Squid En Centos 5

Cordial Saludo, mi nombre es Tomas y quiero hacerles una consulta.
Recien entre a una empresa donde hay 15 pc con win xp y un servidor linux centos5.
El internet llega por adsl hasta el servidor centos y pasa por un proxy, y por la otra tarjeta se conecta al swiche donde estan las demas pc. si quiero darle acceso a internet a un usuario lo hago por webmin en una acl llamada red local y queda con internet bajo las reglas del squid con sus restricciones pero no le sale correo pop3 y smtp, para que pueda tener correo me toca ir a /etc/rc.firewall y añadir la ip de esa maquina y automaticamente queda sin restricciones de internet y puede salir correo, pero la idea es que salga correo y tenga restricciones de internet, que debo hacer para arreglar esto, supuestamente con el rc.firewall se suplanta las reglas de iptables, es lo que entiendo pero me gustaria que ustedes me ayudaran a entender este funcionamiento
saludos
________________________________________

Publica el contenido del rc.firewall para ver cómo está diagramado.

Saludos.

#!/bin/sh

echo "Aplicando Reglas de Firewall..."

## FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

## Establecemos politica por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT

## Empezamos a filtrar
## Nota: eth0 es el interfaz conectado al router y eth1 a la LAN
# El localhost se deja (por ejemplo conexiones locales a mysql)
/sbin/iptables -A INPUT -i lo -j ACCEPT

# Al firewall tenemos acceso desde la red local
iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT

# Abrimos el puerto 25, hay que configurar bien el relay del servidor SMTP
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
# Abrimos el pop3
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
# Aceptamos que vayan a puertos 80
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 80 -j ACCEPT
# Aceptamos que vayan a puertos https
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 443 -j ACCEPT

# Aceptamos que consulten los DNS
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p udp --dport 53 -j ACCEPT



# Ahora hacemos enmascaramiento de la red local
# y activamos el BIT DE FORWARDING (imprescindible!!!!!)
iptables -t nat -A POSTROUTING -s 192.168.0.45/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.31/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.30/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.4/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.49/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.50/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.51/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.52/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.53/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.6/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.1/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.13/32 -o eth1 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.16/32 -o eth1 -j MASQUERADE

# Con esto permitimos hacer forward de paquetes en el firewall, o sea
# que otras máquinas puedan salir a traves del firewall.
echo 1 > /proc/sys/net/ipv4/ip_forward

## Y ahora cerramos los accesos indeseados del exterior:
# Nota: 0.0.0.0/0 significa: cualquier red

# Cerramos el rango de puerto bien conocido
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -p udp --dport 1:1024 -j DROP

# Cerramos un puerto de gestión: webmin
iptables -A INPUT -s 0.0.0.0/0 -p tcp --dport 10000 -j DROP

echo " OK . Verifique que lo que se aplica con: iptables -L -n"

# Fin del script


COMO SE VE AQUI?

El script está bien armado, lo que tendrías que hacer, es quitar las lineas que contienen el MASQUERADE para cada máquina, y reemplazarlo para toda la red:

También deberías quitar esta línea:
Para que no puedan navegar por internet y obligarlos a utilizar el proxy.

Saludos.

Gracias por responder, lo que necesito es dejar en el rc.firewall las ip que no tengan resticciones como el gerente, el contador, etc, aqui en este archivo tendran correo y navegacion sin problemas, pero los demas usuarios no quiero ponerlos aqui sino en una lista acl bajo las reglas del proxy pero cuando lo hago,cuando los pongo en esa lista el correo pop3 se les bloquea a estos usuarios , no les da salida de correo pero si pueden navegar con proxy.

con lo que tu me acabas de decir soluciono esto?


Sldos

Te conviene agregar las ips que no van a tener restricciones, en el FORWARD, una linea por maquina, por ejemplo asi:

ok, para los usuarios que no van a tener restricciones hago eso, y como solucciono lo de los usuarios que deben tener restriccion proxy y que necesitan correo pop3, en donde los coloco

Tengo pena contigo AleSanchez, yo se que me has querido ayudar pero como ya te habras dado cuenta no se mucho de esto y me apena no seguirte el paso, es solo que crei que seria mas facil solucionar mi problema pero veo que esta complicado, si pudiera saber si me entiendes y me echaras una mano con esto.

gracias por la atencion

El script ya está configurado para eso. El modo es inverso a lo que pensás: Todo el mundo está restringido salvo los que especifiques, de la manera que antes te mencioné.

Saludos.

Hola Ales, gracias por reponder nuevamente


ok, gracias