Cordial saludo a todos. antes que nada agradecer a Marco a Carlos y jerry por su valiosa ayuda y si Carlos tenias toooda la razón, el ejemplo era el que tu me dijiste, el del error fui yo. jerry prometo estudiar el fwbuilder que se ve como interesante, pero me parece que es del mismo estilo de Guarddog o kMyfirewall. seguido se me presento este detalle en el squid al cual redirijo en el firewall del puerto 80 al 3128 (para ponerlo transparente) pero dentro de squid solo dejo navegar previa autenticación en un servidor ldap se preguntara alguien ehhh. transparente y autenticado? que es eso?, parece que no tiene sentido, pero lo tiene en el hecho que no quiero ir de pc en pc configurando el servidor proxy (es que me tocan como 200 pc's que configurar..... bueno tal vez lo de 200 sea exagerado... bueno son como 100.... bueno esta bien son como 5, pero igual me da pereza) lo curioso es que cuando en el navegador especifico el proxy 192.168.1.1:3128 me aparece una ventanita solicitandome usuario y password, pero cuando no coloco nada (osea sin proxy) no me aparece la ventana, solo intenta dirijirse a internet y como es logico aparece una ventana de squid donde se especifica "ACCESO DENEGADO" la pregunta es: que le falta al squid para que el navegador ponga la ventanita de usuario y password cuando no se especifica explicitamente el proxy.. a continuación pongo la configuración de squid y del SuSEfirewall2 por si a alguien le sirve Jaime V. /etc/sysconfig/SuSEfirewall2 FW_QUICKMODE="no" FW_DEV_EXT="eth2" FW_DEV_INT="eth0" FW_DEV_DMZ="eth1" FW_ROUTE="yes" FW_MASQUERADE="yes" FW_MASQ_DEV="eth2" FW_MASQ_NETS="0/0" FW_PROTECT_FROM_INTERNAL="no" FW_AUTOPROTECT_SERVICES="yes" FW_SERVICES_EXT_TCP="ssh" FW_SERVICES_EXT_UDP="" FW_SERVICES_EXT_IP="" FW_SERVICES_EXT_RPC="" FW_SERVICES_DMZ_TCP="" FW_SERVICES_DMZ_UDP="" FW_SERVICES_DMZ_IP="" FW_SERVICES_DMZ_RPC="" FW_SERVICES_INT_TCP="" FW_SERVICES_INT_UDP="" FW_SERVICES_INT_IP="" FW_SERVICES_INT_RPC="" FW_SERVICES_DROP_EXT="" FW_SERVICES_REJECT_EXT="0/0,tcp,113" FW_SERVICES_QUICK_TCP="" FW_SERVICES_QUICK_UDP="" FW_SERVICES_QUICK_IP="" FW_TRUSTED_NETS="" FW_ALLOW_INCOMING_HIGHPORTS_TCP="no" FW_ALLOW_INCOMING_HIGHPORTS_UDP="no" FW_FORWARD="0/0,10.10.10.2,tcp,80 \ 0/0,10.10.10.2,tcp,8080 \ 192.168.1.0/24,10.10.10.2,tcp,5432" FW_FORWARD_MASQ="0/0,10.10.10.2,tcp,80,80,200.89.96.138 \ 0/0,10.10.10.2,tcp,8080,8080,200.89.96.138" FW_REDIRECT="192.168.1.0/24,0/0,tcp,80,3128" FW_LOG_DROP_CRIT="yes" FW_LOG_DROP_ALL="no" FW_LOG_ACCEPT_CRIT="yes" FW_LOG_ACCEPT_ALL="no" FW_LOG_LIMIT="" FW_LOG="" FW_KERNEL_SECURITY="yes" FW_ANTISPOOF="no" FW_STOP_KEEP_ROUTING_STATE="no" FW_ALLOW_PING_FW="yes" FW_ALLOW_PING_DMZ="yes" FW_ALLOW_PING_EXT="no" FW_ALLOW_FW_TRACEROUTE="no" FW_ALLOW_FW_SOURCEQUENCH="yes" FW_ALLOW_FW_BROADCAST="int" FW_IGNORE_FW_BROADCAST="no" FW_ALLOW_CLASS_ROUTING="no" FW_CUSTOMRULES="" FW_REJECT="no" FW_HTB_TUNE_DEV="" FW_IPv6="no" FW_IPv6_REJECT_OUTGOING="yes" FW_IPSEC_TRUST="no" ************************************************************ /etc/squid/squid.conf http_port 192.168.1.1:3128 icp_port 0 hierarchy_stoplist cgi-bin ? acl QUERY urlpath_regex cgi-bin \? no_cache deny QUERY cache_mem 16 MB cache_dir ufs /var/cache/squid 200 16 256 auth_param basic program /usr/sbin/squid_ldap_auth -b "ou=Users,ou=OxObjects,dc=incubarcaribe,dc=org" -D "uid=mailadmin,dc=incubarcaribe,dc=org" -w "XXXXXX" -u userPassword -v 3 -f "uid=%s" localhost auth_param basic children 5 auth_param basic realm Squid proxy-caching web server auth_param basic credentialsttl 1 hours refresh_pattern ^ftp: 1440 20% 10080 refresh_pattern ^gopher: 1440 0% 1440 refresh_pattern . 0 20% 4320 half_closed_clients off external_acl_type ldap_group %LOGIN /usr/sbin/squid_ldap_group -b "ou=Groups,ou=OxObjects,dc=incubarcaribe,dc=org" -f "(&(objectclass=posixGroup)(cn=%a)(memberUid=%v))" -v 3 localhost acl password proxy_auth REQUIRED acl password_group external ldap_group Internet acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 21 443 563 70 210 1025-65535 280 488 591 777 acl CONNECT method CONNECT http_access allow password_group http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny all http_reply_access allow all icp_access allow all httpd_accel_port 80 httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on memory_pools off error_directory /usr/share/squid/errors/Spanish coredump_dir /var/cache/squid
On Mon, 18 Jul 2005 14:03:56 -0500 (COT) jvelez@dinanet.net.co wrote: jvelez> lo curioso es que cuando en el navegador especifico el proxy jvelez> 192.168.1.1:3128 me aparece una ventanita solicitandome usuario y jvelez> password, pero cuando no coloco nada (osea sin proxy) no me aparece la jvelez> ventana, solo intenta dirijirse a internet y como es logico aparece una jvelez> ventana de squid donde se especifica "ACCESO DENEGADO" jvelez> la pregunta es: jvelez> que le falta al squid para que el navegador ponga la ventanita de usuario jvelez> y password cuando no se especifica explicitamente el proxy.. Si tu pones http://192.168.1.1/ sin más parámetros, el navegador envía la petición al puerto por defecto que, con toda probabilidad será el port 80. Yo no trabajo con "Squid" por lo que no te puedo dar una solución detallada, si es que existe, para hacerlo con Squid, pero existen otros métodos para redireccionar el puerto 80 al 3128. Se le puede cambiar el puerto por defecto al Apache para que use el 3128 o se puede usar el módulo "rewrite", también de Apache para la misma función o bien a través del Firewall de Suse también se puede efectuar la redirección. -- Salutacions - Saludos, Josep M. Queralt
Si lo que deseas es redireccinar el trafico desde el puerto 80 al 3128 solo agreaga una regla con iptables y listo *-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
From: "Josep M. Queralt"
To: suse-linux-s@suse.com Subject: Re: [suse-linux-s] SuSEfirewall2 y squid Date: Tue, 19 Jul 2005 09:16:42 +0200 On Mon, 18 Jul 2005 14:03:56 -0500 (COT) jvelez@dinanet.net.co wrote:
jvelez> lo curioso es que cuando en el navegador especifico el proxy jvelez> 192.168.1.1:3128 me aparece una ventanita solicitandome usuario y jvelez> password, pero cuando no coloco nada (osea sin proxy) no me aparece la jvelez> ventana, solo intenta dirijirse a internet y como es logico aparece una jvelez> ventana de squid donde se especifica "ACCESO DENEGADO" jvelez> la pregunta es: jvelez> que le falta al squid para que el navegador ponga la ventanita de usuario jvelez> y password cuando no se especifica explicitamente el proxy..
Si tu pones http://192.168.1.1/ sin más parámetros, el navegador envía la petición al puerto por defecto que, con toda probabilidad será el port 80.
Yo no trabajo con "Squid" por lo que no te puedo dar una solución detallada, si es que existe, para hacerlo con Squid, pero existen otros métodos para redireccionar el puerto 80 al 3128.
Se le puede cambiar el puerto por defecto al Apache para que use el 3128 o se puede usar el módulo "rewrite", también de Apache para la misma función o bien a través del Firewall de Suse también se puede efectuar la redirección.
-- Salutacions - Saludos,
Josep M. Queralt
<< attach3 >>
_________________________________________________________________ Visita MSN Latino Entretenimiento: ¡música, cine, chismes, TV y más...! http://latino.msn.com/entretenimiento/
El Lunes, 18 de Julio de 2005 21:03, jvelez@dinanet.net.co escribió:
lo curioso es que cuando en el navegador especifico el proxy 192.168.1.1:3128 me aparece una ventanita solicitandome usuario y password, pero cuando no coloco nada (osea sin proxy) no me aparece la ventana, solo intenta dirijirse a internet y como es logico aparece una ventana de squid donde se especifica "ACCESO DENEGADO" la pregunta es: que le falta al squid para que el navegador ponga la ventanita de usuario y password cuando no se especifica explicitamente el proxy..
* Lo curioso seria que tuviera otro comportamiento, no hay transparencia con autentificacion.
a continuación pongo la configuración de squid y del SuSEfirewall2 por si a alguien le sirve
* transparente significa transparente, no hay autentificacion. * Las reglas de redirección, lo que hacen en este caso es evitar que alguien se salte el proxy, cambiando la configuracion del navegador, el "acceso denegado" está cumpliendo con su obligación. * Vamos que salvo que me haya perdido algo, son incompatibles ambas cuestiones en el proxy.
* Lo curioso seria que tuviera otro comportamiento, no hay transparencia con autentificacion. ... claro y eso yo lo especifico en la primera carta proxy con autenticación es como tener mama, pero tenerla muerta... mas o menos, y eso yo lo se..
* transparente significa transparente, no hay autentificacion..... la curiosidad a la que me refiero, es si los navegadores (mozilla, ie lynx o el que sea pregunta por el puerto 80 y uno de manera transparente en el firewall redirije el 80 al 3128 de squid, pues el navegador ni se percata del proxy (y creo yo que eso es claro). La pregunta es; porque no tiene el mismo conportamiento los navegadores si se especifica proxy o no? ( si dos cosas son iguales, pues uno espera el mismo comportamiento)
a ver si me entienden.. squid funciona en el 3128 (a menos que se diga lo contrario) y http en el 80, en el firewall se dice iptables nosequecosa PREROUTING quiesabeque DNAT otropocodecarreta, y magicamente lo del 80 pasa al 3128 y eso es la transparencia (mas otras cositas en squid), ahora porque el navegador se comporta diferente si se especifica proxy o si no? si finalmente cuando se conecta el navegador por proxy se especifica explicitamente un puerto y dirección de entrega.... espero que se entienda la duda que se resume en que si dos cosas "aparentemente" son iguales porque tienen conportamiento tan diferente Jaime V.
El Martes, 19 de Julio de 2005 16:55, jvelez@dinanet.net.co escribió:
la curiosidad a la que me refiero, es si los navegadores (mozilla, ie lynx o el que sea pregunta por el puerto 80 y uno de manera transparente en el firewall redirije el 80 al 3128 de squid, pues el navegador ni se percata del proxy (y creo yo que eso es claro). La pregunta es; porque no tiene el mismo conportamiento los navegadores si se especifica proxy o no?
* Por que en un caso la petición va al 80 (transparente) y en el otro va la petición al 3128 no transparente. * El transparente no funciona por que no es transparente, ya que hay implementado un programa al que hay que llamar para efectuar la validacion, entran en juego otros programas ademas de squid e iptables. * En el no transparente funciona el comportamiento deseado, es decir que la configuración que tienes hecha es NO transparente, entonces al intentar el cliente transparencia no se lo admite.
( si dos cosas son iguales, pues uno espera el mismo comportamiento)
* Es que no son iguales.
participants (4)
-
Edwin Quijada
-
jose maria
-
Josep M. Queralt
-
jvelez@dinanet.net.co