Amigos de la comunidad buentas tardes, nesecito de su valiosa ayuda.

Tengo squid transparente + iptables con tres tarjetas de red

192.168.1.2 - eth0 - Conectado al Router
192.168.7.1 - eth1 - Conectado a la LAN
192.168.8.1 - eth2 - DMZ

El panorama es el siguiente :
Mi lan se conecta bien al internet, mis restricciones de paginas web, https, msn, entre otros funciona bien, lo que no logro hacer es que mi LAN logre visualizar el pagina web que está en la DMZ
1. Que líneas tendría que agregar para poder lograr que mi lan visualice mi web

2. Que líneas tendría que poner para el acceso a mi ftp interno que también esta en la DMZ,

3. Que lineas tendría que agregar para lograr mi salida de correo, que también esta en la DMZ

El otro punto es el sgte :
En mis acl tengo lo siguiente
Ip_permitido - ip’s con acceso a internet restringido
Ip_total - ip’s con acceso total al internet
Pw_permitido - acceso solo a las paginas que están dentro de esta acl

Estas son mis líneas en el squid
acl permitido src "/etc/squid/listas/ip_permitido"
acl total src "/etc/squid/listas/ip_total"
acl pwpermitido url_regex "/etc/squid/listas/pw_permitido"

http_access allow permitido pwpermitido
http_access allow total

lo que sucede es que cuando abro por ejemplo la pagina del yahoo, no me muestras la pagina completa, lo abre, pero con errores y ya no me deja accesar a las demás opciones; lo mismo sucede con otras paginas, para todos lo que tengo registrados en ip_permitido

Quisiera su ayuda por favor

bueno lo primero es que veas el log del squid a ver si estas haciendo una restricción en la acl pwpermitido url_regex "/etc/squid/listas/pw_permitido, hay paginass web que cargan componentes como javascript y otros, de otros servidores . con la DMZ tienes que hacer un FORWARD de puertos de la LAN >> DMZ

que estas usando de firewall?

saludoss

Cesar con respecto a tus ACL coloca el siguiente comando:

tail -f /var/log/squid/cache.log

Para ver los log´s de los accesos de tus clientes hacia internet ahi puedes revisar los sitios que squid esta denegando, como comenta gutierrezr y colocarlos en tu lista de permitidos.


Saludos y cuentanos si te funciono o como lo solucionaste

muchas gracias por las respuestas, no soy experto en linux, no se si me podrian facilitar las lineas para hacer el forward, ya que he buscado en internet y he colocado en mi scrip varios de los ejemplos que ahi ponene, claro cambiando a mis requerimientos, pero aun nada, no logro que me lan vea mi pagina web.

eth0 -> 192.168.1.2 -> Conectado al Router
eth1 -> 192.168.7.1 -> Conectado a la LAN
eth2 -> 192.168.8.1 -> DMZ (ip publico 190.41.111.98)

bajo este panorama, cuales serian las lineas para que mi lan vea mi pagina web.

Tambien quisiera saber como acceder a mi servidor que esta en la DMZ mediante ftp, desde mi lan.

En lo referente a que mi lista de ip_permitido no ven completas algunas paginas, me dicen que es posible que sea por el javascript, en todo caso que es lo que tendria que agregar en mi lista pw_permitido.

Les agradeceré mucho su ayuda, como les dije no soy un experto en linux.

Muchas Gracias

Cesar, es raro que te este pasando lo que comentas, te hago algunas recomendaciones:

Si el acceso de la lan es atraves del proxy, no es necesario el reenvio, por lo que valida que desde el proxy alcances tu web en la dmz.

Desde la lan, tus pruebas realizalas con una ip de" total".
No estoy familiarizado con iptables, pero debes tener abierto el acceso de fw a la dmz por el puerto 80

Nuevamente como ya lo comentaron, revisa esta salida:

tail -f /var/log/squid/access.log

muestranos que te indica, así como el error que observas en la lan.

Finalmente, te recomiendo revisar en la seccion de manuales, lo correspondiente a shorewall, para implementar un firewall.

Comentanos como te fue.

Buenas tardes a todos

Muchas gracias por las respuestas a mis interrogantes, bueno, solo para comentarles que gracias a la ayuda de un amigo me logró pasar las reglas para bloquear el molestoso imo.im y las reglas son las siguientes

DROP loc net:64.13.161.61 tcp 443 ## imo.im
DROP loc net:64.13.161.61 udp 443 ## imo.im

Espero esto le sea a ayuda a alguien de esta comunidad, no les voy a decir que se lean y recontra lean los manuales, solo les dejo las reglas para que les sean de utilidad.

nuevamente muchas gracias