Foros del Web » Administración de Sistemas » Unix / Linux »

Servidor Proxy / habilitando puertos

Estas en el tema de Servidor Proxy / habilitando puertos en el foro de Unix / Linux en Foros del Web. Recientemente he configurado Squid en redhat 9 para dar acceso a internet a una lan, tengo dos intefact como es lo correcto, la red local ...
  #1 (permalink)  
Antiguo 19/05/2003, 13:51
Avatar de hrxnet  
Fecha de Ingreso: julio-2002
Ubicación: Sto. Dgo. RD
Mensajes: 516
Antigüedad: 22 años, 4 meses
Puntos: 0
Servidor Proxy / habilitando puertos

Recientemente he configurado Squid en redhat 9 para dar acceso a internet a una lan, tengo dos intefact como es lo correcto, la red local la acceso por eth1 y el internet por eth0.

Mi Servidor proxy (squid) esta configurado para que funcione como proxy transparente pero esto no funciona bien por alguna razón teniendo yo que ir a los navegadores de los clientes y configurar el ip de linux y el puerto 80 para que estos puedan navegar, esto no me preocupa mucho por el momento pero si me tiene inquietado que necesito habilitar los puertos 110 para que los usuarios puedan descargar correo pop3 externos, el 21 para que puedan conectar a ftp externos y así entre otros, como es la regla que tengo que poner con iptables para hacerlo?, ya probe de esta forma y sin resultados favorables:

#habilito ip_forward
echo 1 > /proc/sys/net/ipv4/ip_forward

#redirecciono todo las peticiones echas por los clientes (eth1) al #puerto 110 al puerto donde escucha squid (80)

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 110 -j REDIRECT --to-port 80
  #2 (permalink)  
Antiguo 19/05/2003, 19:12
Avatar de gomo  
Fecha de Ingreso: mayo-2002
Ubicación: [email protected]
Mensajes: 906
Antigüedad: 22 años, 6 meses
Puntos: 0
bueno a ver 2 cosas:
1) Para que quieres un proxy pop3? Porque no simplemente hacer nat del puerto 110 de las maquinas de la LAN? El cache no te servira de nada aqui. Lo mismo se aplica (un poco menos) para ftp, no creo que quieras cachear los archivoos que se bajan...
2) Si estas usando proxy http, tienes una regla como esa solo que pone redireccion de 80 a 3128. El puerto 3128 es donde el proxy escucha... Tienes que redireccionar el puerto 110 al 3128 y no al 80 (a menos que hayas cambiado esto).
Para que no tengas que configurar cada pc tienes que poner como gateway de las pcs de lan lan, la ip de la maquina que tiene el proxy. De esta forma envian sus paquetes a traves del server y el proxy puede tomarlos.
Saludos ;)
__________________
  #3 (permalink)  
Antiguo 19/05/2003, 19:43
Avatar de hrxnet  
Fecha de Ingreso: julio-2002
Ubicación: Sto. Dgo. RD
Mensajes: 516
Antigüedad: 22 años, 4 meses
Puntos: 0
1- Exactamente hacer Nat es lo que quiero, solo que estoy algo desubicado y pense que de esa forma funcionaria. Sabes la regla para hacerlo? y no es hacerle nat a una sola maquina en especifico sino a todas, lo mismo para el ftp.

2-Si lo cambie, puse a squid que escuche en el puerto 80 presisamente para hacer proxy transparente pero no funciona y ya los clientes tienen puesto el ip del servidor linux como gateway.
  #4 (permalink)  
Antiguo 20/05/2003, 18:13
Avatar de gomo  
Fecha de Ingreso: mayo-2002
Ubicación: [email protected]
Mensajes: 906
Antigüedad: 22 años, 6 meses
Puntos: 0
aah ok
bueno mira para hacer nat no es muy dificil xD cheka ip-masquerading howto y iptables-howto y ya te aclaras.. Si no se te da muy bien lo de los firewalls a pelo puedes probar un programa llamado fwbuilder, una gui que te permite gestionar firewalls. Honestamente soy un detractor de las GUIs pero esta hay que reconocer que es muy util.
Luego puedes compilar las reglas para iptables o para pf (openbsd), y te genera un script de firewall como los que harias a mano, que luego puedes editar. La linea para el proxy seria, si lo dejas Listen 3128 (default), es algo como:
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
esto siendo eth0 la placa local

Sobre hacer proxy transparente lo que tienes que hacer es configurar squid para que lo haga, pero no simplemente moviendolo al puerto 80 sino cambiando unas opciones en squid.conf. Miralo aqui:
http://en.tldp.org/HOWTO/mini/TransparentProxy-4.html
Saludos ;)
__________________
  #5 (permalink)  
Antiguo 21/05/2003, 07:25
Avatar de hrxnet  
Fecha de Ingreso: julio-2002
Ubicación: Sto. Dgo. RD
Mensajes: 516
Antigüedad: 22 años, 4 meses
Puntos: 0
Muchimas gracias gomo por tu ayuda, mira te cuento, no puedo usar el programa ese que me dices "fwbuilder" pues mi servidor no tiene entorno gráfico y lo de configurar esas opciónes en el squid la verdad que así mismo lo tengo configurado y ayer estuve probando navegar desde los clientes sin proxy y por lo menos en uno de dos que probe me funcino.

Al final resolvi así:

Me leí los howto de Netfilter y NAT y hice lo siguiente:

#limpia todas las reglas
iptables -F

#Levanta el modulo NAT
modprobe iptable_nat

#habilita el reenvio de paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward

#le digo al proxy que todos los paquetes que vengan de la red #interna y van a la internet deberian aparenter
#venir de la maquina que tiene la interfact conectada a la net

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


Pero en fin, la cosa no queda ahí, hay que configurar algunos filtros para no tener la red desprotegida, ya estoy trabajando en eso y colocando todo en un script para cargarlo al inicio así las reglas sean permanente.
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 01:24.