[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]Hola muchachos (buenas noches), estoy levantando un proxy y lo estoy tratando de filtrar con IPTABLES. La cosa es que ya casi tengo todo bién (según creo) pero tengo un pequeño problema cuando trato de acceder a las páginas seguras, de plano no entran, ni cuando trato de navegar de forma "segura" en las páginas web de e-mail. He seguido el manual que de Joel Barrios, y aún cuando coloco los permisos para poder acceder al HTTPS, no logro hacer que se conecte a este tipo de páginas, incluido el MSN Messenger. Me pueden hechar una manita? El squid esta corriendo sin problemas, de hecho puedo ir viendo en /var/log/squid/access.log como se van agregando líneas cada ves que voy navegando. Lo que intento hacer y no me queda, es: 1. Dar el permiso a toda mi red para que pueda navegar y que sólo ciertos equipos puedan conectar el MSN Messenger. (MSN no se conecta) 2. Conectar vía FTP o SFTP hacia el exterior (dentro de mi red sí me puedo conectar). 3. Hacer ping desde un cliente hacia X sitios (Me sale "Tiempo de espera agotado para esta solicitud.", pero si navega). Debajo coloco mi archivo para mostrar la configuración actual, y espero que ojalá me puedan ayudar indicándome en qué parte me hace falta agregar o quitar algo. ****************************************************** #! /bin/bash IPTABLES="/sbin/iptables" MODPROBE="/sbin/modprobe" # Eliminamos la configuración anterior de IPTABLES echo "***********************************************" echo "* Iniciando la aplicación de IPTABLES *" echo "***********************************************" echo "Eliminando la configuración anterior de IPTABLES..." $IPTABLES -F # Leyendo los módulos necesarios echo "***********************************************" echo "Cargando los modulos necesarios..." $MODPROBE ip_conntrack $MODPROBE ip_conntrack_ftp $MODPROBE ip_conntrack_irc $MODPROBE ipt_REJECT $MODPROBE ipt_REDIRECT $MODPROBE ipt_TOS $MODPROBE ipt_MASQUERADE $MODPROBE ipt_LOG $MODPROBE iptable_mangle $MODPROBE iptable_nat $MODPROBE ip_nat_ftp $MODPROBE ip_nat_irc # Habilitamos el reenvío del enmascaramiento echo "Habilitando el reenvio de paquetes..." echo 1 > /proc/sys/net/ipv4/ip_forward # Establecemos política de reenvío del enmascaramiento echo "Estableciendo políticas de reenvio..." $IPTABLES -t filter -P FORWARD DROP # Reenvio del tráfico interno-externo y externo-interno $IPTABLES -t filter -A FORWARD -d 0/0 -s 192.168.41.0/24 -o eth1 -j ACCEPT $IPTABLES -t filter -A FORWARD -d 192.168.41.0/24 -j ACCEPT # Enmascaramiento de TODO el tráfico saliente echo "Enmascaramiento de TODO el trafico saliente..." $IPTABLES -t nat -A POSTROUTING -o eth1 -j MASQUERADE $IPTABLES -A FORWARD -o eth1 -i eth0 -j ACCEPT # NO enmascaramos el tráfico externo echo "NO enmascaramos el trafico externo..." $IPTABLES -t nat -A POSTROUTING -o eth1 -d 0/0 -j ACCEPT # Permitimos a la red interna salir a donde sea echo "Permitiendo a la red interna ir a donde sea..." $IPTABLES -t filter -A INPUT -s 192.168.41.0/24 -d 0/0 -j ACCEPT $IPTABLES -t filter -A OUTPUT -s 192.168.41.0/24 -d 0/0 -j ACCEPT $IPTABLES -t filter -A OUTPUT -p icmp -s 192.168.41.0/24 -d 0/0 -j ACCEPT # Redireccionamos hacia el puerto 3128 todo lo que llegue # al puerto 80 para que funcione Squid echo "***********************************************" echo "Inicia la redirección hacia el puerto 3128..." # FTP-data echo "Redireccionando FTP..." $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 20 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -i eth1 -p udp --dport 20 -j REDIRECT --to-port 3128 # FTP $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 21 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -i eth1 -p udp --dport 21 -j REDIRECT --to-port 3128 # SFTP $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 115 -j REDIRECT --to-port 3128 # HTTP echo "Redireccionando HTTP..." $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 # HTTP (A veces usado) $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 563 -j REDIRECT --to-port 3128 # HTTPS echo "Redireccionando HTTPS..." $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -i eth0 -p udp --dport 443 -j REDIRECT --to-port 3128 # Permitimos la comunicacion con el servidor DNS $IPTABLES -A INPUT -p udp --dport 53 -j ACCEPT echo "***********************************************" echo "* Permisos para los mensajeros instantaneos *" echo "***********************************************" # Permitir acceso a MSN Messenger echo "Permitiendo la salida de MSN Messenger" $IPTABLES -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128 #$IPTABLES -A INPUT -s 192.168.41.180 --DPORT 1863 -j DROP # Permitir la salida de Yahoo! Messenger echo "Permitiendo la salida de Yahoo! Messenger" $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 5000:5010 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 5050 -j REDIRECT --to-port 3128 # Permitir la salida de AIM echo "Permitiendo la salida de AIM" $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 9898 -j REDIRECT --to-port 3128 $IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 5190:5193 -j REDIRECT --to-port 3128 ****************************************************** Hasta aquí llega mi archivito... alguna sugerencia para poder reparar el error que tengo? Muchas gracias de antemano. Carlos Miranda _________________________________________________________ Do You Yahoo!? Información de Estados Unidos y América Latina, en Yahoo! Noticias. Visítanos en http://noticias.espanol.yahoo.com -- Lista de soporte de LinuxPPP Dirección email: Linux en linuxppp com Dirección web: http://mail.linuxppp.com/mailman/listinfo/linux Reglas de la lista: http://linuxppp.net/reglas.html