Configuración de server proxy

Bienvenido(a) a Alcance Libre 10/09/2025, 18:54

Alcance Libre Foros

	Índice del foro > Todo acerca de Linux > Redes y Servidores	New Topic Post Reply
Configuración de server proxy

RCSantiago

08/11/12 02:15 (Leído 5,566 veces)

Nuevo

Estado: desconectado

Identificado: 08/11/12
Mensajes: 4

Que tal colegas, primeramente muchas felicidades por sus aportaciones, vengo leyendo éste foro desde hace tiempo y de verdad que gran aporte de todos y especialmente los manuales de Joel Barrios Dueñas me han sido de gran utilidad y son de muy buena calidad.

Hoy tengo una problemilla que ya me tiene con dolor de cabeza, si me pudieran ayudar se los agradecería muchisimo, no se que me falta, no logro que las maquinas salgan a Internet.

Tengo un servidor CentOS 4.7 para administrar una red laboral el esquema es así:

Eth0 (172.16.35.254) --- Red Local (172.16.35.X)
Eth1 (172.16.34.252) --- Router ADSL (172.16.34.254)

ya tengo Instalado CentOS 4.7, Wembin, Squid, Iptables, puedo entrar desde cualquier pc de mi red a 172.16.35.254:10000 y me aparace la pagina de apache correctamente.

route me arroja ésto, lo cual creo es correcto:

PHP Formatted Code
Detination   Gateway        Genmask        Flags  Metric Ref Use  Iface

172.16.35.0  *              255.255.255.0  U      000    eth0

172.16.34.0  *              255.255.255.0  U      000    eth1

169.254.0.0  *              255.255.0      U      000    eth1
default      172.16.34.254  0.0.0.0.0      UG     000    eth1

/etc/resolv.conf esta así:

PHP Formatted Code
nameserver 200.33.146.249

nameserver 200.33.146.209

nameserver 200.33.146.218

/etc/sysconfig/network-scripts/ifcfg-eth0 esta así:

PHP Formatted Code
DEVICE=eth0

BOOTPROTO=static

BROADCAST=172.16.35.255

HWADDR=00:40:05:05:74:4A

IPADDR=172.16.35.254

NETMASK=255.255.255.0

NETWORK=172.16.35.0

ONBOOT=yes

TYPE=Ethernet

/etc/sysconfig/network-scripts/ifcfg-eth1 esta así:

PHP Formatted Code
DEVICE=eth1

BOOTPROTO=static

BROADCAST=172.16.34.255

HWADDR=00:14:2A:E7:4A:FF

IPADDR=172.16.34.252

NETMASK=255.255.255.0

NETWORK=172.16.34.0

GATEWAY=172.16.34.254

TYPE=Ethernet

ONBOOT=yes

DHCP_HOSTNAME=fw-Gubernatura

/etc/squid/squid.conf esta así:

PHP Formatted Code
#Puerto de Conexion del Proxy:

http_port 3128

visible_hostname Gubernatura

cache_mem 64 MB

cache_swap_low 90

cache_swap_high 95

maximum_object_size 4096 KB
#cache_dir 400 MB

auth_param basic children 5

auth_param basic realm Squid proxy-caching web server

#Comenzamos con nuestras ACL:

#acl redgub src 172.16.35.0/255.255.255.0

acl all src 0.0.0.0/0.0.0.0

acl manager proto cache_object

acl localhost src 127.0.0.1/255.255.255.255

acl to_localhost dst 127.0.0.0/8

acl sitios_no url_regex "/etc/squid/sitiosdenegados"

acl sitios_si url_regex "/etc/squid/sitiosinocentes"

acl sitios_periodicos_RH_no url_regex "/etc/squid/sitios_periodicos_no"

#########Unica Modificacion para messenger solo algunos

acl aplicaciones_prohibidas req_mime_type -i "/etc/squid/squid.mime-prohibido"

acl msn_no url_regex -i gateway.dll

acl ip_pref src "/etc/squid/ippreferentes"

acl ip_rest src "/etc/squid/iprestringidos"

acl ip_rest_msn src "/etc/squid/iprestconmsn"

acl ip_rest_rhumanos src "/etc/squid/iprhumanos"

acl SSL_ports port 443563

acl Safe_ports port 80# http

acl Safe_ports port 21# ftp

acl Safe_ports port 443563# https, snews

acl Safe_ports port 70# gopher

acl Safe_ports port 210# wais

acl Safe_ports port 1025-65535# unregistered ports

acl Safe_ports port 280# http-mgmt

acl Safe_ports port 488# gss-http

acl Safe_ports port 591# filemaker

acl Safe_ports port 777# multiling http

acl Safe_ports port 4001# Puerto Servidor Firmas Electronicas

acl Safe_ports port 16822# Puerto del Ares 

acl CONNECT method CONNECT

#Configuracion de Accesos:

http_access allow ip_pref

http_access allow ip_rest !sitios_no !aplicaciones_prohibidas !msn_no

http_access allow ip_rest_msn !sitios_no 

http_access allow ip_rest_rhumanos !sitios_periodicos_RH_no !sitios_no !msn_no

#http_access allow Safe_ports

http_access allow manager localhost

http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports

http_access allow localhost

http_access deny all

icp_access deny all

cache_mgr SITIO_TEMPORALMENTE_FUERA_DE_SERVICIO

cache_effective_user squid

cache_effective_group squid

httpd_accel_host virtual

httpd_accel_port 80

httpd_accel_with_proxy on

httpd_accel_uses_host_header on

coredump_dir /var/spool/squid

Cabe mencionar que mi Squid y mis ACL´s las tengo probadas en otro server y funcionan bien.

chkconfig --list iptables
0:desactivado 1:desactivado 2:desactivado 3:desactivado 4:desactivado 5:desactivado 6:desactivado

y tengo mucha duda ya que tengo otro servidor proxy funcionando desde hace dos años y dice lo mismo en chkconfig --list iptables y ese servidor si funciona.

Ojala algúien me pueda apoyar lo agradeceria muchisimo, Saludos!

Profile

Quote

John J. Toro A.

08/11/12 08:11

Moderador

Estado: desconectado

Identificado: 19/02/07
Mensajes: 119
Localización:Medellín - Colombia

Saludos,

No veo enrutamiento (/etc/sysctl.conf): net.ipv4.ip_forward = 1

Dominio (/etc/resolv.conf): search dominio.com ?

JohnToro

Profile

Quote

Edgar Rodolfo

09/11/12 05:25

Miembro regular

Estado: desconectado

Identificado: 20/05/09
Mensajes: 71
Localización:Perú

Hola, no has comentado sobre si has realizado la traducción de direcciones de red (NAT) eso es neceario para que eth0 salga a internet mediante eth1 (de cara a internet), es una regla muy simple usando iptables, luego también necesitas hacer forwarding, habilitar el bit, como esta en los manuales red hat (en sysctl.conf descomentar el forwarding) o poniendo 1 a ip_forward, eso es si usas dos o más interfaces de red.

Lo de squid debería estar bien, como mencionas que tienes alguna configuración en otro sitio y va bien, primero deberías de probar sin habilitar squid, solo haciendo NAT si la Lan sale afuera pasando por CentOS, si es así añade el servicio proxy que es muy simple en su configuración básica.

AHORA SI TE RECOMIENDO USAR CENTOS 5.8 O 6.3, POR QUÉ ESTAS USANDO UNA RELEASE ANTIGUA Y TODAVÍA 4.7? puedes descargar la imagen iso desde el portal www.CentOS.org, suerte!

Live free or die!

Profile

Website

Quote

RCSantiago

11/11/12 03:59

Nuevo

Estado: desconectado

Identificado: 08/11/12
Mensajes: 4

Quote by: John+J.+Toro+A.

Saludos,

No veo enrutamiento (/etc/sysctl.conf): net.ipv4.ip_forward = 1

Dominio (/etc/resolv.conf): search dominio.com ?

Que tal amigo, gracias responder, ya edite ese archivo y lo cambie a 1

mi /etc/resolv.conf lo tengo asi:
nameserver 200.33.146.209
nameserver 200.33.146.218

No tengo ningun dominio en mi red, ni servidor web para accesar desde internet

Profile

Quote

RCSantiago

11/11/12 04:52

Nuevo

Estado: desconectado

Identificado: 08/11/12
Mensajes: 4

Quote by: Edgar+Rodolfo

Que tal mi estimado, gracias por la orientación y el tiempo para responder, ya logré hacerlo funcionar pero no estoy del todo convencido de la forma en que quedó, hice lo siguiente:

Paso 1:
Edité el archivo: /etc/sysctl.conf
net.ipv4.ip_forward = 0

Paso 2:
Borré de eth1 el GATEWAY
DEVICE=eth1
BOOTPROTO=static
BROADCAST=172.16.34.255
HWADDR=00:14:2A:E7:4A:FF
IPADDR=172.16.34.252
NETMASK=255.255.255.0
NETWORK=172.16.34.0
GATEWAY=172.16.34.254 <---- Borrada esta linea
TYPE=Ethernet
ONBOOT=yes
DHCP_HOSTNAME=fw-Gubernatura

y Paso 3:
Apague servicio iptables: chkconfig iptables off

con esto quedo funcionando mi red con Internet y el squid bloquea las paginas configuradas correctamente, pero no entendí bien porque funcionó así, seguire leyendo y voy a descargar el CentOS 6.3

Profile

Quote

Edgar Rodolfo

13/11/12 08:14

Miembro regular

Estado: desconectado

Identificado: 20/05/09
Mensajes: 71
Localización:Perú

Hola, no sé que estará pasando amigo, pero te cuento que si tienes dos interfaces una de cara al router y otra a tu switch (lan)

Internet>>(eth0)CentOS(eth1)>>LAN

Parametros suficientespara eth0
de los que estan solo añade IPADDR, NETMASK, GATEWAY

Parametros para eth1 (RECUERDA QUE ESTA ES LA INETRNA)
IPADDR, NETMASK y los que estaban nada más no es necesario GATWAY ya esta en la eth0

Para que la lan salga a internet se necesita habilitar o poner en uno el bit de forwardind y con iptables hacer traducción de direcciones de red (las dos trajetas) osea necesitas a iptables, pero debes borrar toda regla que por defecto derivados de redhat traen, osea hacer iptables -F, tan solo con nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y echo 1 /proc/sys/net/ipv4/ip_forward ya la red interna sale o pasa tu Maquina CentOS y si en Centos tienes bien configurada la red osea eth0 y eth1 en segmentos diferentes y todo statico (de preferencia si será servidor) y poniendo tu lan en el mismo segmento de red que eth1 con puerta de enlace la ip de eth1 de centos todo trabaja ok, eso es suficente.

Lo que has puesto
Paso 1:
Edité el archivo: /etc/sysctl.conf
net.ipv4.ip_forward = 0

No debería funcionar

Paso 2:
Borré de eth1 el GATEWAY
DEVICE=eth1
BOOTPROTO=static
BROADCAST=172.16.34.255
HWADDR=00:14:2A:E7:4A:FF
IPADDR=172.16.34.252
NETMASK=255.255.255.0
NETWORK=172.16.34.0
GATEWAY=172.16.34.254

Hola otra vez, aqui no debe estar GATEWAY porque es la otra interface, ose ala inetrna la externa ya tiene el quien indica quien es puerta de enlace aqui solo unos aprmentros son encesario como IPADDR, NETMASK, BOOTPROTO, DEVICE, creo que eso es suficiente

y Paso 3:
Apague servicio iptables: chkconfig iptables off

No entiendo que estasras haciendo amigo, si eso no debe funcionar, al menos hasta donde yo sé.

con esto quedo funcionando mi red con Internet y el squid bloquea las paginas configuradas correctamente, pero no entendí bien porque funcionó así, seguire leyendo y voy a descargar el CentOS 6.3

Debes de saber qué estas haciendo amigo y entender en lo básico si no comprendes qué estas haciendo y qué cosas necesitas para algún propósito pues estamos en graves problemas, si entiendes lo que haces en cualquier sistema operativo sabrás qué hacer, saludos y suerte!

Live free or die!

Profile

Website

Quote

Edgar Rodolfo

13/11/12 08:26

Miembro regular

Estado: desconectado

Identificado: 20/05/09
Mensajes: 71
Localización:Perú

Te recomiendo leer:
http://www.centos.org/docs/5/html/5.2/Deployment_Guide/s1-firewall-ipt-fwd.html
http://www.centos.org/docs/5/html/5.2/Deployment_Guide/postrouting-ipmasquerading.html

Live free or die!

Profile

Website

Quote

RCSantiago

14/11/12 10:15

Nuevo

Estado: desconectado

Identificado: 08/11/12
Mensajes: 4

Quote by: Edgar+Rodolfo

Que tal amigo, muchas gracias por responder, exactamente todo lo que me dices es lo que he leido en todos lados, tienes toda la razón, así me aparece en todos los manuales que tengo y lo entiendo, el problema es que mi red no tenia acceso a Internet, lo que no entendí en mi caso es porque funcionó cambiando el bit a "0", apagando iptables, y borrando el Gateway de Eth1, pero te juro que así esta mi server desde el lunes dando el servicio de Internet a varias PC y el squid administra bien las paginas de acuerdo al rango de IP´s con privilegios ó restringidas, voy a conseguir otra PC para empezar desde cero y aclarar mis dudas, este server lo dejé así porque estaban mis usuarios sin servicio y una vez que funcionó éste ya no lo quise mover mas, solo una aclaración la que tengo al DSL es ETH1 y la que está hacia mi LAN es ETH0,

Saludos viejo y te agradezco mucho la orientación.

Profile

Quote

Edgar Rodolfo

15/11/12 02:50

Miembro regular

Estado: desconectado

Identificado: 20/05/09
Mensajes: 71
Localización:Perú

Me gustaría saber cómo has hecho o cómo has configurado la red, veo la interface hacia la lan, pero la de cara a internet o al router o lo que sea que te permita salir a inetrnet cómo la tienes? statica? dinamica? podrías aclararnos que has hecho despues de instalar? configuraciones de red de los segmentos detallanos tal vez por ahí encontremos el detalle, tipo de coonexion son esas que usan router pa salir a inetrnet?

Live free or die!

Profile

Website

Quote

Contenido generado en: 0.40 segundos

New Topic

Post Reply

Todas las horas son CST. Hora actual 06:54 .