Squid y router

Hola soy nuevo en este foro, necesito configurar un Servidor proxy (Squid Ubuntu Server), ya lo tengo instalado y funciona en las demas computadoras, previamente configurando en el explorador apuntando hacia el proxy(ip y puerto), pero esto es lo que no quiero hacer en todas las computadoras, necesito que sea automático, tengo un router ZXV10 W300, que es lo que debo hacer para que todas las computadoras apunten hacia el servidor proxy squid, ayudenme porfavor ya que lo e configurado en modo transparente con iptables y no funciona, creo que debo hacer algo en el router, gracias de antemano.

No tienes que hacer nada en el router. Si tienes el squid bien configurado como proxy transparente, lo que SI debes hacer es poner dicha máquina como gateway de salida (puerta de enlace)... Es decir, el proxy debe ser el gateway de tu red (aunque tienes configuraciones viables más complejas si tu puerta de enlace ya es un firewall).

De lo contrario, las máquinas de tu red intentarán salir a Internet a través del gateway por defecto, sin pasar para nada por tu proxy (salvo que se lo ordenas explicitamente como has comentado antes).

Hola, gracias por responder.

El Squid3 me funciona bien pero configurando en el explorador, ahora, sí es lógico lo que dices pero como lo hago???, como hago para que mi Ubuntu Server sea la puerta de enlace??? no tengo instalado Firewall.

Por favor indicame lo que tengo que hacer ya voy días en esto, e aplicado todos los iptables indicados para que sea transparente y no me da solución. Estoy usando un Ubuntu Server Virtual montado en Windows XP, no creo que haya problemas al usar una máquina virtual.

Gracias de Antemano....

Básicamente... Partimos de esta situación (las IPs son de ejemplo, obviamente deberás poner las tuyas):

Tu router es tu gateway actual (puerta de enlace) y tiene la IP 192.168.1.1 con mascara 255.255.255.0

Tu Ubuntu está en esa red y tiene una sola tarjeta de red con IP 192.168.1.25 con máscara 255.255.255.0

Necesitas dos tarjetas de red en la máquina con Ubuntu. Configura el router para que su IP interna esté en otro segmento de red (pertenezca a otra subred)... Configura ambas IPs en las dos tarjetas en el Ubuntu. La "interna" con la IP que tenía el router antes (gateway), la segunda en el mismo segmento de red en que pongas el router ahora... Por ejemplo:


a) Poner la IP del router como 192.168.2.1 con máscara 255.255.255.0 (FUERA de tu segmento de red actual).

b) Poner la tarjeta de red externa (p.ej. eth1) con una IP en la subred del router... por ejemplo 192.168.2.2 con máscara 255.255.255.0

c) Poner la tarjeta de red "interna" (p.ej. eth0) con la IP que tenía antes el router: 192.168.1.1 con máscara 255.255.255.0

Ahora, conectas la LAN del router (que actualmente irá a un switch, supongo) directamente a la tarjeta de red "externa" (eth1).

Conecta la tarjeta de red "interna" (eth0) al switch general de tu red... Tendrás el router separado físicamente de tu red a través de la máquina proxy.

Deberás aádir ahora algunas líneas a tu fichero de configuración de iptables (mantén las que tienes para el transparent proxy y añáde las siguientes a continuación. Por supuesto siempre siguiendo el ejemplo aquí expuesto. Tus interfaces podrían ser otras en lugar de las habituales, o podrías decidir usar eth1 para la red interna y eth0 para la externa... para gustos. Siguiendo con el ejemplo sería algo así)...

En primer lugar activa el forwarding entre interfaces o tarjetas (Esto puedes hacerlo en linea de comandos, pero si lo metes en el fichero iptables te asegurarás de que cada vez que lo ejecutes el forwarding esté activo):

echo 1 > /proc/sys/net/ipv4/ip_forward

##Incluye las reglas para hacer NAT masquerading en el Ubuntu y habilitar el forward de todo lo que entre por la interfaz interna para salir a Internet:

##(hacemos masquerading para lo que salga por eth1, nuestra interfaz externa).
iptables --table nat --append POSTROUTING --out-interface eth1 -j MASQUERADE

## Permitimos forward entre interfaces para todo lo que entre por eth0, interfaz interna.
iptables --append FORWARD --in-interface eth0 -j ACCEPT

Esto en su versión más simple... Podrías colocar reglas para habilitar el forward SOLAMENTE hacia los puertos que quisieses permitir la salida, y sólamente desde las IPs internas que quisieses (casos particulares)...

Pero eso ya entra dentro del terrreno de configuración de iptables, y puedes estudiar tu caso con detenimiento.

En principio, y salvo error u omisión por mi parte, con esta configuración no tendrías que tocar nada en los PCs clientes (la IP de gateway sería la misma) y debería funcionarte el proxy transparante (que está escuchando en el puerto correspondiente del Ubuntu con las redirecciones BIEN puestas en el iptables).

--- EDIT ---
Por cierto... Olvidaba poner algo OBVIO: En el UBUNTU TIENES que poner como puerta de enlace (default gateway) la IP NUEVA del router (192.168.2.1, en el ejemplo), al contrario que en el resto de PCs de tu red (en que tendrás la 192.168.1.1)... Obviamente, si no lo haces así, tu Ubuntu no podría salir a Internet y no podría rutar paquetes al exterior ni el squid podría pedir páginas a Internet.

Ya cambie la ip del router, ahora por favor ayudame si está bien la configuración de la red del ubuntu:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.1
broadcast 192.168.1.255
gateway 192.168.2.1
# dns-* options are implemented by the resolvconf package, if installed
#dns-nameservers 192.168.1.1

# The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.2.100
netmask 255.255.255.0
network 192.168.2.1
broadcast 192.168.2.255
gateway 192.168.2.1
# dns-* options are implemented by the resolvconf package, if installed
#dns-nameservers 192.168.1.1

Casi... Hay algún pequeño error:
===========================

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.2.1
# dns-* options are implemented by the resolvconf package, if installed
#dns-nameservers 192.168.1.1

# The secondary network interface
auto eth1
iface eth1 inet static
address 192.168.2.100
netmask 255.255.255.0
network 192.168.2.0
broadcast 192.168.2.255
gateway 192.168.2.1
# dns-* options are implemented by the resolvconf package, if installed
#dns-nameservers 192.168.1.1

(Los errores los tenías en la sentencia "network"... Tus redes son la 192.168.1.0/24 y 192.168.2.0/24).

Ok, con eso tienes dos tarjetas de red configuradas, la interna eth0 y la externa eth1 (que va al router)... Haz los cambios en el iptables y debería funcionarte... Siempre y cuando TU PUERTA DE ACCESO anterior fuese la 192.168.1.1 (que sólo la usé como ejemplo).

Hola logré a realizarlo el día de ayer, funcionaba perfectamente, pero ahora prendo las compus y no pueden conectarse, osea los clientes no tienes salida a internet.

Cada vez que apago el servidor tengo que realizar nuevamente los iptables???

Gracias de antemano...

Logré solucionarlo aplicando el procedimiento nuevamente, borrando las iptables y aplicandolas de nuevo y no resultaba, el problema era por el archivo ip_forward que se puso en "0", no recuerdo haberlo cambiado.

Como te dije en un post anterior, el poner el forwarding a 1 es algo que deberías dejar en tu fichero configuración de iptables.

Y... sí. Cada vez que reinicias la máquina DEBES volver a ejecutar tu fichero de iptables...

Lo más fácil es que lo pongas para que se ejecute en el "runlevel" que arranques (que no sé cual es... ¿5 quizás?) Esto lo puedes ver en el fichero /etc/inittab (línea id:X:initdefault:, siendo X el runlevel en que arrancas).

La forma más inmediata es crear un link en la carpeta asociada de tu runlevel (rc5.d, rc3.d, rc6.d, la que sea) al fichero de configuración de iptables, comenzando el nombre del link por S mayúscula, siguiendo por un número lo bastante alto para que se ejecute después de todo lo importante y asignandole un nombre que puedas identificar visualmente en el futuro, por comodidad (S99iptables, po rejemplo).

### Colocado en la carpeta del runlevel adecuado, p.j. rc5.d
ln -s /ruta_al_fichero_iptables S99iptables

Con eso debería estar listo. Cada vez que arrancases la máquina debería levantar el iptables (y si has incluido, como te dije, la linea con el echo 1 al forwarding, tambien lo hará).

Ya dirás...

Hola

Logré guardarlo los iptables y se ejecutan automaticamente, así:

iptables-save > /etc/iptables.reglas.up

y en la red:

auto eth0
iface eth0 inet dhcp
pre-up iptables-restore < /etc/iptables.reglas.up
.....
.....
.....

Ahora esto de la red lo estaba haciendo con dos trajetas de red, usando VirtualBox, eth0 y eth1.

En el VirtualBox habilite 2 tarjetas de red, supongo uno para cada eth "0" y "1". No sé si estoy en lo correcto.

Deshabilité una tarjeta de red para usar una dirección ip virtual en ubuntu ahora uso eth0 y eth0:1 y funciona de igual manera(obviamente cambiando los iptables), y sólo uso 1 tarjeta de red, no sé si es igual a lo anterior(eth0 y eth1, usando dos tarjetas de red), ya que ahora necesito instalar squid3 en una maquina Ubuntu que no es virtual y sólo tengo 1 tarjeta de red.


Gracias por tu ayuda, soy Desarrollador Web/Desktop, cualquier cosa que pueda ayudarte me avisas.

Como te dije al principio, hacerlo con una tarjeta de red solamente es perfectamente viable...

El asunto es que tendrá que estar en el mismo segmento de red que tu gateway (router o lo que sea) principal. Cualquiera que sepa la IP del router podrá salir a Internet evitando el proxy... Salvo que en el router configures una regla de filtrado que sólo permitas salidas a los puertos web (80,8080,443,444) provenientes de la IP de tu proxy.

Me alegro de que te funcione. Como ves no tiene ciencia :)

OK, eso me doy cuenta, me refiero aquellas maquinas que se conectan con la ip del router, ya que ahora para no molestar a mis hermanos les e configurado su red en 192.168.2.x.

Voy a ver esa configuración que mencionas en mi router, a ver si la encuentro, gracias...

Consulta, habrá algún problema si ahora instalo un servidor firewall.

Gracias...

Ninguno... Pero para un firewall sí necesitarás al menos dos tarjetas de red.

De hecho, ya que has comenzado a trastear con el iptables y un proxy en el servidor ubuntu... ¿Por qué no seguir un paso más? Puedes usar la misma máquina... Pon una segunda tarjeta de red, decide que reglas quieres de entrada/salida y configura tu iptables de acuerdo a ellas.

Lo llevas bien... En mi opinión vas por buen camino :)

Se le llama: Etherchannel, donde un servidor posee dos tarjetas de red ethernet para compensar la sobrecarga de la red debido a que en la eth0 procesa Inputs y eth1 procesa Outputs, todo esto se realiza con un firewall Iptables configurado debidamente para el procedimiento.

Saludos !