vpn y navegacion
Victor Quiroz
quiroz.victor en gmail.com
Sab Dic 9 16:07:14 CLST 2006
Hola listeros, primero que nada les expongo el escenario que dispongo
y luego el problema que se me presenta:
tengo tengo 3 oficinas (A,B,C) conectadas por medio de un tunel(openvpn),
A: lan_interna: 192.168.10.0/24 (nodo maestro)
B: lan_interna: 192.168.20.0/24
C: lan_interna: 192.168.30.0/24
En la subred A se encuentran corriendo 3 servidores con aplicaciones
web, a las cuales se debe permitir el acceso desde las subredes de B y
C.
El tratamiento para las subredes B y C son similares, se tiene un
equipo para establecer el tunel (T) y otro que actua de puerta de
enlace+proxy(GW) para los PCs de cada subred respectivamente, en el
equipo GW habilite una ruta que encamina todo el trafico que este
destinado a la subred de A (192.168.10.0/24) hacia el equipo que hace
de tunel(T), y permita de esta forma acceder desde la subred B hacia
la subred A. (conexion de a ambas subredes via tunel esta OK)
Oficina A
|
|
|-----------|
|
T ----------GW--------Internet
|
|
-------------
LAN Oficina B
Pra el tema de navegacion en los PCs de la subred B configure sus
navegadores mediante un script de autoconfiguracion (.PAC), que
determina si la solicitud web va hacia la subred de A entoces accede
directamente (via T), caso contrario hace uso del proxy que esta en el
equipo GW. (Hasta ahi todo ok)
Bueno como recien comienzo esta configuracion, opte por no poner
ninguna regla de iptables en ningun equipo (T ni GW)para ver que
funcione y apartir de alli, recien ir filtrando trafico, ahora como
todo funciona decidi por algunas reglas en el GW, primero solo
enmascarar:
iptables -t nat -A POSTROUTING -s $LAN -j MASQUERADE
Cuando se activa todo esto, los PCs de la subred B ya no pueden
acceder a las aplicaciones web de la subred A, pero navegan con
normalidad, y tambien navegan las PCs que tenian restriccion mediante
el squid.
Este es el problema no se como podria hacer para que funcione todo
como al principio pero se filtre el trafico en GW y solo deje pasar
navegacion+msn y lo demas lo deniegue,
me podrian colborar para solucionar este problema?
Más información sobre la lista de distribución Linux