View previous topic :: View next topic |
Author |
Message |
Pablo S. Barrera l33t
Joined: 16 May 2006 Posts: 642 Location: Mataderos. Argentina. America del Sur
|
Posted: Thu Mar 29, 2012 12:17 am Post subject: [Iptables] Proxy Squid transparente y dudas (Solucionado) |
|
|
Hola.
Ante todo les pido disculpa por no poder poner aca los archivos de configuracion.
Les cuento, tengo un squid3 funcionando ok, al decidir cambiar shorewall por iptables tuvimos varios problemas.
1) El primer problema es no poder hacer que la navegacion sea transparente por el puerto 8080. Utilice las reglas que encontre en nuestros tutoriales y foros y nos es imposible. Tenemos una red con IP publica fija Eth0=190.x.x.x y una IP de lan Eth1=169.254.2.1 . Si pones proxy en los navegadores funciona! pero sin ellos no.
Cuales serian las reglas a utilizar? Es una red standar, WAN - Gnu/Linux - LAN.
2) De casualidad probamos borrar las reglas de Iptables, hacer un flush e hicimos esto:
Code: | iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -t nat -X
iptables -t nat -Z |
Resulto que seguimos teniendo navegacion, y no entiendo el porque, las reglas estan todas vaciadas, y sigue habiendo conexion en al menos dos maquinas de la lan. Hay algo que no vaciamos? Shorewall en esta configuracion nunca se compilo, como puedo ver todas las reglas que estan corriendo?
Gracias de antemano y espero puedan ayudar. _________________ Sin lluvia nunca disfrutariamos del arcoiris.
Last edited by Pablo S. Barrera on Wed Jun 20, 2012 12:19 am; edited 1 time in total |
|
Back to top |
|
|
pelelademadera Veteran
Joined: 14 Jul 2008 Posts: 1255 Location: La Plata, Argentina
|
Posted: Thu Mar 29, 2012 12:36 am Post subject: |
|
|
hiciste Code: | /etc/init.d/iptables save
/etc/init.d/iptables reload |
_________________ el pelado de la gente
------
Los habitantes de las islas Malvinas lo llaman gentoo, nombre en el que se basa la distribución GNU/Linux Gentoo, cuyo objetivo es la optimización para conseguir más rendimiento y velocidad en la ejecución.
------ |
|
Back to top |
|
|
Pablo S. Barrera l33t
Joined: 16 May 2006 Posts: 642 Location: Mataderos. Argentina. America del Sur
|
Posted: Thu Mar 29, 2012 12:59 am Post subject: |
|
|
No, porque queria todo funcione flotando antes de guardarlo. Si hago un save y luego un reload vuelvo a tomar los valores que salve, cierto? Como hago para limpiar todos los valores o ver las reglas que estan corriendo?
Como comentaba, evidentemente alguna regla quedo funcionando porque seguia nateando, cosa que antes de compilar iptables no pasaba. Se entiende?
Gracias pelelademadera. _________________ Sin lluvia nunca disfrutariamos del arcoiris. |
|
Back to top |
|
|
Pablo S. Barrera l33t
Joined: 16 May 2006 Posts: 642 Location: Mataderos. Argentina. America del Sur
|
Posted: Thu Mar 29, 2012 2:54 am Post subject: |
|
|
Algo que estuve leyendo
¿Esto hace que el GNU/Linux enrute cual router domestico?
Code: | echo 1 > /proc/sys/net/ipv4/ip_forward |
Porque el bit ese esta activo y segun lei enruta. _________________ Sin lluvia nunca disfrutariamos del arcoiris. |
|
Back to top |
|
|
gringo Advocate
Joined: 27 Apr 2003 Posts: 3793
|
Posted: Fri Mar 30, 2012 11:08 am Post subject: |
|
|
Quote: | ¿Esto hace que el GNU/Linux enrute cual router domestico? |
casi, te faltaría el NAT ( y lo quieras añadirle vaya).
Para que iptables envíe al squid tienes que decirle que redirija todo el tráfico que vaya a internet ( puertos 80, etc) desde cualquier ip a la ip donde tengas escuchand squid.
Suena obvio pero por si las moscas.
saluetes |
|
Back to top |
|
|
Inodoro_Pereyra Advocate
Joined: 03 Nov 2006 Posts: 2631 Location: En la otra punta del cable
|
Posted: Fri Apr 06, 2012 7:24 pm Post subject: |
|
|
iptables -t nat -F tiene que dejar a la LAN sin internet siempre y cuando 169.254.2.1 sea el GW para la misma, aún con el bit ipv4_forward encendido en el kernel.
Las reglas que carga y descarga iptables cuando corre como servicio se guardan en texto plano en /var/lib/iptables/. Las reglas en ejecución se ven con iptables -L o iptables -t <nombre de la tabla> -L.
La única regla que necesitás para darle internet a toda tu lan es la que hace nat:
Code: | iptables -t nat -A POSTROUTING -o <tu wan> -j MASQUERADE |
Para que después todo eso pase por el squid que decís tener en el 8080:
Code: | iptables -t nat -A PREROUTING -i <tu lan> -p tcp --dport 80 -j REDIRECT --to-port 8080 |
Es autoexplicativo, viste? Después de eso, si todo anda bien, ya podés enpezar a tunear todo lo demás. Por las dudas revisalo por que estoy tipeando desde Windows, de memoria y sin ningún Linux a mano ya mismo.
Salud! _________________ Mi Blog.
Si no fuera por C, estaríamos escribiendo programas en BASI, PASAL y OBOL. |
|
Back to top |
|
|
Pablo S. Barrera l33t
Joined: 16 May 2006 Posts: 642 Location: Mataderos. Argentina. America del Sur
|
Posted: Wed Jun 20, 2012 12:18 am Post subject: |
|
|
Gracias! _________________ Sin lluvia nunca disfrutariamos del arcoiris. |
|
Back to top |
|
|
|