Firewall transparente con Linux
Les escribo para hacerles una consulta técnica.
Tengo un equipo con Red Hat Linux 9, que lo estoy utilizando como firewall con IPTables y tiene cargado un proxy con SQUID. Tengo una placa de red conectada directamente a Internet y la otra conectada al switch de mi red interna.
El SQUID atiende las peticiones en el puerto 3128.
El firewall tiene cargadas unas reglas para proveer transparencia (de modo que los usuarios de mi red no necesiten declarar el proxy en el Internet Explorer para poder conectarse). Las reglas declaradas son las siguientes:
-A PREROUTING -i eth1 -s (mi_red_interna) -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -s (mi_red_interna) -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -s (mi_red_interna) -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
Como ven, la idea es dar transparencia para los puertos 80, 443 y 21.
En el archivo de configuración del SQUID están las siguientes reglas:
acl all src 0.0.0.0/0.0.0.0
Acl manager proto cache_object
Acl localhost src 127.0.0.1/255.255.255.255
acl redEmpresa src (mi_red_interna)
Acl dmzEmpresa src (mi_DMZ)
Acl to_localhost dst 127.0.0.0/8
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 #https
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
Bueno. Hasta aquí la descripción de la configuración de IPTables y del SQUID.
El problema está en que, si declaro el proxy (con el puerto 3128) en el Internet Explorer de cualquier máquina que sea parte de la LAN el MSN funciona perfecto, pero si no declaro el mismo (queriendo hacer uso de la transparencia) el MSN deja de funcionar.
Ya probé de incluir una regla en el firewall que redirija los puertos 1863 y 1080 al 3128 en el firewall, y declaré como safe_port a los puertos 1863 y 1080 en el SQUID, pero tuve exactamente los mismos problemas. La navegación web funciona perfecto, tanto declarando como no al proxy, pero si no lo declaro no puedo utilizar el MSN.
Les agradecería si alguien puede ayudarme con este problema (se calificar bien las respuestas).
Tengo un equipo con Red Hat Linux 9, que lo estoy utilizando como firewall con IPTables y tiene cargado un proxy con SQUID. Tengo una placa de red conectada directamente a Internet y la otra conectada al switch de mi red interna.
El SQUID atiende las peticiones en el puerto 3128.
El firewall tiene cargadas unas reglas para proveer transparencia (de modo que los usuarios de mi red no necesiten declarar el proxy en el Internet Explorer para poder conectarse). Las reglas declaradas son las siguientes:
-A PREROUTING -i eth1 -s (mi_red_interna) -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -s (mi_red_interna) -p tcp -m tcp --dport 443 -j REDIRECT --to-ports 3128
-A PREROUTING -i eth1 -s (mi_red_interna) -p tcp -m tcp --dport 21 -j REDIRECT --to-ports 3128
Como ven, la idea es dar transparencia para los puertos 80, 443 y 21.
En el archivo de configuración del SQUID están las siguientes reglas:
acl all src 0.0.0.0/0.0.0.0
Acl manager proto cache_object
Acl localhost src 127.0.0.1/255.255.255.255
acl redEmpresa src (mi_red_interna)
Acl dmzEmpresa src (mi_DMZ)
Acl to_localhost dst 127.0.0.0/8
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 #https
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
Bueno. Hasta aquí la descripción de la configuración de IPTables y del SQUID.
El problema está en que, si declaro el proxy (con el puerto 3128) en el Internet Explorer de cualquier máquina que sea parte de la LAN el MSN funciona perfecto, pero si no declaro el mismo (queriendo hacer uso de la transparencia) el MSN deja de funcionar.
Ya probé de incluir una regla en el firewall que redirija los puertos 1863 y 1080 al 3128 en el firewall, y declaré como safe_port a los puertos 1863 y 1080 en el SQUID, pero tuve exactamente los mismos problemas. La navegación web funciona perfecto, tanto declarando como no al proxy, pero si no lo declaro no puedo utilizar el MSN.
Les agradecería si alguien puede ayudarme con este problema (se calificar bien las respuestas).
1 respuesta
Respuesta de sjavyer
1
Imagino que los mismos que en tcp
Tus script´s son correctos. Si no declaras el proxy en el ie el msn no sabe de su existencia. El problema es que con el squidy el iptables no deberías necesitarlo lo único que se me ocurre es que el msn utilice también los puertos udp no solo tcp ya me dirás
