Problema con squid

Miguel Angel Amador L jokercl en gmail.com
Vie Jul 29 14:38:14 CLT 2005


On 7/29/05, luisviveropenna en cdsl.cl <luisviveropenna en cdsl.cl> wrote:
> 
> Holas,
> 
> Tengo un proxy cache funcionando con Squid y reglas ACL para el filtrado
> de contenidos, y funciona.
> 
> El problema es que desde la LAN no se puede ver el servidor web defini
> do en la DMZ.
> 
> El gateway es una maquina con iptables y funciona bien, de tal forma que
> deja pasar los paquetes desde la LAN a la DMZ.
> Si bajo Squid, se ve el servidor web (por protocilo http) desde la LAN,
> pero cuando lo subo me da un error.
> 
> El browser dice:
> 
> The following error was encountered:
> Connection Failed
> The system returned:
>    (111) Connection refused
> 
> Por otra parte el log de squid cuando se intenta ver el sitio dice:
> TCP_MISS/503 1397 GET http://www.empresa.cl/ - NONE/- text/html
> 
> Las reglas asociadas a esta parte son las siguientes:
> 
> acl all src 0.0.0.0/0.0.0.0
> acl localhost src 127.0.0.1/255.255.255.255
> acl to_localhost dst 127.0.0.0/8
> 
> acl CONNECT method CONNECT
> http_access allow manager localhost
> http_access deny manager
> 
> http_access allow localhost
> acl lan src 172.16.1.0/24
> http_access allow lan
> http_access deny all
> 
> [saque los filtros y el resto]
> 
> Entonces seguramente me falta alguna regla para dejar pasar desde la LAN a
> la DMZ, pero todavia no la descubro.
> 
> Alguna idea?
 
mmm tienes FILTER  OUTPUT ACCEPT con direccion a la $DMZ ?
osea, en la consola del firewall, puedes hacer un telnet $WWW_DMZ 80 y
te responde ?
el Squid esta resolviendo bien la ip para el nombre del sitio web ?
(deberia resolver el de la tarjeta de red externa al firewall, si es
que no tienes vistas en el dns) ... lo mejor es que coloques vistas en
el dns...
 Chequea si el fw puede conectarse al puerto 80 del servidor web, y
verifica que IP te resuelve al pingear www.empresa.cl, si es la
externa, puedes ocupar dns con vistas, o aplicar alguna regla marciana
para que el paquete ruteado a la interfaz se devuelva por donde queria
salir.

Saludos
-- 
Miguel Angel Amador L.
[ jokercl at gmail dot com |  User #297569 counter.li.org ]



Más información sobre la lista de distribución Linux