Hola chicos. Tengo una inquietud. Actualmente quiero montar un proxy transparente con mi ubuntu desktop. Hasta ahora, he instalado squid y lo he configurado, squid ha arrancado de buena forma; pero estoy teniendo problemas en la definición de las reglas de iptables. No logro que las paginas sean redireccionadas hacia el puerto y que sean servidas a los PCs. Sé que es un problema de reglas.

También he activado ya el reenvio de paquetes en /etc/sysctl.conf a 1. Las configuraciones que estoy usando son:

Squid.conf

http_port 3128 transparent
#http_port 80
#http_port 8080
icp_port 3130
hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY
cache_mem 64 MB
cache_swap_low 5590
cache_swap_high 5595
maximum_object_size 716800 KB
cache_dir ufs /var/spool/squid 20000 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log /var/log/squid/store.log
mime_table /etc/squid/mime.conf
client_netmask 255.255.255.0
ftp_user miguel@casianet.com
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern . 0 20% 4320
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl red_local src 192.168.0.0/255.255.255.0
acl aceptados src "/etc/squid/aceptados"
acl negados src "/etc/squid/negados"
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
#http_access allow our_networks
http_access allow red_local aceptados !negados
# And finally deny all other access to this proxy
http_access deny all
http_reply_access allow all
icp_access allow all
store_avg_object_size 8192 KB
cache_mgr admin@casianet.com
#httpd_accel_port 80
#httpd_accel_host virtual
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
coredump_dir /var/lib/squid/cache
offline_mode on
ie_refresh on

Y pues aqui viene el problema. En iptables si ingreso esta regla, ya estando activado el reenvío, las paginas se sirven, pero no se registran en el /var/log/squid/access.log, lo q me dice claramente qno estan pasando atraves del proxy. Las regla es:

iptables -t nat -A POSTROUTING -o eth2 -j MASQUERADE

Ahi todo bien. Ahora, inclui esta regla:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

para hacer que pasen por el proxy,pero ahi ya no anda la cosa.

Podrían indicarme un set correcto de reglas de iptables para compartir internet atraves de squid con ubuntitu? se que no estoy muy lejos de que funcione, pero estoy perdido de momento.

Gracias de antemano

---

Eeeh, me pareció ver un lindo pinguino....jejeje...

Saludos,

Al ver tu configuracion recorde que me paso algo similar y la forma en que pude resolver el problema fue permitiendo el acceso (all) en la lista de acceso http_access allow all, prueba, si funciona no es que debas permitir el acceso (all) es que tienes que ordernas el control de acceso ya que las reglas se aplican al igual que en iptables, es decir, una ves que coincidio una regla a un paquete no se le aplican las otras.

Hola r0man,

efectivamente tenia un desorden de reglas...hice la prueba de permit all y sy funciono..posteriormente reordene las reglas y funciono...lo unico extraño que hay es, que aun cuando reinicio el equipo y las reglas de prerouting y postrouting del iptables aplican bien, siempre necesito reiniciar squid luego de aplicar las 2 reglas para q empiece a funcionar el proxy...

no hay reglas que bloqueen el proxy pues es un permit generalizado..pero me parece raro tener q reiniciar squid para q ande...de hecho squid inicia al iniciar el sistema, en /etc/init.d/squid start y sus entradas en rc*.d como es normal..sin embargo y aunque iptables tambien se aplica en los mismos niveles de arranque..es necesario reiniciar el servidor squid...

de momento, hice un script para que aplique las reglas y reincie squid luego de aplicarlas.....aunq creo no es la solución optima...

---

Eeeh, me pareció ver un lindo pinguino....jejeje...