permitir squid en iptables

Imagen de madsantos
0 puntos

Hola a todos, estoy intentando permitir squid en iptables pero no logro que funcione, he visto varios ejemplo en otras páginas pero nada me funciona, sé que la configuración del squid está bien porque al deshabilitar el firewall las máquinas navegan. tengo en la eth0 la wan (dhcp) y en la eth1 la LAN, he colocado el redireccionamiento de paquetes (echo 1 > /proc/sys/net/ipv4/ip_forward), también coloqué el redireccionamiento que he visto en todas las páginas (iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128) y nada, tengo todo por defecto DROP, alguna idea??

 Gracias de antemano.

Imagen de Gabriel_M
+1
0
-1

Hola mad...:

Revisa las reglas de Squid, no toques el script de iptables, como por ejemplo:

http_port 3128 transparent

acl mired src 192.168.1.0/255.255.255.0

http_access allow mired

Revisa tambien si con esa configuracion tus clientes pueden hacer peticiones dns, es decir desde un cliente haz un nslookup google.com si esto esta bien entonces habras conseguido que sea transparente, si no agrega reglas para permitir dns en tcp y udp.

Saludos.


Equipo de Ubuntu-es
+1
0
-1
Imagen de madsantos
+1
0
-1

Hola Gabriel, ante todo gracias por tu respuesta, te comento...

No tenía configurado el proxy como transparente (aún no entiendo mucho la diferencia), sin embargo lo coloqué (aunque ya navegaba antes), el inconveniente es en las politicas del firewall, ya que navego sin problemas hasta que habilito las políticas del firewall, en ese momento dejo de navegar desde la red.

 Si tienes alguna idea...

Gracias.

+1
0
-1
Imagen de madsantos
+1
0
-1

Este es mi archivo de iptables, si pueden ver algo que solucione mi problema les agradecería.

 #FLUSH de reglas
iptables -F
iptables -X
iptables -Z
iptables -t nat -F

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

#Activar el reenvio de Paquetes
echo 1 > /proc/sys/net/ipv4/ip_forward

#Permitir localhost
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

#Permitir ping
iptables -A INPUT -i eth0 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth0 -p ICMP -j ACCEPT
iptables -A INPUT -i eth1 -p ICMP -j ACCEPT
iptables -A OUTPUT -o eth1 -p ICMP -j ACCEPT

#Permitir Proxy squid 3128
iptables -t nat -A POSTROUTING -s 10.0.1.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -s 10.0.0.0/24 -j ACCEPT

#Permitir DNS
iptables -A INPUT -s 200.44.32.12 -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 200.44.32.12 -p udp -m udp --dport 53 -j ACCEPT
iptables -A INPUT -s 200.44.32.13 -p udp -m udp --sport 53 -j ACCEPT
iptables -A OUTPUT -d 200.44.32.13 -p udp -m udp --dport 53 -j ACCEPT

#Permitir no-ip.org
iptables -A INPUT -p tcp -m tcp --sport 8245 -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 8245 -j ACCEPT

#Permitir SSH

iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp --sport 22 -j ACCEPT

#Permitir salida para actualizar antivirus
iptables -A OUTPUT -o eth0 -p tcp --sport 80 -j ACCEPT 

#Permitir Todo desde algunos equipos

iptables -A INPUT -s 10.0.0.5 -j ACCEPT
iptables -A OUTPUT -d 10.0.0.5 -j ACCEPT
iptables -A INPUT -s 10.0.1.3 -j ACCEPT
iptables -A OUTPUT -s 10.0.1.3 -j ACCEPT
iptables -A INPUT -s 10.0.0.34 -j ACCEPT #PC Maria
iptables -A OUTPUT -d 10.0.0.34 -j ACCEPT
iptables -A INPUT -s 10.0.0.41 -j ACCEPT #PC Gustavo
iptables -A OUTPUT -s 10.0.0.41 -j ACCEPT

#Permitir VPN
iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp --sport 1194 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A OUTPUT -o tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A FORWARD -o tun+ -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 22 -j ACCEPT

 

+1
0
-1