Squid FTP transparente

[Reinaldo Orrego]

El vie, 11-04-2008 a las 13:56 -0400, Eduardo Peña Ceballos escribió:
> Reinaldo Orrego wrote:
> > Yo tengo configurado lo que tu dices, pero no logro imaginarme cual es
> > tu problema por que falta informacion en tu correo, como.
> 
> Lo siento, puede que haya puesto toda la información muy mezclada.
> 
> Tengo la siguiente estructura.
> 
> LAN ---> FW.interno -> Squid -> FW.inet -> Inet
> 
> Es decir, recibo peticiones a los puertos ( 80, 443 & 20,21 ) desde la 
> red 192.168.2.0/24 y los reenvio a la máquina con squid 192.168.200.3
> 
> <extracto_del_script>
> 
> #!/bin/bash
> 
> PROXY_PORTS='80 443 21 20'
> IPTABLES='/sbin/iptables'
> LAN='192.168.2.0/24'
> PROXY='192.168.200.3'
> INT='eth0'
> $DMZ_DEV='10.0.0.0/24'
> 
> 
> $IPTABLES -P INPUT DROP
> $IPTABLES -P OUTPUT DROP
> $IPTABLES -P FORWARD DROP
> 
> 
> for i in $(echo $PROXY_PORTS)
> do
>       $IPTABLES -t nat -A PREROUTING -i $INT -s $LAN -d ! $DMZ_DEV -p 
> TCP --dport 21 -j DNAT --to 192.168.200.249:21
>       $IPTABLES -A FORWARD -s $LAN -p TCP --dport 3128 -j ACCEPT
>       $IPTABLES -A FORWARD -s $PROXY -p TCP --sport 3128 -j ACCEPT
> done
> 
> </extracto_del_script>
> 

La verdad es que no me quedo muy claro tu script. Logro darme cuenta que
hace 4 iteraciones pero no veo donde los puertos que nombras lo
redirecciona al squid.

Al explicar de esta forma como esta tu red, tambien me doy cuenta que no
es un caso paresido como yo trataba de adivinar.

Yo tengo lo siguiente.

LAN => squid/firewall/dansguardian => Internet

Para lo que simplemente agregue la siguiente linea a mi firewall.

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT
--to-port 8080

El puerto 8080 es el dansguardian y este redirecciona a la 3128, pero si
tu cambias el "8080" por un "3128" funcionaria.

Evidentemente este no es tu caso, pero espero que te de una idea.

> > - Que cosas modificaste en los archivos de configuración de squid (ideal
> >  seria que subas tu archivo a algo como pastebin y pegues el link)
> 
> En squid.conf solamente puse un par de ACL y restricciones de personas a 
> sitios, nada más.
> 

Cuando lo dejas con la configuracion por defecto no te funcionara como
transparente, para esto debes agregar la siguiente linea.

http_port 3128 transparent

Yo la tengo al principio, no se si influira esto. Tengo instalada la
version 2.6 de squid.

> > - Que documento seguiste para hacer la configuración, y en que parte del
> > proceso tuviste problemas.
> 
> Un poco de google y la página de squid [1]
> 


En la pagina de squid busque la informacion de como configurar un proxy
transparente y encontre esto.

http://freshmeat.net/articles/view/1433/

El que esta un poco desactualizado, no se como estaran los otros
archivos de configuracion, si te guistaste por este tal vez fue el
error, ya que las primeras cosas que debes agregar a la configuracion de
squid que aparecen, no son necesarias, con la version que estas usando
tu, con la linea de arriba seria suficiente, para que lo retires si lo
agregaste.

> 
> > - Estas usando 2 versiones al mismo tiempo de squid?
> 
> Nop, primero probé con 2.6 y al no funcionarme instalé otra máquina con 
> 3.0 y cambié la redirección de puertos
> 

No conosco las diferencias, pero yo estoy usando 2.6 sin ningun
problema.

> > - Como configuraste iptables ?
> 
> Espero que con el extracto sirva
> 

no mucho.

> 
> > Lo otro es que esperes un tiempo a que mi bola de cristal me la
> > devuelvan del taller.
> 
> Excelente, puedes llamarme por teléfono seguro en tu bola sale el 
> número... si quedo bien reparada ;)
> 

Plop

> 
> [1] http://www.squid-cache.org/
>