Veo varias cosas fuera de sitio, primero, cuales son tus mascaras de subred /24 o /25, eso debes ver bien ya que en el firewall tiene /25 pero en las ACL de Squid es /24 (255.255.255.0), por ahi una error grave, otro en es como decian en reglas que estan demás, otra cosa que no veo muy bien es tu enmascaramiento, tienes esto:
iptables --table nat --append POSTROUTING --out-interface eth0 -j MASQUERADE Yo lo pondria asi: iptables --table nat --append POSTROUTING -s 192.168.1.0/?? --out-interface eth0 -j MASQUERADE iptables --table nat --append POSTROUTING -s 192.168.2.0/?? --out-interface eth0 -j MASQUERADE Donde ?? es tu mascara real y/o corregida de subred. Esto es algo que tambien no esta correcto: # Cerramos acceso de 192.168.2.1 por la eth1 iptables -A INPUT -s 192.168.2.0/25 -i eth0 -j DROP iptables -A INPUT -s 192.168.2.0/25 -i eth0 -j DROP El problema en realidad es tu firewall, depuralo y todo estará trabajando bien. Otra cosa, tiene declarado 1Gb de Cache mem!! como que no es mucho???? 2008/7/1 Walter Cervini <[EMAIL PROTECTED]>: > Una pequeña critica constructiva, sin animos de ofender. > Lo que te puedo recomendar, es que la ultima regla de cada una de las > cadenas de iptables sea drop o reject . Por otro lado tienes reglas de mas, > como el caso de forward en squid, squid es un servicio local de tu GW por > ende solo tienes que usar reglas en INPUT y OUTPUT. Otra recomendacion es > que si tienes una regla doble para cada una de las redes elimines el origen > como por ejemplo > iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 80 -j ACCEPT > > iptables -A FORWARD -s 192.168.1.0/25 -m state --state NEW -p tcp --dport > 80 -j ACCEPT > de esta manera se asume que como es una nueva peticion venga de la LAN > > otra cosa, como primera regla podria > iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT > esto evita volver a leer todas las reglas de filtrado, se supone que ya > paso por algunas de las reglas y no debes volver a consultarlas > > 2008/7/1 Aland Laines <[EMAIL PROTECTED]>: > > >> bueno otra ves molestandolos, el problema que tengo es que tengo dos redes >> en el instituto ambas salen por un centos 5.1 con nat y squid transparente, >> el problema esta en que la red 192.168.1.0 navega de manera normal, pero >> la la red 192.168.2.0 navega pero no pueden loguearse en gmail ni en >> hotmail, cosa que si puede el primer rango, ya probe haciendo el flush de >> reglas e insertarlas de nuevo pero aun asi, lo raro es que estuvo todo >> funcionando bien con el centos 5 que tenia el squid 2.5 y ahora es el 2.6 , >> les pongo mis scripts de iptables y el de squid para que me den alguna pista >> o la manera de mejorar ambos, (en iptables ando medio perdido pero al menos >> pude hacer ese script con modelos de la web). >> >> Gracias de antemano, >> >> >> #!/bin/sh >> ## SCRIPT de IPTABLES >> ## Ejemplo de script para firewall entre red-local e internet >> ## con filtro para que solo se pueda navegar. >> echo Aplicando Reglas de Firewall... >> ## FLUSH de reglas >> /sbin/iptables -F >> /sbin/iptables -X >> /sbin/iptables -Z >> #modulos >> modprobe ip_conntrack >> modprobe ip_conntrack_ftp >> modprobe ip_conntrack_irc >> modprobe ipt_REJECT >> modprobe ipt_REDIRECT >> modprobe ipt_TOS >> modprobe ipt_MASQUERADE >> modprobe ipt_LOG >> modprobe iptable_mangle >> modprobe iptable_nat >> modprobe ip_nat_ftp >> modprobe ip_nat_irc >> ## Establecemos politica por defecto >> /sbin/iptables -P INPUT ACCEPT >> /sbin/iptables -P OUTPUT ACCEPT >> /sbin/iptables -P FORWARD ACCEPT >> /sbin/iptables -t nat -P PREROUTING ACCEPT >> /sbin/iptables -t nat -P POSTROUTING ACCEPT >> # Hacemos un proxy transparente >> iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT >> --to-port 3128 >> iptables -t nat -A PREROUTING -i eth2 -p tcp --dport 80 -j REDIRECT >> --to-port 3128 >> ## Empezamos a filtrar >> ## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN >> # El localhost se deja (por ejemplo conexiones locales a mysql) >> iptables -A INPUT -i lo -j ACCEPT >> # Al firewall tenemos acceso desde la red local >> iptables -A INPUT -s 192.168.1.0/25 -i eth1 -j ACCEPT >> iptables -A INPUT -s 192.168.2.0/25 -i eth2 -j ACCEPT >> # Cerramos acceso de 192.168.2.1 por la eth1 >> iptables -A INPUT -s 192.168.2.0/25 -i eth0 -j DROP >> iptables -A INPUT -s 192.168.2.0/25 -i eth0 -j DROP >> >> ## Ahora con regla FORWARD filtramos el acceso de la red local >> ## al exterior. Como se explica antes, a los paquetes que no van dirigidos >> al >> ## propio firewall se les aplican reglas de FORWARD >> #Aceptamos que vayan a puertos 80 >> iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 80 -j ACCEPT >> iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 80 -j ACCEPT >> #Aceptamos que vayan a puertos https >> iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 443 -j >> ACCEPT >> iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 443 -j >> ACCEPT >> # Aceptamos salida a FTP >> iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 21 -j ACCEPT >> iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 21 -j ACCEPT >> # Aceptamos que vayan a puertos SQUID >> > ############################### > Estas reglas al squid estan de mas > ############################### > >> >> iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 3128 -j >> ACCEPT >> iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 3128 -j >> ACCEPT >> # Aceptamos que consulten los DNS >> iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p tcp --dport 53 -j ACCEPT >> iptables -A FORWARD -s 192.168.1.0/25 -i eth1 -p udp --dport 53 -j ACCEPT >> iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p tcp --dport 53 -j ACCEPT >> iptables -A FORWARD -s 192.168.2.0/25 -i eth2 -p udp --dport 53 -j ACCEPT >> #Aceptamos que conecten SSH y Telnet >> iptables -A INPUT -p tcp --dport 22 -j ACCEPT >> #Aceptamos puerto HTTP y MySql desde fuera >> iptables -A INPUT -i eth0 -p tcp -m tcp --dport 80 -m state --state NEW -j >> ACCEPT >> iptables -A INPUT -p tcp -m tcp --dport 3306 -m state --state NEW -j >> ACCEPT >> iptables -A INPUT -i eth0 -p tcp -m tcp --dport 8080 -m state --state NEW >> -j ACCEPT >> >> #MSN messenger >> iptables -A FORWARD -p TCP --dport 1863 -j REJECT >> # Ahora hacemos enmascaramiento de la red local >> # y activamos el BIT DE FORWARDING (imprescindible!!!!!) >> iptables --table nat --append POSTROUTING --out-interface eth0 -j >> MASQUERADE >> iptables --append FORWARD --in-interface eth1 -j ACCEPT >> iptables --table nat --append POSTROUTING --out-interface eth0 -j >> MASQUERADE >> iptables --append FORWARD --in-interface eth2 -j ACCEPT >> >> # Con esto permitimos hacer forward de paquetes en el firewall, o sea >> # que otras máquinas puedan salir a traves del firewall. >> echo 1 > /proc/sys/net/ipv4/ip_forward >> ## Y ahora cerramos los accesos indeseados del exterior: >> # Nota: 0.0.0.0/0 significa: cualquier red >> # Cerramos el rango de puerto bien conocido >> iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP >> iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP >> echo " OK . Verifique que lo que se aplica con: iptables -L -n -v" >> # Fin del script >> # Configuracion de servidor Proxy Squid >> # >> #------------------------------------------- >> # >> #Puerto de Servidor Proxy >> http_port 192.168.1.253:3128 transparent >> http_port 192.168.1.253:3128 transparent >> # Cache de memoria >> cache_mem 1024 MB >> cache_swap_low 90 >> cache_swap_high 95 >> maximum_object_size 8192 KB >> # Espacio de cache en HDD >> cache_dir ufs /var/spool/squid 2000 25 300 >> # Ftp anonimo >> ftp_user [EMAIL PROTECTED] >> ftp_passive on >> visible_hostname anubis >> # Etiquetas >> acl all src 0.0.0.0/0.0.0.0 >> acl manager proto cache_object >> acl localhost src 127.0.0.1/255.255.255.255 >> acl red-navegacion src 192.168.1.0/255.255.255.0 >> acl red-navegacion2 src 192.168.2.0/255.255.255.0 >> acl indeseados url_regex "/etc/squid/paginasprohibidas" >> acl download urlpath_regex "/etc/squid/download" >> # Reglas de Filtrado >> # Negamos el acceso a paginas listadas en el archivo >> "/etc/squid/paginasprohibidas" >> http_access allow localhost manager >> http_access allow red-navegacion !indeseados !download >> http_access allow red-navegacion2 !indeseados !download >> http_access deny all >> >> -- >> Aland Laines Calonge >> Tecnico en Informatica >> http://www.lainessoluciones.com (en construccion) >> >> _______________________________________________ >> CentOS-es mailing list >> CentOS-es@centos.org >> http://lists.centos.org/mailman/listinfo/centos-es >> >> > > _______________________________________________ > CentOS-es mailing list > CentOS-es@centos.org > http://lists.centos.org/mailman/listinfo/centos-es > >
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
