|
hola..
veo en tu correo que lo que quieres hacer es habilitar el nat ( mascareo ) cuando el destino sea el puerto 80 , o sea que tus pc`s solo puedan accesar a sitio de Internet web ( 80 )
pero queres redirección el trafico interno hacia Internet por squid ( 3128 ) , aquí es lo "raro"
no nesecitas habilitar el mascareo hacia el 80 , sí vas a redirección el trafico hacia el squid, el squid por ser proxy web te hace la función. en la practica si solo se redirecciona el 80 es para aprovechar las ventajas del cacheo de squid, que has pensado si alguien invoca un https ( 443 )
u otro puerto , mi consejo que uses squid directamente, y si queres restringir y habilitar puertos es mas fácil, un buen administrador web de squid es el webmin .
en lo que decís de que te pueden meter solo kazaa y otras varas con solo eso no pueden salir, o hacer descargas dado que esos servicios usan ftp pasivo, si acaso solo cuando abris el kazaa este te muestra el web, pero cuando intenta conectar falla, el msn si es mas crabrón ya que se filtra por el 80, pro eso te aconsejo usar squid con autenticación de usuarios, así se bloquea el msn.
solo por observación
donde pusiste
FW_REDIRECT="" lo cambie por
FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80,3128"
no era FW_REDIRECT"192.168.0.0/24,0/0,tcp,80,3128"
como estan las otras variables
la de router en yes
ya de activar mascareo en yes . me imagino que las tenes en yes
saludos
Jose Figueroa
-------Mensaje original-------
Fecha: 10/06/2004 09:40:44 a.m.
Para: suse-linux-s@suse.com
Asunto: [suse-linux-s] Sobre SuSEfirewall2 Cordial saludo a todos.
quero entender el funcionamiento del script SuSEfirewall2 (en lo que se
puede entender , sus parametros, por que el script en si mismo es
inentendible).
necesito dar solo accesso a http (puerto 80) y denegar el resto de accesos y
a la vez redirigir el puerto 80 al 3128 para que, subiendo squid, este
quedara como proxy transparente, para lo cual (segun lo poco que entendi)
arraque con yast el firewall, marcando las siguientes opciones:}
-Reenviar trafico y usar enmascaramiento
-Protejer todos los servicios en ejecucion (que no se que hace, pero debe
ser mejor que queden protejidos que lo contrario)
-permitir traceroute (que debe sen buenisimo, pero ni idea que hace)
luego retoque el archivo /etc/sysconfig/SuSEfirewall2 en los siquientes
puntos
FW_MASQ_NETS="0/0" lo cambien por
FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80"
Para darle salida solo al puerto 80
y luego
retoque
FW_REDIRECT="" lo cambie por
FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80,3128"
para redirigir las peticiones al proxy squid, luego active
FW_SERVICE_SQUID="no" y lo cambie por
FW_SERVICE_SQUID="yes"
(la red interna es del tipo 192.168.0.0/24)
configure squid para que funcionara como proxy transparente y creo que listo
creo que solo funciona http y no funciona mas nada
sera que lo que hice es correcto o estoy bien equivocado y lo que hice para
solo proveer web no fucniona y por ahi me pueden meter cosa como messenger,
kazaa, y otras yerbas aromaticas los usuarios que se conectas a internet de
mi red interna?
Por su atencion y tiempo mil gracias
(sera que aunque no quera me toco iptables llano y plano)
Jaime V
_________________________________________________________________
Charla con tus amigos en línea mediante MSN Messenger:
--
Para dar de baja la suscripción, mande un mensaje a:
Para obtener el resto de direcciones-comando, mande
un mensaje a:
| |||
|
|