no hace falta estar conectado para ver tus mails. Chequea tu Hotmail con Windows Live Mail, es fácil. Ver más. http://www.microsoft.com/latam/windows/windowslive/products/mail.aspx
Re: Bloquear chmod a través de samba
2010/4/15 César Sepúlveda kropotki...@gmail.com: Tengo una ruta compartida en un server samba, en el cual tengo las directivas de force directory mode y force create mode. en modo 775, de esa forma todos usuarios de X grupo pueden escribir los archivos sin problemas. ¿Qué permisos tienes exactamente? Para compartir una carpeta en UNIX, lo que debes hacer: 1. Crear un grupo (ej: yo uso src para desarrollo) 2. Agregar la gente al grupo (adduser amartoq src)... Si ya están conectados, deben reconectarse :/ 3. Crear una carpeta. mkdir /foo/bar/repositorio 4. Cambiar el grupo a la carpeta. chgrp src /foo/bar/repositorio 5. Darle permisos de RWX al grupo + el bit SGID. chmod g+rwxs /foo/bar/repositorio Debes terminar con algo parecido a esto: s -ld /tmp/99/ drwxrwsr-x 2 root src4096 Apr 16 01:40 /tmp/99/ El bit sgid lo que dice es básicamente un mantengan los permisos, por favor! a los usuarios del grupo. Ellos los pueden cambiar después, pero no sé como se comportará tras samba (si mal no recuerdo, funciona) ni MacOS (también sigue las prácticas UNIX). Nos cuentas, -- Aldrin Martoq http://aldrin.martoq.cl/