Problemas Con Squid

Hace rato que no trabajo con Squid e iptables, pero por que tiene comentariada esta línea?:

-A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE

Con:

-t nat -A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE

haría nat al tráfico de su red a internet (incluyendo el puerto que necesita), con ello le funcionarían además otros puertos que necesite en el futuro (ftp, ssh por ejemplo).
Con las lineas que tienen REDIRECT está obligando a su red a usar Squid como proxy/chache para web, y no salgan diréctamente (lo que harían si solo tuviera la línea con MASQUERADE).
 
Cuando yo llegue acá, al mes montaron un servidor proxy (squib) y un firewall (firewall builders), lo que querían era que para ingresar a internet todos los usuarios se tuviera que autenticar cada vez que abriera un navegador que estuviera configurado con el servidor proxy. En el caso de los usuarios importantes (presidente, director etc), se agregaba la ip de la maquina y la mac al firewall, y con eso se saltaba el proxy y el usuario ingresaba automáticamente a internet sin login.

Como hay algunos usuario que deben ingresar a internet para verificar datos en la eps, o las empresas reguladoras de los servicios de salud. Entonces se creó un usuario: “usuario_unico”, que ingresara a cierto grupo de páginas.
Toes quedo asi:

acl facturacion_rad dstdomain //nd.ruaf.gov.co:8074/websitende ....... //aquí coloco la lista delas paginas que quiero permitir para usuario único.

acl usuarios_admin proxy_auth........ //aquí coloco la iista de los usuarios, que se deben autenticar pero tiene permisos a todo internet sin restricción

acl Facturacion proxy_au........//esta es la lista de usuarios que pueden ingresar a la regla facturacion_rad…. Aquí es donde coloco usuario único.

Y en la siguiente líneas es donde doy los permisos
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow localhost

# aquí es donde ligo usuario_unico con las paginas que quiero que ingrese

http_access allow facturacion_rad Facturacion


http_access allow all usuarios_admin
http_access allow intranet facturacion_rad usuarios_admin
http_access deny all


LA siguientes son las lineas del iptables, que en mi caso es un archivo .fw




$IPTABLES -A OUTPUT -p tcp -m tcp -m multiport --dports 53,80,110,443 -m state --state NEW -j ACCEPT
$IPTABLES -A OUTPUT -p udp -m udp -m multiport --dports 53,5000,1194 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p icmp -m icmp --icmp-type any -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p tcp -m tcp -m multiport --dports 53,80,110,443 -m state --state NEW -j ACCEPT
$IPTABLES -A INPUT -p udp -m udp -m multiport --dports 53,5000,1194 -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p icmp -m icmp --icmp-type any -m state --state NEW -j ACCEPT
$IPTABLES -A FORWARD -p tcp -m tcp -m multiport --dports 53,80,110,443 -m state --state NEW -j ACCEPT
 
-A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE

Con:

-t nat -A POSTROUTING -s 192.168.6.0/24 -o eth0 -j MASQUERADE


Mi linea esta asi:

-t nat -A POSTROUTING -o bond1 -s 10.10.15.0/16 -j
-t nat -A -o bond1 -j SNAT --to -source 190.154.256.23 //la salida a internet
 
Cuantas tarjetas de red tiene instaladas?????
yo tengo 3 y esta es la configuración actual
# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*nat
:pREROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:pOSTROUTING ACCEPT [0:0]
#-A PREROUTING -p tcp -m tcp -i eth1 --dport 443 -j REDIRECT --to-ports 3128
#-A PREROUTING -p tcp -m tcp -i eth2 --dport 443 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp -i eth1 --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -p tcp -m tcp -i eth2 --dport 80 -j REDIRECT --to-ports 9080
-A POSTROUTING -s 192.168.0.0/24 -o eth0 -j SNAT --to 192.168.10.254
-A POSTROUTING -s 192.168.60.0/24 -o eth0 -j SNAT --to 192.168.10.254
#-A POSTROUTING -s 192.168.10.0/24 -o eth0 -j MASQUERADE
COMMIT
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -i eth1 -j ACCEPT
-A INPUT -i eth2 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -p icmp -j ACCEPT
-A FORWARD -i lo -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -o eth0 -j ACCEPT
--insert FORWARD --destination 192.168.122.0/255.255.255.0 --out-interface virbr0 --match state --state ESTABLISHED,RELATED --jump ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

por que hace pre y pos routing a una misma red :O
 

Los últimos temas