Reglamento general de los foros   •   FAQ   •   Buscar en el foro •  Registrarse | Iniciar sesión 



Portada » Foros Linux » Administración del sistema » Redes y Servidores


Nuevo tema Responder al tema
 [ 17 mensajes ]  Ir a página 1, 2  Siguiente
Patrocinadores

Autor
Buscar:
Mensaje

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Sep 14, 2011 3:23 pm
Mensajes: 17

Nota Publicado: Mar Dic 27, 2011 5:36 pm 
Arriba  
Buenos días, amigos, despues de todos sus aporte, logré implementar un proxy, pero como siempre saltan nuevas dudas, espero con tu experiencia, me puedan ayudar

1.-El problema es que al reinicar mi linux, tengo q volver a hacer las iptbales, ya lo probe 3 veces y si tengo q volver a hacer esto y como ven lineas abajo ya grabé dichas instrucciones (trabajo solo con 1 tarjeta de red)

[root@yproxy ~]# iptables -F
[root@yproxy ~]# iptables -X
[root@yproxy ~]# iptables -Z
[root@yproxy ~]# iptables -t nat -F
[root@yproxy ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
[root@yproxy ~]# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128
[root@yproxy ~]# echo 1 > /proc/sys/net/ipv4/ip_forward
[root@yproxy ~]# iptables-save > /etc/sysconfig/iptables
You have new mail in /var/spool/mail/root
[root@yproxy ~]# /etc/init.d/iptables restart
Expurgar reglas del cortafuegos: [ OK ]
Configuración de cadenas a la política ACCEPT: nat filter [ OK ]
Descargando módulos iptables: [ OK ]
Aplicando reglas del cortafuegos iptables: [ OK ]
Cargando módulos iptables adicionales:ip_conntrack_netbios_[ OK ]
[root@yproxy ~]#
[root@yproxy ~]# /sbin/service iptables save
Guardando las reglas del cortafuegos a /etc/sysconfig/iptab[ OK ]


2.-No puedo ver páginas https://, al querer acceder a ellas, no sale la pantalla de acceso denegado de squid, si no! el navegador dice que perdió la conexión y esta parte es importante porque nuestro correo coorporativo usa un google apps, que la url es https

A la espera de sus comentarios, gracias

 Perfil  

Desconectado
Moderador
Moderador
Avatar de Usuario

Registrado: Mié Jul 20, 2005 7:00 am
Mensajes: 3845
Ubicación: /home/Peru/Lima/La Molina

Nota Publicado: Mié Dic 28, 2011 9:16 pm 
Arriba  
Estas aplicando mal el enmascaramiento de 443 hacia el 80, revisa bien tus 2 reglas
Para que las reglas levanten cuando resetees el firewall o afin, debes colocarlo en /etc/rc.local (si es centOS tu script: firewall.sh)

Sls

_________________
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Sep 14, 2011 3:23 pm
Mensajes: 17

Nota Publicado: Mié Dic 28, 2011 9:39 pm 
Arriba  
Podrias ayudarme con las reglas, según tu experiencia como serian, te comento que también he descargado manuales de diferentes fechas y años y no sé exactamente cual es la regla correcta, gracias

 Perfil  

Desconectado
Moderador
Moderador
Avatar de Usuario

Registrado: Mié Jul 20, 2005 7:00 am
Mensajes: 3845
Ubicación: /home/Peru/Lima/La Molina

Nota Publicado: Mié Dic 28, 2011 9:52 pm 
Arriba  
veo que no tienes una regla para enmascarar tu red lan:
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

Luego irian las 2 reglas:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 3128

Sls

_________________
"Quiero cambiar al mundo pero no me dan los RPM"
----------------------------
Tony Blair
Linux User # 433253
Ubuntu User # 9562
-----------------------------

 Perfil WWW  

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 29, 2004 7:00 am
Mensajes: 368

Nota Publicado: Mié Dic 28, 2011 11:19 pm 
Arriba  
Kde_Tony escribió:
Estas aplicando mal el enmascaramiento de 443 hacia el 80, revisa bien tus 2 reglas
Para que las reglas levanten cuando resetees el firewall o afin, debes colocarlo en /etc/rc.local (si es centOS tu script: firewall.sh)

Sls



No veo donde esta haciendo redireccion del 443 al 80, creo que te equivocaste....

jcollective escribió:
Podrias ayudarme con las reglas, según tu experiencia como serian, te comento que también he descargado manuales de diferentes fechas y años y no sé exactamente cual es la regla correcta, gracias


Mira tus reglas estan bien, excepto que no pusiste la regla del enmascaramiento que seria la que daria salida a las peticiones hacia afuera...

Por otro lado, si estas redirigiendo al 3128 es porque tienes un proxyweb squid (creo) asi que debes configurar tu squid para que tambien acepte a 443.

Saludos !

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Sep 14, 2011 3:23 pm
Mensajes: 17

Nota Publicado: Jue Dic 29, 2011 6:52 pm 
Arriba  
Gracias por la ayuda, pero a raiz del HTTPS, estoy leyendo mucho y coinciden en que en proxy transparente no funciona el poder ver paginas https, y que tengo q haberlo no transparente. vaya que caray! osea tanto trabajo para regresar al principio, pueden confirmarme esto, no quiero terminar de desilucionarme del squid de linux, gracias

 Perfil  

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 29, 2004 7:00 am
Mensajes: 368

Nota Publicado: Jue Dic 29, 2011 8:00 pm 
Arriba  
jcollective escribió:
Gracias por la ayuda, pero a raiz del HTTPS, estoy leyendo mucho y coinciden en que en proxy transparente no funciona el poder ver paginas https, y que tengo q haberlo no transparente. vaya que caray! osea tanto trabajo para regresar al principio, pueden confirmarme esto, no quiero terminar de desilucionarme del squid de linux, gracias


No se quien te dijo que hay que configurar mucho... solo que estas viendo el manual incorrecto.

La linea es simple y sencilla, asi lo tengo yo y no tengo problemas con sitios HTTPS:

# cat /etc/squid/squid.conf
Código:
# .........configuracion
acl SSL_ports port 443
acl Safe_ports port 443         # https

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny all
# ...... mas configuracion


Lo mas optimo es que nos pongas aqui tu squid.conf. Ya sea que lo pongas directo o dejes link a pastebin.

Saludos !

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Sep 14, 2011 3:23 pm
Mensajes: 17

Nota Publicado: Vie Dic 30, 2011 6:16 pm 
Arriba  
Genial amigo, eso haré colocaré mi squid, eres lo max, gracias amigo tu ayuda es invaluable, te mando un link con mi squid conf y en lineas rojas abajo la confi que agregué, gracias espero tus valiosos comentarios y sugerencias

https://skydrive.live.com/redir.aspx?ci ... AMOAi7shUE


Nota.- En estos momentos en mi squid esta como transparente, pero en mis 2 clientes de prueba uno con IExplore y otro con firefox, en el navegador he configurado el proxy, y normal se ven las páginas https,

Salu2

# WELCOME TO SQUID 2.6.STABLE21


# Squid normally listens to port 3128
http_port 192.168.1.12:3128 transparent

visible_hostname yproxy

#Listas de Control de Acceso
acl localhost src 192.168.1.12
acl miredlocal src 192.168.1.0/255.255.255.0

#acl https port 443

acl sitiosdenegados url_regex "/etc/squid/listas/sitiosdenegados"
acl porno dstdom_regex -i sex\..* #busca sex en cualquier parte de la url
acl porno2 dstdom_regex -i porn\..* #busca sex en cualquier parte de la url
acl porno3 dstdom_regex -i xxx\..* #busca sex en cualquier parte de la url
acl mp3 dstdom_regex -i mp3\..* #busca sex en cualquier parte de la url
acl extensiones url_regex "/etc/squid/listas/extensiones"



#Control de Acceso
http_access deny porno
http_access deny porno2
http_access deny porno3
http_access deny mp3
http_access deny sitiosdenegados
http_access deny extensiones
http_access allow localhost

#http_access allow Safe_ports
#http_access allow CONNECT SSL_ports
#http_access allow https

http_access allow miredlocal


Adjuntos:
Comentario: mi Squid, le agrege la exten .txt
squid.conf.txt [152.31 KiB]
13 veces
 Perfil  

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 29, 2004 7:00 am
Mensajes: 368

Nota Publicado: Vie Dic 30, 2011 7:03 pm 
Arriba  
gracias por publicar tu configuracion esperemos le sirva a otros.... y bien por ti, asi es como se avance en este mundo del linux. Aqui andamos para cualquier cosa !

Saludos !

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Sep 14, 2011 3:23 pm
Mensajes: 17

Nota Publicado: Sab Dic 31, 2011 4:28 am 
Arriba  
A todos en especial a ti, por favor revísalo en cuando puedas y me indicas que hago mal, asi como también con el tema del https, gracias

 Perfil  

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 29, 2004 7:00 am
Mensajes: 368

Nota Publicado: Sab Dic 31, 2011 4:56 pm 
Arriba  
jcollective escribió:
A todos en especial a ti, por favor revísalo en cuando puedas y me indicas que hago mal, asi como también con el tema del https, gracias


Crei que ya habias resuelto el problema.....

Observando tu configuracion te recomiendo que lo primero que debes hacer es darle orden al script, vaya, primero debes declarar las ACL's, despues los Accesos, El Puerto, la Memoria y Errores Log.

Quedaria tu scrtip asi, observa bien los cambios que hice:

Código:
#Listas de Control de Acceso
acl localhost src 192.168.1.12
acl miredlocal src 192.168.1.0/255.255.255.0
acl sitiosdenegados url_regex "/etc/squid/listas/sitiosdenegados"
acl porno dstdom_regex -i sex\..* #busca sex en cualquier parte de la url
acl porno2 dstdom_regex -i porn\..* #busca sex en cualquier parte de la url
acl porno3 dstdom_regex -i xxx\..* #busca sex en cualquier parte de la url
acl mp3 dstdom_regex -i mp3\..* #busca sex en cualquier parte de la url
acl extensiones url_regex "/etc/squid/listas/extensiones"

# nueva linea
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl CONNECT method CONNECT

# accesos
http_access deny porno porno2 porno3 mp3 sitiosdenegados extensiones !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost miredlocal
http_access deny all
icp_access allow all

# puertos
http_port 3128 transparent

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Sep 14, 2011 3:23 pm
Mensajes: 17

Nota Publicado: Sab Dic 31, 2011 5:19 pm 
Arriba  
En el curso que lleve, bueno me enseñaron que todas las acl y http_access iban al final del squid, bueno creo q eso no tiene mucha relevancia, ahora las lineas en
# nueva linea
acl SSL_ports port 443 # https
acl Safe_ports port 80 # http
acl Safe_ports port 20 # ftp
acl Safe_ports port 21 # ftp
acl CONNECT method CONNECT

son similares a las q estan x defualt en el squid en la zona #Recommended minimum configuration:

La pregunta es comento las originales o las muevo y edito hasta el final del squid?

Y una pregunta más veo que has incluido la linea icp_access allow all, disculpa ese comando icp_access que es lo que hace

Gracias Diabliyo, un feliz año 2012 de todo corazón, saludos desde Perú, gracias por la ayuda, espero seguir en contacto, quiero seguir aprendiendo más de Linux, ya que leo varios post, manuales y siempre veo cosas nuevas, gracias

 Perfil  

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 29, 2004 7:00 am
Mensajes: 368

Nota Publicado: Lun Ene 02, 2012 4:14 pm 
Arriba  
Feliz a~o igualmente desde Mexico :D.....

Bueno respecto a si las ACLs van al final o al inicio y si tengan efecto secundario eso si no lo he corroborado, siempre pongo las ACLs al principio y despues las demas reglas porque mas o menos asi esta organizado en el squid por default.

Sobre las ICP es la cache del squid, es muy importante tener la cache del squid funcionando ya que te permitiría mucho ahorro de banda, vaya, si un usuario accede a una dirección X y otro usuario (en otro PC dentro de tu red) accede a esa misma dirección X, el archivo, imagen, video o pagina que corresponde con la dirección X no tiene que volver a descargarse, sino que lo toma de la cache.

La cache es la informacion en disco duro que se almacena temporalmente en el servidor.

Otro dato importante del ICP, es que muchos admins lo usan como referencia estadística, ya que no solo guarda cache de datos, sino también un LOG, y este log lo usando para tener una referencia que contenido accede recurrentemente alguien Y a nivel empresa, suelen LIMITAR el acceso a internet gracias a esto :D.

Si piensas habilitar el ICP (cache) debe poner estas lineas:

Código:
#Dimencion memoria cache y directorio
cache_mem 512 MB
cache_dir ufs /mnt/squid 700 16 256
cache_mgr darkdiabliyo@gmail.com

#Squid Log
access_log /var/log/squid/access.log squid

#Cache Log
cache_log /var/log/squid/cache.log

#Opciones de Tuenleo de Cache
acl QUERY urlpath_regex cgi-bin \?
cache deny QUERY
refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%   1440
refresh_pattern .               0   20%     4320

#Apache service
acl apache rep_header Server ^Apache
broken_vary_encoding allow apache

#Puerto de Cache
icp_port 3130


Saludos !

 Perfil WWW  

Desconectado
Forista Nuevo
Forista Nuevo

Registrado: Mié Sep 14, 2011 3:23 pm
Mensajes: 17

Nota Publicado: Vie Ene 13, 2012 6:06 pm 
Arriba  
Buenos días, he estado desconectado en estos dias, pero ya regresé, y sigo investigando esto del proxy y de los iptables, he encontrado este archivo, en su opinion experta esta bueno o ya esta desactualizado, por que me genera más preguntas q luego las haré, gracias


Adjuntos:
IPTABLES.pdf [819.74 KiB]
30 veces
 Perfil  

Desconectado
Forista Medio
Forista Medio
Avatar de Usuario

Registrado: Jue Abr 29, 2004 7:00 am
Mensajes: 368

Nota Publicado: Vie Ene 13, 2012 6:16 pm 
Arriba  
Ese manual esta muy bien, de echo cuando me introduje en IPTABLES fue el primero que lei..

 Perfil WWW  
Mostrar mensajes previos:  Ordenar por  
 [ 17 mensajes ]  Ir a página 1, 2  Siguiente
Nuevo tema Responder al tema

Saltar a:  


 Temas relacionados   Autor   Respuestas   Vistas   Último mensaje 
como implementar un servidor web apache en centos

en Redes y Servidores

matayus

1

2084

Mié May 09, 2007 6:11 pm

Kou Ver último mensaje

Dudas para implementar servidor de archivos

en Redes y Servidores

Kou

13

2983

Mié Oct 18, 2006 8:36 pm

PICCORO Ver último mensaje

Problema con Squid 2.6 en Centos 5

en Redes y Servidores

kmmiranda

6

368

Lun Abr 02, 2012 6:31 pm

Kde_Tony Ver último mensaje

Instalar Squid con proxy en Centos

en Redes y Servidores

asantiago

6

4303

Jue Oct 15, 2009 7:49 am

Kde_Tony Ver último mensaje



¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 5 invitados

No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group :: Style based on FI Subice by phpBBservice.nl :: Todos los horarios son UTC + 1 hora [ DST ]
Traducción al español por Huan Manwë
phpBB SEO