Bienvenido(a) a Alcance Libre 31/01/2023, 04:57

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Redes y Servidores New Topic Post Reply
 Squid con dos tarjetas inestable
Tópico anterior Tópico siguiente
   
Juan Gomez A.
 04/14/12 05:48PM (Leído 4,089 veces)  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
Buen dia a todos
tengo un equipo muy viejito al cual quice sacarle provecho.

Equipo Squid
eth0 ip: 10.5.8.3 ----> dentro del segmento de red interna
msk: 255.255.255.0
gt: -----------

eth1 ip: 192.168.1.3--> contenado al infinitum aun puerto del infinitum
msk: 255.255.255.0
gt: 192.168.1.254 ip del infinitum


Parámetro http_port 3128

de hecho si me funciona, pero con paginas como facebook y salida para msn no me permite realizarlo, cabe mencionar que la configuracion (squid.conf y archivos de reglas ) que estoy ocupando en este servidor son las mismas que me estan funcionando para una sola tarjeta de red. en teoria deberia de funionar. no estoy ocupando nada de iptables o firewall.

espero me puedan ayudar.
saludos
 
Profile Email
 Quote
Juan Carlos Martinez Martinez
 04/16/12 01:31PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 09/21/10
Mensajes: 11
Localización:Poza Rica, Veracruz
Hola amigo, si tienes el proxy transparente no te va filtrar paginas con https que usan ya facebook, en este caso podrias implementar in firewall bloqueado las subredes donde se aloja el facebook

aqui pongo dos paginas de alcancelibre donde te dan solucion

manual:

http://www.alcancelibre.org/staticpages/index.php/bloquear-facebook-meebo-imo-443-https


y una solucion
http://www.alcancelibre.org/forum/viewtopic.php?showtopic=6738

todo es con firewall

saludos
 
Profile Email
 Quote
Juan Gomez A.
 04/17/12 10:31AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
muchas gracias,
aqui mi caso es totalmente lo contrario,
solo para unos usuarios ( dos ) y que tiene el internet total no pueden entrar al msn de hotmail y a otros servicios que de facturacion electronica pro medio de paginas de otros proveedores asi como portales de walmart y chedraui, el caso es que esta configuracion de squid me funciona perfectamente con una sola targeta de red de donde copie con rsync toda la carpeta de /etc/squid a este otro servidor de otra red, pero con la pequeña modificacion de usar dos targetas de red.

PHP Formatted Code

Targeta a  infinitum

  DEVICE=eth1
  BOOTPROTO=none
  TYPE=Ethernet
  IPADDR=192.168.1.3
  NETMASK=255.255.255.0
  GATEWAY=192.168.1.254
  ONBOOT=yes
  USERCTL=no
  IPV6INIT=no

Targeta a red Local

  DEVICE=eth0
  ONBOOT=yes
  BOOTPROTO=none
  IPADDR=10.15.28.3
  NETMASK=255.255.255.0
  GATEWAY=10.15.28.1
  USERCTL=no
  IPV6INIT=no


 etc/resolv.conf

nameserver 192.168.1.254

 etc/hosts

127.0.0.1       localhost.localdomain localhost
10.15.28.3      vproxy.dominio.com.mx internet

 
 
Profile Email
 Quote
moy
 04/17/12 11:21AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
si tienes habilitado el forward en las tarjetas sino pues no va pasar el trafico de una a otra y parece que no tienes bien el firewall

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A POSTROUTING -o interfazdesalida -j MASQUERADE


eso porque el msn usa puertos extra al 80 y las paginas de los bancos que usan https tambien
 
Profile Email
 Quote
Juan Gomez A.
 04/17/12 11:45AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
asi to tengo

PHP Formatted Code

[root@vproxy-~]# sysctl -p /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
net.ipv4.tcp_syncookies = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 4294967295
kernel.shmall = 268435456
vm.swappiness = 10
[root@vproxy-cardel ~]# service network restart
Interrupción de la interfaz eth0:                         [ OK ]
Interrupción de la interfaz eth1:                         [ OK ]
Interrupción de la interfaz de loopback:                  [ OK ]
Deshabilitando el reenvio de paquetes IPv4:  net.ipv4.ip_forward = 0
                                                           [ OK ]
Activación de la interfaz de loopback:                    [ OK ]
Activando interfaz eth0:                                   [ OK ]
Activando interfaz eth1:                                   [ OK ]
[root@vproxy-[/code]

me queda la duda

[code]
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

 

lo puse asi eth1 es el puerto que esta conectado al infinitum, pero aun asi no me deja entrar al hotmail.

Muchas gracias
 
Profile Email
 Quote
moy
 04/17/12 12:32PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
Y en tus logs tienes algun error?
 
Profile Email
 Quote
Juan Gomez A.
 04/17/12 01:12PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
Ningun error simplemente no entra la pagina. esa es lo extraño.

asi tengo mis ACL:
PHP Formatted Code

573 acl macall arp "/etc/squid/all-mac"
 574 acl restric-ip src "/etc/squid/restric-ip"
 575 acl todo_acceso_ip src "/etc/squid/all-ip"
 576 acl sitios url_regex "/etc/squid/sitios"
 577 acl denegado url_regex "/etc/squid/noaccess"
 578 #
579 #Recommended minimum configuration:
580 acl all src 0.0.0.0/0.0.0.0
 581 acl manager proto cache_object
 582 acl localhost src 127.0.0.1/255.255.255.255
 583 acl to_localhost dst 127.0.0.0/8
 584 #acl SSL_ports port 443
585 acl Safe_ports port 80      # http
586 acl Safe_ports port 21      # ftp
587 acl Safe_ports port 443     # https
588 acl Safe_ports port 70      # gopher
589 acl Safe_ports port 210     # wais
590 acl Safe_ports port 1025-65535  # unregistered ports
591 acl Safe_ports port 280     # http-mgmt
592 acl Safe_ports port 488     # gss-http
593 acl Safe_ports port 591     # filemaker
594 acl Safe_ports port 777     # multiling http
595 acl CONNECT method CONNECT


620 # Only allow cachemgr access from localhost
621 http_access allow manager localhost
 622 http_access deny manager
 623 # Deny requests to unknown ports
624 http_access deny !Safe_ports

 


eso es todo.
Cry
 
Profile Email
 Quote
Juan Gomez A.
 04/20/12 08:59AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
creo que es un problema de firewall tengo que configurarlo, pero la verdad no se como.
espero alguien pueda orientarme, todo es por el puerto 3128.
gracias
 
Profile Email
 Quote
moy
 04/21/12 11:42AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
Tu problema parece que es algo sencillo, porque no subes tus archivos de las iptables o shorewall no se que uses o contactame y dame acceso y en tres patadas debe de quedar
 
Profile Email
 Quote
Juan Gomez A.
 04/23/12 09:31AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
no tengo nada de iptables y menos shorewall.
seria hacerlo desde cero.
saludos
 
Profile Email
 Quote
moy
 04/25/12 11:39AM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
Iptables viene por default, entonces no tienes tu proxy transparente? le configuras a tus clientes la ip y el puerto del proxy?
 
Profile Email
 Quote
Juan Gomez A.
 04/26/12 12:13PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
Aun que se que falta lo de iptables, decidi solo configurar una tarjeta de red y meter el infinitum a mi segmento, pues asi funciona en otro lado y de hehco lo probe y funciono correctamente aclaro solop con una tarjeta de red, aho ra bien me di cuenta que segui con el mismo problema a llevarlo al lugar que lo hiba a instalar y creoq ue es el equipo de internet tomando como referencia este link del foro
http://www.alcancelibre.org/forum/viewtopic.php?forum=3&showtopic=5369

es el mismo equipo que me esta causando el problema voy a ver si al cambiarlo ya no tengo problemas..
haber si de pura casualidad alguien tiene el mismo problema y me puedan orientar mientras voy a tramitar el cambio de equipo por otro diferente garcias a todos.

 
Profile Email
 Quote
moy
 04/26/12 12:36PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
Creo a lo que has escrito que no usas el proxy transparente, sino que le configuras a los clientes en cada equipo el proxy o por lo menos eso me imagino, porque no pone sle proxy transparente

http_port 3128 transparent

y la parte de iptable seria de la siguiente manera

echo 1 > /proc/sys/net/ipv4/ip_forward

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
iptables -A FORWARD -i eth1 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

y al cliente no le configuras nada intenta con estas opciones, sino funciona puedes subir los logs y tu configuracion completa.

Y como te habia comentado si quieres contactame por mail o con un mensaje para no estar triangulo por aqui y te ayudo porque veo que ya tienes varios dias con ese problema y eso debe de ser algo sencillo ya que es algo muy comun de todos los dias.
 
Profile Email
 Quote
Juan Gomez A.
 04/26/12 02:15PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 02/20/07
Mensajes: 160
de verdad quiciera ponerles proxy transparente, pero ya existe un proxy transparente por parte de otra empresa dueña de la franquicia para servicios de BI etc, es por ello que utilizo la configuracion en cada equipo espesificando la ip y el puerto.
 
Profile Email
 Quote
moy
 04/27/12 12:58PM  

Miembro Activo

Estado: desconectado
Forum User

Identificado: 11/29/08
Mensajes: 263
pues seria cosa de checar tu red pero podrias tener dos proxys transparentes sin problemas y sin que te afecte tu red, pero porque no intentas hacer una conexion desde una de las maquinas y el log que te genere lo subes para revizarlo
 
Profile Email
 Quote
Contenido generado en: 0.46 segundos New Topic Post Reply
 Todas las horas son CST. Hora actual 04:57 AM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado