en realidad tuve que agregar estos estas dos reglas a la tabla de filter
pero tuve que hacerlo con I de insert en lugar de A (add) puesto que habia
ordenes que salian con accept y no llegaba nunca a utilizar estas reglas
en resumidas cuentas esatas nuevas reglas hacen que:
paquetes tcp o udp provenientes (s source) proveniente de ips internas
192.168.0.(1-255) con destino a puerto 80 y cualquier ip de destino sean
descartados o sea que cualquier paquete que intente pasar entre (forward)
las tarjetas de red hacia el puero 80 sean descartados (drop)
por lo tanto los usuarios que deseen conectarse a internet deberan
configurar sus browsers para usar proxy o sea ip del servidor y puerto proxy
generalmente squid 3128
iptables -t filter -I FORWARD -p tcp -s [red-interna ej:
92.168.0.0/24] -d 0/0 --dport 80 -j DROP
iptables -t filter -I FORWARD -p udp -s [red-interna ej: 192.168.0.0/24] -d
0/0 --dport 80 -j DROP
estas reglas solo destruiran paquetes con destino port 80 o sea www el resto
se enmascara libremente o sea icq messager etc
recuerden que estas instrucciones deben agregarse en algun scrupt de inicio
por que estan solo escritas en memoria
----- Original Message -----
From: "Hipólito A. González M."
grana multi.com.uy wrote:
uso suse 8,1 instale el firewall de suse y squid en el puerto 3128, lo que me extraña es que mis usuarios puedan ver web sin utilizar el squid intente bloquearlos agregando un drop con iptables pero no me llev0 bien con el la ultima vez que configure el manejo de paquetes fue con ipchains pero me gustaria poder complementar el bloqueo la salida por protocolo al meos web
gracias
Facil amigo, ponle esta regla y los obligas a salir por el squid
iptables -t filter -A FORWARD -p tcp -s [red-interna ej: 192.168.0.0/24] -d 0/0 --dport 80 -j DROP iptables -t filter -A FORWARD -p udp -s [red-interna ej: 192.168.0.0/24] - 0/0 --dport 80 -j DROP
Y listo