Re: duda con squid
2009/8/20 Miguel Angel Amador L : > 2009/8/19 Juan Andres Ramirez : >> 2009/8/19 Miguel Angel Amador L : >>> 2009/8/19 Juan Andres Ramirez : Hola Amigos: Tengo funcionando una máquina en forma correcta con squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace lo que tiene que hacer, el problema es que no puedo bloquear nada que este en el mismo rango de direccion ip que el firewall, me explico: -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128 Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes IP: eth1-> 192.168.100.2 ->entran las sub redes eth2> 192.168.100.4 -> salen las sub redes. Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace sin problemas. El problema lo tengo porque quiero bloquear un server que esta en el rango 192.168.100.XXX , aplico la regla: == acl wordpress url_regex http://192.168.100.72/sitio #causa el mismo efecto acl wordpress url_regex http://192.168.100.72 #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX http_access deny sitio == Pues bien, si accedo desde un computador con el rango ip 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde la red con rango 192.168.100.XXX , es como si la regla no la tomara al estar dentro de este rango. Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias. >>> Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC >>> cliente al intentar buscar la pagina web que no te bloquea? >>> .. has pensado que tal vez >> >> Si esta resolviendo un windows 2003. >> >>> >>> mmm.. eth1-> 192.168.100.2 ->entran las sub redes eth2> 192.168.100.4 -> salen las sub redes. >>> >>> Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?... >> >> Las 2 tarjetas estan en el mismo segmento. >> >>> y ambos segmentos estan fisicamente separados? hay algo raro en tu >>> explicacion... >>> >> >> Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas >> las maquinas que tienen como puerta de enlace esa direccion), y la >> otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera. >> Es un firewall con proxy transparente. >> >>> Saludos >>> >>> -- >>> Miguel >>> >>> >> >> > > mmm ya, el tema es que si tienes un windows o un dns interno.. cuando > preguntas por la pagina http://mi-intranet y el windows resuelve > 192.168.100.72, tu computador se conecta directamente a esa ip, porque > esta en el mismo segmento de red que el computador que consulta, lo > podrias probar haciendo un traceroute a la ip, o un tracert si estas > en windows,y veras que no pasas por el firewall...el router solo > recibira paquetes que vayan a un segmento de red distinto al tuyo, ya > que si miras la tabla de rutas de tu PC (en windows es route print), > veras que para la salida a tu red, no ocupa el firewall, si no que > suelta el paquete a la red y el switch se encarga de pasarlo a la boca > correcta en que tiene registrada la mac address del servidor. > en mis tiempos, los routers, o firewall ruteaban cuando tenian > segmentos distintos de red en sus puertas (alguna vez vi un ejemplo en > que ambas tarjetas tenian el mismo segmento, pero los paquetes eran > marcados y ruteados segun la marca que definia la tarjeta por la cual > venian, y no creo que si lo hubieras hecho asi, hubieras omitido ese > dato). > Si quisieras que el pc cliente pase obligadamente por el proxy, > deberias configurarlo en el navegador o en el servidor de dominio para > que aplique a los pc de clientes del dominio. > o en el peor de los casos... restringues en el servidor web, las ips > de usuarios que pueden acceder a el. > > Espero te sirva.. o manda un dibujito de tu red. Si me sirve gracias, y me imaginaba que podria ser algo asi. Muchas gracias. > Salu2 > -- > Miguel > >
Re: duda con squid
2009/8/19 Juan Andres Ramirez : > 2009/8/19 Miguel Angel Amador L : >> 2009/8/19 Juan Andres Ramirez : >>> Hola Amigos: >>> Tengo funcionando una máquina en forma correcta con >>> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace >>> lo que tiene que hacer, el problema es que no puedo bloquear nada que >>> este en el mismo rango de direccion ip que el firewall, me explico: >>> >>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 >>> --dport 80 -j REDIRECT --to-ports 3128 >>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 >>> --dport 80 -j REDIRECT --to-ports 3128 >>> >>> Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes >>> IP: >>> >>> eth1-> 192.168.100.2 ->entran las sub redes >>> eth2> 192.168.100.4 -> salen las sub redes. >>> >>> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace >>> sin problemas. >>> >>> El problema lo tengo porque quiero bloquear un server que esta en el >>> rango 192.168.100.XXX , aplico la regla: >>> >>> == >>> acl wordpress url_regex http://192.168.100.72/sitio >>> #causa el mismo efecto >>> acl wordpress url_regex http://192.168.100.72 >>> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX >>> http_access deny sitio >>> == >>> >>> Pues bien, si accedo desde un computador con el rango ip >>> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde >>> la red con rango 192.168.100.XXX , es como si la regla no la tomara al >>> estar dentro de este rango. >>> >>> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias. >>> >>> >> Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC >> cliente al intentar buscar la pagina web que no te bloquea? >> .. has pensado que tal vez > > Si esta resolviendo un windows 2003. > >> >> mmm.. >>> eth1-> 192.168.100.2 ->entran las sub redes >>> eth2> 192.168.100.4 -> salen las sub redes. >> >> Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?... > > Las 2 tarjetas estan en el mismo segmento. > >> y ambos segmentos estan fisicamente separados? hay algo raro en tu >> explicacion... >> > > Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas > las maquinas que tienen como puerta de enlace esa direccion), y la > otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera. > Es un firewall con proxy transparente. > >> Saludos >> >> -- >> Miguel >> >> > > mmm ya, el tema es que si tienes un windows o un dns interno.. cuando preguntas por la pagina http://mi-intranet y el windows resuelve 192.168.100.72, tu computador se conecta directamente a esa ip, porque esta en el mismo segmento de red que el computador que consulta, lo podrias probar haciendo un traceroute a la ip, o un tracert si estas en windows,y veras que no pasas por el firewall...el router solo recibira paquetes que vayan a un segmento de red distinto al tuyo, ya que si miras la tabla de rutas de tu PC (en windows es route print), veras que para la salida a tu red, no ocupa el firewall, si no que suelta el paquete a la red y el switch se encarga de pasarlo a la boca correcta en que tiene registrada la mac address del servidor. en mis tiempos, los routers, o firewall ruteaban cuando tenian segmentos distintos de red en sus puertas (alguna vez vi un ejemplo en que ambas tarjetas tenian el mismo segmento, pero los paquetes eran marcados y ruteados segun la marca que definia la tarjeta por la cual venian, y no creo que si lo hubieras hecho asi, hubieras omitido ese dato). Si quisieras que el pc cliente pase obligadamente por el proxy, deberias configurarlo en el navegador o en el servidor de dominio para que aplique a los pc de clientes del dominio. o en el peor de los casos... restringues en el servidor web, las ips de usuarios que pueden acceder a el. Espero te sirva.. o manda un dibujito de tu red. Salu2 -- Miguel
Re: duda con squid
2009/8/19 Miguel Angel Amador L : > 2009/8/19 Juan Andres Ramirez : >> Hola Amigos: >> Tengo funcionando una máquina en forma correcta con >> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace >> lo que tiene que hacer, el problema es que no puedo bloquear nada que >> este en el mismo rango de direccion ip que el firewall, me explico: >> >> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 >> --dport 80 -j REDIRECT --to-ports 3128 >> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 >> --dport 80 -j REDIRECT --to-ports 3128 >> >> Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes >> IP: >> >> eth1-> 192.168.100.2 ->entran las sub redes >> eth2> 192.168.100.4 -> salen las sub redes. >> >> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace >> sin problemas. >> >> El problema lo tengo porque quiero bloquear un server que esta en el >> rango 192.168.100.XXX , aplico la regla: >> >> == >> acl wordpress url_regex http://192.168.100.72/sitio >> #causa el mismo efecto >> acl wordpress url_regex http://192.168.100.72 >> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX >> http_access deny sitio >> == >> >> Pues bien, si accedo desde un computador con el rango ip >> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde >> la red con rango 192.168.100.XXX , es como si la regla no la tomara al >> estar dentro de este rango. >> >> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias. >> >> > Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC > cliente al intentar buscar la pagina web que no te bloquea? > .. has pensado que tal vez Si esta resolviendo un windows 2003. > > mmm.. >> eth1-> 192.168.100.2 ->entran las sub redes >> eth2> 192.168.100.4 -> salen las sub redes. > > Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?... Las 2 tarjetas estan en el mismo segmento. > y ambos segmentos estan fisicamente separados? hay algo raro en tu > explicacion... > Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas las maquinas que tienen como puerta de enlace esa direccion), y la otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera. Es un firewall con proxy transparente. > Saludos > > -- > Miguel > >
Re: duda con squid
2009/8/19 Juan Andres Ramirez : > Hola Amigos: > Tengo funcionando una máquina en forma correcta con > squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace > lo que tiene que hacer, el problema es que no puedo bloquear nada que > este en el mismo rango de direccion ip que el firewall, me explico: > > -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 > --dport 80 -j REDIRECT --to-ports 3128 > -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 > --dport 80 -j REDIRECT --to-ports 3128 > > Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes > IP: > > eth1-> 192.168.100.2 ->entran las sub redes > eth2> 192.168.100.4 -> salen las sub redes. > > Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace > sin problemas. > > El problema lo tengo porque quiero bloquear un server que esta en el > rango 192.168.100.XXX , aplico la regla: > > == > acl wordpress url_regex http://192.168.100.72/sitio > #causa el mismo efecto > acl wordpress url_regex http://192.168.100.72 > #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX > http_access deny sitio > == > > Pues bien, si accedo desde un computador con el rango ip > 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde > la red con rango 192.168.100.XXX , es como si la regla no la tomara al > estar dentro de este rango. > > Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias. > > Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC cliente al intentar buscar la pagina web que no te bloquea? .. has pensado que tal vez mmm.. > eth1-> 192.168.100.2 ->entran las sub redes > eth2> 192.168.100.4 -> salen las sub redes. Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?... y ambos segmentos estan fisicamente separados? hay algo raro en tu explicacion... Saludos -- Miguel
duda con squid
Hola Amigos: Tengo funcionando una máquina en forma correcta con squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace lo que tiene que hacer, el problema es que no puedo bloquear nada que este en el mismo rango de direccion ip que el firewall, me explico: -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128 -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0 --dport 80 -j REDIRECT --to-ports 3128 Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes IP: eth1-> 192.168.100.2 ->entran las sub redes eth2> 192.168.100.4 -> salen las sub redes. Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace sin problemas. El problema lo tengo porque quiero bloquear un server que esta en el rango 192.168.100.XXX , aplico la regla: == acl wordpress url_regex http://192.168.100.72/sitio #causa el mismo efecto acl wordpress url_regex http://192.168.100.72 #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX http_access deny sitio == Pues bien, si accedo desde un computador con el rango ip 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde la red con rango 192.168.100.XXX , es como si la regla no la tomara al estar dentro de este rango. Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias.