duda con squid

Juan Andres Ramirez jandresaedo en gmail.com
Jue Ago 20 09:30:23 CLT 2009


2009/8/20 Miguel Angel Amador L <jokercl en gmail.com>:
> 2009/8/19 Juan Andres Ramirez <jandresaedo en gmail.com>:
>> 2009/8/19 Miguel Angel Amador L <jokercl en gmail.com>:
>>> 2009/8/19 Juan Andres Ramirez <jandresaedo en gmail.com>:
>>>> Hola Amigos:
>>>>       Tengo funcionando una máquina en forma correcta con
>>>> squid+iptables, haciendo las veces de firewall, rutea, bloquea y hace
>>>> lo que tiene que hacer, el problema es que no puedo bloquear nada que
>>>> este en el mismo rango de direccion ip que el firewall, me explico:
>>>>
>>>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.100.0/255.255.255.0
>>>> --dport 80 -j REDIRECT --to-ports 3128
>>>> -A PREROUTING -i eth1 -p tcp -m tcp -s 192.168.101.0/255.255.255.0
>>>> --dport 80 -j REDIRECT --to-ports 3128
>>>>
>>>> Como ven pasan 2 subredes por el firewall, el firewall tiene las siguientes IP:
>>>>
>>>> eth1-> 192.168.100.2 ->entran las sub redes
>>>> eth2> 192.168.100.4 -> salen las sub redes.
>>>>
>>>> Si aplico una regla para bloquear por ejemplo www.youtube.com, lo hace
>>>> sin problemas.
>>>>
>>>> El problema lo tengo porque quiero bloquear un server que esta en el
>>>> rango 192.168.100.XXX , aplico la regla:
>>>>
>>>> ==================================================
>>>> acl wordpress url_regex http://192.168.100.72/sitio
>>>> #causa el mismo efecto
>>>> acl wordpress url_regex http://192.168.100.72
>>>> #no hay otra regla antes que haga allow al rango ip 192.168.100.XXX
>>>> http_access deny sitio
>>>> ==================================================
>>>>
>>>> Pues bien, si accedo desde un computador con el rango ip
>>>> 192.168.101.XXX bloquea correctamente, pero no lo hace si accedo desde
>>>> la red con rango 192.168.100.XXX , es como si la regla no la tomara al
>>>> estar dentro de este rango.
>>>>
>>>> Cualquier otro dato que necesiten, lo doy sin problemas, muchas gracias.
>>>>
>>>>
>>> Tienes DNS interno ? o con multiples vistas? que IP resuelve el PC
>>> cliente al intentar buscar la pagina web que no te bloquea?
>>> .. has pensado que tal vez
>>
>> Si esta resolviendo un windows 2003.
>>
>>>
>>> mmm..
>>>> eth1-> 192.168.100.2 ->entran las sub redes
>>>> eth2> 192.168.100.4 -> salen las sub redes.
>>>
>>> Eso no me queda claro, tienes las 2 tarjetas en la mismo segmento ?...
>>
>> Las 2 tarjetas estan en el mismo segmento.
>>
>>> y ambos segmentos estan fisicamente separados? hay algo raro en tu
>>> explicacion...
>>>
>>
>> Una tarjeta hace de puerta de enlace: eth1:192.168.100.2(llegan todas
>> las maquinas que tienen como puerta de enlace esa direccion), y la
>> otra tarjeta eth2: 192.168.100.4, saca las peticiones hacia afuera.
>> Es un firewall con proxy transparente.
>>
>>>  Saludos
>>>
>>> --
>>> Miguel
>>>
>>>
>>
>>
>
> mmm ya, el tema es que si tienes un windows o un dns interno.. cuando
> preguntas por la pagina http://mi-intranet y el windows resuelve
> 192.168.100.72, tu computador se conecta directamente a esa ip, porque
> esta en el mismo segmento de red que el computador que consulta, lo
> podrias probar haciendo un traceroute a la ip, o un tracert si estas
> en windows,y veras que no pasas por el firewall...el router solo
> recibira paquetes que vayan a un segmento de red distinto al tuyo, ya
> que si miras la tabla de rutas de tu PC (en windows es route print),
> veras que para la salida a tu red, no ocupa el firewall, si no que
> suelta el paquete a la red y el switch se encarga de pasarlo a la boca
> correcta en que tiene registrada la mac address del servidor.
>  en mis tiempos, los routers, o firewall ruteaban cuando tenian
> segmentos distintos de red en sus puertas (alguna vez vi un ejemplo en
> que ambas tarjetas tenian el mismo segmento, pero los paquetes eran
> marcados y ruteados segun la marca que definia la tarjeta por la cual
> venian, y no creo que si lo hubieras hecho asi, hubieras omitido ese
> dato).
>  Si quisieras que el pc cliente pase obligadamente por el proxy,
> deberias configurarlo en el navegador o en el servidor de dominio para
> que aplique a los pc de clientes del dominio.
>  o en el peor de los casos... restringues en el servidor web, las ips
> de usuarios que pueden acceder a el.
>
> Espero te sirva.. o manda un dibujito de tu red.

Si me sirve gracias, y me imaginaba que podria ser algo asi. Muchas gracias.

> Salu2
> --
> Miguel
>
>



Más información sobre la lista de distribución Linux