Estimados amigos, tengo configurado el Susefirewall y el Squid no transparente, adicionalmente algunos puertos abiertos en el cortafuegos activados con yast, mi problema es el siguiente, con el navegador web configurado para usar proxy todo trabaja bien, pero si no se configura esto, he notado que se puede salir a internet sin problemas y estos eventos no son registrados en los logs del squid, quiero evitar que esto siga ocurriendo, desde ya agradezco su tiempo y apoyo en encontrarle una solucion. Saludos
Estimados amigos,
tengo configurado el Susefirewall y el Squid no transparente, adicionalmente algunos puertos abiertos en el cortafuegos activados con yast, mi problema es el siguiente, con el navegador web configurado para usar proxy todo trabaja bien, pero si no se configura esto, he notado que se puede salir a internet sin problemas y estos eventos no son registrados en los logs del squid, quiero evitar que esto siga ocurriendo....
Seguramente tienes en el firewall "reembiar trafico y usar enmascaramiento" si tienes esto habilitado, claro que los computadores/ordenadores de tu red interna navegan sin restriccion solucion 1: proxy transparente redirije el trafico del 80 al 3128 (si este es el default de squid) solucion 2: deshabilitar reembiar trafico y usar enmascaramiento. de todas la mejor es la 1 ( si no utilizas autenticacion en los navegadores) Jaime V.
El Viernes, 27 de Enero de 2006 18:00, jvelez@dinanet.net.co escribió:
Seguramente tienes en el firewall "reembiar trafico y usar enmascaramiento"
* Esto esta claro.
si tienes esto habilitado, claro que los computadores/ordenadores de tu red interna navegan sin restriccion
* Aqui se pueden estar mezclando conceptos, entiendo que se esta refiriendo al trafico http, lo que ocurre es que no esta obligando a los navegadores a usar el proxy, es decir tiene que reenviar el trafico (esto no es proxy transparente, tendra que seguir configurando los navegadores, la transparencia consta de dos partes, la de iptables y la propia del proxy)
solucion 1: proxy transparente redirije el trafico del 80 al 3128 (si este es el default de squid)
* Esto no hace al proxy transparente, para ello precisa ademas configuracion en squid.
solucion 2: deshabilitar reembiar trafico y usar enmascaramiento.
* Con esto efectivamente no navegaran, pero incluso en este caso se debe obligar en el cortafuegos a usar el puerto del proxy.
de todas la mejor es la 1 ( si no utilizas autenticacion en los navegadores)
* Yo prefiero obligar a usar el proxy que no usar proxy transparente.
Yo tenía entendido que el proxy transparente "obliga" a todos a utilizar el proxy, pero los usuarios no se dan cuenta... Jordi Espasa Clofent escribió:
* Yo prefiero obligar a usar el proxy que no usar proxy transparente.
¿Porqué? ¿Y cómo? (supongo que reglas de redireccionamiento iptables y andando)
El Sábado, 28 de Enero de 2006 14:35, Freddy Arteaga escribió:
Yo tenía entendido que el proxy transparente "obliga" a todos a utilizar el proxy, pero los usuarios no se dan cuenta...
* Si obliga (por que las reglas iptables les obligan) pero se pierden funcionalidades importantes de control entre otras.
El Sábado, 28 de Enero de 2006 12:43, Jordi Espasa Clofent escribió:
* Yo prefiero obligar a usar el proxy que no usar proxy transparente.
¿Porqué?
* Por que transparente significa "transparente" y hay cuestiones que no es posible controlar si es "transparente"
¿Y cómo? (supongo que reglas de redireccionamiento iptables y andando)
* evidente.
On 27/01/06, jose maria
El Viernes, 27 de Enero de 2006 18:00, jvelez@dinanet.net.co escribió:
Seguramente tienes en el firewall "reembiar trafico y usar enmascaramiento"
Tienen razon amigos, tengo habilitado "reenviar trafico y usar enmascaramiento", lo he quitado del firewall, y esto ha hecho que no tenga acceso a los servidores de la DMZ, por lo que he vuelto a habilitar el reenvio de trafico, y continuo con el problema.
* Aqui se pueden estar mezclando conceptos, entiendo que se esta refiriendo al trafico http, lo que ocurre es que no esta obligando a los navegadores a usar el proxy, es decir tiene que reenviar el trafico (esto no es proxy transparente, tendra que seguir configurando los navegadores, la transparencia consta de dos partes, la de iptables y la propia del proxy)
solucion 1: proxy transparente redirije el trafico del 80 al 3128 (si este es el default de squid)
* Esto no hace al proxy transparente, para ello precisa ademas configuracion en squid.
solucion 2: deshabilitar reembiar trafico y usar enmascaramiento.
* Con esto efectivamente no navegaran, pero incluso en este caso se debe obligar en el cortafuegos a usar el puerto del proxy.
de todas la mejor es la 1 ( si no utilizas autenticacion en los navegadores)
* Yo prefiero obligar a usar el proxy que no usar proxy transparente.
Antes de configurar el proxy transparente, me gustaria saber si al hacer esto no se va a ver restringido el trafico a mi DMZ, y si pueden guiarme en la configuracion del proxy transparente, por mi parte ya he buscado en la web sobre el tema y tengo los datos, pero para ser sincero nunca he usado los iptables, les agradecer mucho su ayuda. Saludos
El Domingo, 29 de Enero de 2006 20:03, Juan Carlos Bravo Celis escribió:
Antes de configurar el proxy transparente, me gustaria saber si al hacer esto no se va a ver restringido el trafico a mi DMZ, y si pueden guiarme en la configuracion del proxy transparente, por mi parte ya he buscado en la web sobre el tema y tengo los datos, pero para ser sincero nunca he usado los iptables, les agradecer mucho su ayuda.
Saludos
* Tienes que configurar el cortafuegos, En el fichero /etc/sysconfig/SuSEfirewall2 para que reenvie las peticiones al puerto local donde escuche squid, tal que asi. FW_REDIRECT="192.168.0.0/24,0/0,tcp,80,3128 \ 192.168.0.0/24,0/0,tcp,443,3128 \ 192.168.0.0/24,0/0,tcp,21,3128" * Configura el resto del fichero, se supone que ya lo tienes si has habilitado el routing y el enmascaramiento, esto no hace el proxy transparente, tambien se supone que squid lo tienes configurado, para el proxy transparente mira en el historico de este mes o el pasado, ya se contesto.
El 29/01/06, Juan Carlos Bravo Celis
On 27/01/06, jose maria
wrote: El Viernes, 27 de Enero de 2006 18:00, jvelez@dinanet.net.co escribió:
Seguramente tienes en el firewall "reembiar trafico y usar enmascaramiento"
Tienen razon amigos, tengo habilitado "reenviar trafico y usar enmascaramiento", lo he quitado del firewall, y esto ha hecho que no tenga acceso a los servidores de la DMZ, por lo que he vuelto a habilitar el reenvio de trafico, y continuo con el problema.
perdon, no tengo conocimento de susefirewall (la verdad es que nunca lo utilice) pero para mi entendimento la frase: "reenviar trafico y usar enmascaramiento" significa algo como habilitar el paso de datos de una red a otra 192.168.0.0 => internet 192.168.0.0 => DMZ 10.0.0.0 => internet y admeas, habilitar el enmascaremiento de todas las direcciones IPs internas por la externa... o sea, que todos las maquinas de la redes interna puedan salir a internet. IMHO, este "unico" iten, deberia de ser dos: ( ) reenviar trafico ( ) usar enmascaramiento pues ni siempre uno desea hacer un SNAT de las conexciones, pero si.. desea que los paquetes sean enviados atraves del servidor a otras redes. en todo caso, talvez esta opcion signifique otra cosa totalmente distinta de la que hablo aca... no me deen atencion !!! :-(
* Aqui se pueden estar mezclando conceptos, entiendo que se esta refiriendo al trafico http, lo que ocurre es que no esta obligando a los navegadores a usar el proxy, es decir tiene que reenviar el trafico (esto no es proxy transparente, tendra que seguir configurando los navegadores, la transparencia consta de dos partes, la de iptables y la propia del proxy)
solucion 1: proxy transparente redirije el trafico del 80 al 3128 (si este es el default de squid)
* Esto no hace al proxy transparente, para ello precisa ademas configuracion en squid.
solucion 2: deshabilitar reembiar trafico y usar enmascaramiento.
* Con esto efectivamente no navegaran, pero incluso en este caso se debe obligar en el cortafuegos a usar el puerto del proxy.
de todas la mejor es la 1 ( si no utilizas autenticacion en los navegadores)
* Yo prefiero obligar a usar el proxy que no usar proxy transparente.
Antes de configurar el proxy transparente, me gustaria saber si al hacer esto no se va a ver restringido el trafico a mi DMZ, y si pueden guiarme en la configuracion del proxy transparente, por mi parte ya he buscado en la web sobre el tema y tengo los datos, pero para ser sincero nunca he usado los iptables, les agradecer mucho su ayuda.
hoy estoy medio lento... haver, en el primero correo que enviaste la idea no era mantener el proxy manual ??? ahora lo quieres cambiar ??? plop y en relacion al tema de restringir el trafico a la DMZ, vas a depender directamente de como configuras vuestra red.. por aca, no tengo ningun problema. se no logras configurar lo que deseas con las herramientas que proporciona suse y deseas meter la mano en las configuraciones del sistema, en este caso a iptables + squid debes primero, leer las documentaciones referentes, despues de leerlas, volver a leerlas y entonces hacer los cambios... buscando en google por "tutorial iptables" los primeros enlaces ya son suficientes para iniciar en el tema: http://www.pello.info/filez/firewall/iptables.html Estes fue escrito por Xabier Izura y es interessante para entender los conceptos basicos/avanzados y esta en espanol. http://iptables-tutorial.frozentux.net/iptables-tutorial.html el segundo es el tutorial "oficial" de iptables y releerlo es mas que necesario para quien desear hacer un "buen trabajo" ojo.. existe en la red un "iptables en 21 segundos" (creo que del propio Xabier) donde aprendes en 21 segundos y se olvida en los seguintes 21 segundos !!!! para squid,.. personalmente acredito que el propio squid.conf ya viene con todo documentado adentro.. pero siempre existe sitios donde encontrar algo ya mastigado,, http://bulma.net es un punto de partida para encontrarlos. suerte. -- -- Victor Hugo dos Santos Linux Counter #224399
participants (6)
-
Freddy Arteaga
-
Jordi Espasa Clofent
-
jose maria
-
Juan Carlos Bravo Celis
-
jvelez@dinanet.net.co
-
Victor Hugo dos Santos