duda con squid
Miguel Angel Amador L
jokercl en gmail.com
Jue Ago 20 01:42:54 CLT 2009
2009/8/19 Juan Andres Ramirez <jandresaedo en gmail.com>:
> 2009/8/19 Miguel Angel Amador L <jokercl en gmail.com>:
>> 2009/8/19 Juan Andres Ramirez <jandresaedo en gmail.com>:
>>> Hola Amigos:
>>> Tengo funcionando una máquina en forma correcta con
>>> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace
>>> lo que tiene que hacer, el problema es que no puedo bloquear nada que
>>> este en el mismo rango de direccion ip que el firewall, me explico:
>>>
>>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0
>>> --dport 80 -j REDIRECT --to-ports 3128
>>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0
>>> --dport 80 -j REDIRECT --to-ports 3128
>>>
>>> Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes IP:
>>>
>>> eth1-> 192.168.100.2 ->entran las sub redes
>>> eth2> 192.168.100.4 -> salen las sub redes.
>>>
>>> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace
>>> sin problemas.
>>>
>>> El problema lo tengo porque quiero bloquear un server que esta en el
>>> rango 192.168.100.XXX , aplico la regla:
>>>
>>> ==================================================
>>> acl wordpress url_regex http://192.168.100.72/sitio
>>> #causa el mismo efecto
>>> acl wordpress url_regex http://192.168.100.72
>>> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX
>>> http_access deny sitio
>>> ==================================================
>>>
>>> Pues bien, si accedo desde un computador con el rango ip
>>> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde
>>> la red con rango 192.168.100.XXX , es como si la regla no la tomara al
>>> estar dentro de este rango.
>>>
>>> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias.
>>>
>>>
>> Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC
>> cliente al intentar buscar la pagina web que no te bloquea?
>> .. has pensado que tal vez
>
> Si esta resolviendo un windows 2003.
>
>>
>> mmm..
>>> eth1-> 192.168.100.2 ->entran las sub redes
>>> eth2> 192.168.100.4 -> salen las sub redes.
>>
>> Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?...
>
> Las 2 tarjetas estan en el mismo segmento.
>
>> y ambos segmentos estan fisicamente separados? hay algo raro en tu
>> explicacion...
>>
>
> Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas
> las maquinas que tienen como puerta de enlace esa direccion), y la
> otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera.
> Es un firewall con proxy transparente.
>
>> Saludos
>>
>> --
>> Miguel
>>
>>
>
>
mmm ya, el tema es que si tienes un windows o un dns interno.. cuando
preguntas por la pagina http://mi-intranet y el windows resuelve
192.168.100.72, tu computador se conecta directamente a esa ip, porque
esta en el mismo segmento de red que el computador que consulta, lo
podrias probar haciendo un traceroute a la ip, o un tracert si estas
en windows,y veras que no pasas por el firewall...el router solo
recibira paquetes que vayan a un segmento de red distinto al tuyo, ya
que si miras la tabla de rutas de tu PC (en windows es route print),
veras que para la salida a tu red, no ocupa el firewall, si no que
suelta el paquete a la red y el switch se encarga de pasarlo a la boca
correcta en que tiene registrada la mac address del servidor.
en mis tiempos, los routers, o firewall ruteaban cuando tenian
segmentos distintos de red en sus puertas (alguna vez vi un ejemplo en
que ambas tarjetas tenian el mismo segmento, pero los paquetes eran
marcados y ruteados segun la marca que definia la tarjeta por la cual
venian, y no creo que si lo hubieras hecho asi, hubieras omitido ese
dato).
Si quisieras que el pc cliente pase obligadamente por el proxy,
deberias configurarlo en el navegador o en el servidor de dominio para
que aplique a los pc de clientes del dominio.
o en el peor de los casos... restringues en el servidor web, las ips
de usuarios que pueden acceder a el.
Espero te sirva.. o manda un dibujito de tu red.
Salu2
--
Miguel
Más información sobre la lista de distribución Linux