hola.. veo en tu correo que lo que quieres hacer es habilitar el nat ( mascareo ) cuando el destino sea el puerto 80 , o sea que tus pc`s solo puedan accesar a sitio de Internet web ( 80 ) pero queres redirección el trafico interno hacia Internet por squid ( 3128 ) , aquí es lo "raro" no nesecitas habilitar el mascareo hacia el 80 , sí vas a redirección el trafico hacia el squid, el squid por ser proxy web te hace la función. en la practica si solo se redirecciona el 80 es para aprovechar las ventajas del cacheo de squid, que has pensado si alguien invoca un https ( 443 ) u otro puerto , mi consejo que uses squid directamente, y si queres restringir y habilitar puertos es mas fácil, un buen administrador web de squid es el webmin . en lo que decís de que te pueden meter solo kazaa y otras varas con solo eso no pueden salir, o hacer descargas dado que esos servicios usan ftp pasivo, si acaso solo cuando abris el kazaa este te muestra el web, pero cuando intenta conectar falla, el msn si es mas crabrón ya que se filtra por el 80, pro eso te aconsejo usar squid con autenticación de usuarios, así se bloquea el msn. solo por observación donde pusiste FW_REDIRECT="" lo cambie por FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80,3128" no era FW_REDIRECT"192.168.0.0/24,0/0,tcp,80,3128" como estan las otras variables la de router en yes ya de activar mascareo en yes . me imagino que las tenes en yes saludos Jose Figueroa -------Mensaje original------- De: Jaime Andres Velez Osorio Fecha: 10/06/2004 09:40:44 a.m. Para: suse-linux-s@suse.com Asunto: [suse-linux-s] Sobre SuSEfirewall2 Cordial saludo a todos. quero entender el funcionamiento del script SuSEfirewall2 (en lo que se puede entender , sus parametros, por que el script en si mismo es inentendible). necesito dar solo accesso a http (puerto 80) y denegar el resto de accesos y a la vez redirigir el puerto 80 al 3128 para que, subiendo squid, este quedara como proxy transparente, para lo cual (segun lo poco que entendi) arraque con yast el firewall, marcando las siguientes opciones:} -Reenviar trafico y usar enmascaramiento -Protejer todos los servicios en ejecucion (que no se que hace, pero debe ser mejor que queden protejidos que lo contrario) -permitir traceroute (que debe sen buenisimo, pero ni idea que hace) luego retoque el archivo /etc/sysconfig/SuSEfirewall2 en los siquientes puntos FW_MASQ_NETS="0/0" lo cambien por FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80" Para darle salida solo al puerto 80 y luego retoque FW_REDIRECT="" lo cambie por FW_MASQ_NETS="192.168.0.0/24,0/0,tcp,80,3128" para redirigir las peticiones al proxy squid, luego active FW_SERVICE_SQUID="no" y lo cambie por FW_SERVICE_SQUID="yes" (la red interna es del tipo 192.168.0.0/24) configure squid para que funcionara como proxy transparente y creo que listo creo que solo funciona http y no funciona mas nada sera que lo que hice es correcto o estoy bien equivocado y lo que hice para solo proveer web no fucniona y por ahi me pueden meter cosa como messenger, kazaa, y otras yerbas aromaticas los usuarios que se conectas a internet de mi red interna? Por su atencion y tiempo mil gracias (sera que aunque no quera me toco iptables llano y plano) Jaime V _________________________________________________________________ Charla con tus amigos en línea mediante MSN Messenger: http://messenger.latam.msn.com/ -- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com