duda con squid
Juan Andres Ramirez
jandresaedo en gmail.com
Mie Ago 19 18:31:50 CLT 2009
2009/8/19 Miguel Angel Amador L <jokercl en gmail.com>:
> 2009/8/19 Juan Andres Ramirez <jandresaedo en gmail.com>:
>> Hola Amigos:
>> Tengo funcionando una máquina en forma correcta con
>> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace
>> lo que tiene que hacer, el problema es que no puedo bloquear nada que
>> este en el mismo rango de direccion ip que el firewall, me explico:
>>
>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0
>> --dport 80 -j REDIRECT --to-ports 3128
>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0
>> --dport 80 -j REDIRECT --to-ports 3128
>>
>> Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes IP:
>>
>> eth1-> 192.168.100.2 ->entran las sub redes
>> eth2> 192.168.100.4 -> salen las sub redes.
>>
>> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace
>> sin problemas.
>>
>> El problema lo tengo porque quiero bloquear un server que esta en el
>> rango 192.168.100.XXX , aplico la regla:
>>
>> ==================================================
>> acl wordpress url_regex http://192.168.100.72/sitio
>> #causa el mismo efecto
>> acl wordpress url_regex http://192.168.100.72
>> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX
>> http_access deny sitio
>> ==================================================
>>
>> Pues bien, si accedo desde un computador con el rango ip
>> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde
>> la red con rango 192.168.100.XXX , es como si la regla no la tomara al
>> estar dentro de este rango.
>>
>> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias.
>>
>>
> Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC
> cliente al intentar buscar la pagina web que no te bloquea?
> .. has pensado que tal vez
Si esta resolviendo un windows 2003.
>
> mmm..
>> eth1-> 192.168.100.2 ->entran las sub redes
>> eth2> 192.168.100.4 -> salen las sub redes.
>
> Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?...
Las 2 tarjetas estan en el mismo segmento.
> y ambos segmentos estan fisicamente separados? hay algo raro en tu
> explicacion...
>
Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas
las maquinas que tienen como puerta de enlace esa direccion), y la
otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera.
Es un firewall con proxy transparente.
> Saludos
>
> --
> Miguel
>
>
Más información sobre la lista de distribución Linux