La libertad del conocimiento al alcance de quien la busca.
Bienvenido(a) a Alcance Libre 10/09/2025, 21:15
Alcance Libre Foros
|
||||||||
 |
Índice del foro > Todo acerca de Linux > Redes y Servidores |
New Topic
Post Reply
|
 Shorewall + Squid (proxy transparente)
|
||
| ilidan |
|
||||||
Participa mucho  Estado: desconectado  Identificado: 05/06/08 Mensajes: 41 Localización:Ecuador |
Saludos cordiales,
Recientemente he configurado un servidor Firewall con Shorewall en CentOS 6.2, actualizado y funcionando, para el cual tengo las siguientes configuraciones: El archivo /etc/shorewall/zones PHP Formatted Code fw firewall net ipv4 loc ipv4 El archivo /etc/shorewall/interfaces PHP Formatted Code net eth0 detect tcpflags,blacklist,nosmurfs,routefilter,logmartians loc eth1 detect dhcp,routefilter,tcpflags,routeback,nosmurfs El archivo /etc/shorewall/masq PHP Formatted Code eth0 eth1 El archivo /etc/shorewall/policy PHP Formatted Code fw net ACCEPT fw loc ACCEPT net fw REJECT net loc REJECT loc fw ACCEPT net all DROP info all all REJECT info El archivo /etc/shorewall/rules PHP Formatted Code ### Inicio de Shorewall SECTION NEW ### Hago que mi ip local acepte puertos a través de una IP pública estática ### Servidor de correos: 192.168.3.254 ### Servidor Firewall 192.168.3.253 ### IP Pública Estática: X.X.X.1 DNAT net loc:192.168.3.254 tcp 25,143,587,993 - X.X.X.1 DNAT net loc:192.168.3.253 tcp 80,443,3128 - X.X.X.1 ### Puertos comunes para pruebas, conexiones y servicios de nombres Trcrt(ACCEPT) loc net Ping(ACCEPT) loc net Ping(ACCEPT) loc $FW Ping(DROP) net $FW DNS(ACCEPT) $FW net DNS(ACCEPT) loc $FW SSH(ACCEPT) loc $FW SSH(ACCEPT) net $FW Time(ACCEPT) loc net NTP(ACCEPT) loc net RDP(ACCEPT) loc net ### Puertos necesarios para la Red en general ACCEPT net fw tcp 80,443,5902,3128,8080,10000 ACCEPT $FW loc icmp ACCEPT $FW net icmp ACCEPT loc fw tcp 80,135:139,443,445,3128,8080,5902,10000 ACCEPT loc fw udp 135:139,161,162 ACCEPT $FW net tcp 80,443,3128 ACCEPT loc net tcp 22,80,143,443,465,587,993,3128,8080,10000 ### Mi servidor de correos LAN ACCEPT loc:192.168.3.254 net tcp 25,143,587,993 REJECT loc net tcp 25 ### Puertos para una página en especial ACCEPT loc net tcp 9000 ACCEPT loc net udp 9000 ### Redirección de Squid REDIRECT loc 3128 tcp 80 #### IPs de mi enlace ACCEPT loc:192.168.2.0/24 fw all ACCEPT loc:192.168.3.0/24 fw all ACCEPT loc:192.168.4.0/24 fw all ACCEPT loc:192.168.5.0/24 fw all ACCEPT loc:192.168.6.0/24 fw all ACCEPT loc:192.168.7.0/24 fw all ACCEPT loc:192.168.8.0/24 fw all ## Para bloquear las páginas del Facebook por HTTPS REJECT loc net:69.171.224.0/19,66.220.144.0/20,69.63.176.0/20,66.220.144.0-66.220.159.255 tcp 443 REJECT loc net:66.220.149.11 tcp 443 REJECT loc net:66.220.158.11 tcp 443 REJECT loc net:69.171.229.11 tcp 443 REJECT loc net:69.171.242.11 tcp 443 REJECT loc net:69.171.224.12 tcp 443 #### --- Fin Bloqueo Facebook HTTPS El primer día que lo implementé funcionó de maravilla, todas las IPs descritas en el archivo rules se conectan a mi Firewall, navegan y también son parte de mis reglas en la configuración del SQUID. Pero aquí viene la descripción de mi problema, desde la red 192.168.4.0/24, no se conecta ninguna, incluso he puesto a una PC dentro mi archivo /etc/shorewall/rules, con la siguiente configuración: PHP Formatted Code ACCEPT loc:192.168.4.50 net all ACCEPT fw loc:192.168.4.50 all Para que acepte todo lo que le llega de Internet y hasta del firewall pero no consigo hacer que navegue hacia los servicios de mi red interna ni mucho menos al internet. Desearía que me puedan ayudar. Adicionalmente, desde la red 192.168.4.0/24 hice las pruebas desde un PC y a través del comando netstat, me arroja lo siguiente: PHP Formatted Code TCP 192.168.4.50:51617 192.168.3.253:3128 FIN_WAIT_2 TCP 192.168.4.50:51619 192.168.3.253:3128 FIN_WAIT_2 TCP 192.168.4.50:51620 192.168.3.253:3128 ESTABLISHED Muchas gracias de antemano. \../_ Metal por sobre todas las cosas _\../ |
||||||
|
|||||||
| Javier F |
|
||||||
|
Miembro regular  Estado: desconectado Identificado: 07/05/08 Mensajes: 78 |
Paúl a lo mejor suena lógico lo que te digo, pero hay veces a que a uno se le van las cabras al monte tu red x.x.4.0/24 tiene como puerta de enlace el firewall.
Saludos. Javier |
||||||
|
|||||||
| ilidan |
|
||||||
|
Participa mucho Estado: desconectado Identificado: 05/06/08 Mensajes: 41 Localización:Ecuador |
Quote by: Javier+F Paúl a lo mejor suena lógico lo que te digo, pero hay veces a que a uno se le van las cabras al monte tu red x.x.4.0/24 tiene como puerta de enlace el firewall. En efecto Javier, en toda mi red tienen configurada como puerta de enlace la del Firewall, olvidé mencionar que también funciona un servidor de nombres en éste, no por abaratar costos; sucede que es más cómodo trabajar con BIND montado en el Firewall. Hasta el momento, he podido hacer que por lo menos tengan correos en dicha red, envían y reciben mensajes tanto internamente como externamente y con seguridades tanto TLS como SSL. Por otro lado no consigo hacer que sólo esa red navegue por el internet, pedí a los encargados del enlace que me ayuden con las tablas ARP de los ruteadores, según pude recavar son unos CISCO 1800, voy a ver si el problema radica en las tablas de rutas de dichos ruteadores. Gracias por tu respuesta. Sigo a la espera de una pista o solución, saludos comunidad. \../_ Metal por sobre todas las cosas _\../ |
||||||
|
|||||||
11/07/12 04:47 (Leído 6,489 veces) 
Quote| Contenido generado en: 0.27 segundos |
New Topic
Post Reply
|
| Todas las horas son CST. Hora actual 09:15 . |
|
|
