El 29/01/06, Juan Carlos Bravo Celis
On 27/01/06, jose maria
wrote: El Viernes, 27 de Enero de 2006 18:00, jvelez@dinanet.net.co escribió:
Seguramente tienes en el firewall "reembiar trafico y usar enmascaramiento"
Tienen razon amigos, tengo habilitado "reenviar trafico y usar enmascaramiento", lo he quitado del firewall, y esto ha hecho que no tenga acceso a los servidores de la DMZ, por lo que he vuelto a habilitar el reenvio de trafico, y continuo con el problema.
perdon, no tengo conocimento de susefirewall (la verdad es que nunca lo utilice) pero para mi entendimento la frase: "reenviar trafico y usar enmascaramiento" significa algo como habilitar el paso de datos de una red a otra 192.168.0.0 => internet 192.168.0.0 => DMZ 10.0.0.0 => internet y admeas, habilitar el enmascaremiento de todas las direcciones IPs internas por la externa... o sea, que todos las maquinas de la redes interna puedan salir a internet. IMHO, este "unico" iten, deberia de ser dos: ( ) reenviar trafico ( ) usar enmascaramiento pues ni siempre uno desea hacer un SNAT de las conexciones, pero si.. desea que los paquetes sean enviados atraves del servidor a otras redes. en todo caso, talvez esta opcion signifique otra cosa totalmente distinta de la que hablo aca... no me deen atencion !!! :-(
* Aqui se pueden estar mezclando conceptos, entiendo que se esta refiriendo al trafico http, lo que ocurre es que no esta obligando a los navegadores a usar el proxy, es decir tiene que reenviar el trafico (esto no es proxy transparente, tendra que seguir configurando los navegadores, la transparencia consta de dos partes, la de iptables y la propia del proxy)
solucion 1: proxy transparente redirije el trafico del 80 al 3128 (si este es el default de squid)
* Esto no hace al proxy transparente, para ello precisa ademas configuracion en squid.
solucion 2: deshabilitar reembiar trafico y usar enmascaramiento.
* Con esto efectivamente no navegaran, pero incluso en este caso se debe obligar en el cortafuegos a usar el puerto del proxy.
de todas la mejor es la 1 ( si no utilizas autenticacion en los navegadores)
* Yo prefiero obligar a usar el proxy que no usar proxy transparente.
Antes de configurar el proxy transparente, me gustaria saber si al hacer esto no se va a ver restringido el trafico a mi DMZ, y si pueden guiarme en la configuracion del proxy transparente, por mi parte ya he buscado en la web sobre el tema y tengo los datos, pero para ser sincero nunca he usado los iptables, les agradecer mucho su ayuda.
hoy estoy medio lento... haver, en el primero correo que enviaste la idea no era mantener el proxy manual ??? ahora lo quieres cambiar ??? plop y en relacion al tema de restringir el trafico a la DMZ, vas a depender directamente de como configuras vuestra red.. por aca, no tengo ningun problema. se no logras configurar lo que deseas con las herramientas que proporciona suse y deseas meter la mano en las configuraciones del sistema, en este caso a iptables + squid debes primero, leer las documentaciones referentes, despues de leerlas, volver a leerlas y entonces hacer los cambios... buscando en google por "tutorial iptables" los primeros enlaces ya son suficientes para iniciar en el tema: http://www.pello.info/filez/firewall/iptables.html Estes fue escrito por Xabier Izura y es interessante para entender los conceptos basicos/avanzados y esta en espanol. http://iptables-tutorial.frozentux.net/iptables-tutorial.html el segundo es el tutorial "oficial" de iptables y releerlo es mas que necesario para quien desear hacer un "buen trabajo" ojo.. existe en la red un "iptables en 21 segundos" (creo que del propio Xabier) donde aprendes en 21 segundos y se olvida en los seguintes 21 segundos !!!! para squid,.. personalmente acredito que el propio squid.conf ya viene con todo documentado adentro.. pero siempre existe sitios donde encontrar algo ya mastigado,, http://bulma.net es un punto de partida para encontrarlos. suerte. -- -- Victor Hugo dos Santos Linux Counter #224399