Re: proxy transparente
2010/2/8 Leonel Hernández Grandela <maxpayne@filialfcm.ssp.sld.cu>:
transparent_squid 3128 proxy inface eth1 src 192.168.1.0/24
interface eth0 inet
policy drop
server snmp accept
server http accept
server icmp accept
group with src "201.200.150.120"
server ssh accept
group end
client all accept
interface eth1 lan
server all accept
client all accept
router lan2inet inface eth1 outface eth0
masquerade
route all accept
router inet2lan inface eth0 outface eth1
masquerade
route all accept
##############################################
Pruebalo asi por mientras....
En interface eth0 inet
Usar el grupo excepto si esa IP es fija si, sino prefiero usar
denyhosts si es una IP dinámica la que tiene que tener acceso ssh.
Siendo asi dejo todo con server ssh accept y manejo la seguridad con denyhosts.
En interface eth1 lan
No hace falta que especifique el "src 192.168.1.0/24"
Todo en server all accept para evitar problemas por ese lado
Esa configuración es básica y tiene que funcionar.
##############################################
Con:
router lan2inet inface eth1 outface eth0
masquerade
route all accept
Le estas diciendo que todo puede salir, mejor dicho que desde la LAN
se pueden conectar a cualquier puerto de un servidor externo.
###
router lan2inet inface eth1 outface eth0
masquerade
route https accept
route ssh accept
route ftp accept
route icmp accept
Con lo de arriba tu LAN sólo va a poder salir a cualquier host en
internet con los protocolos (https, ftp, ssh, icmp) todo el resto NO
va a poder salir.
###
router lan2inet inface eth1 outface eth0
masquerade
route https accept
route ssh accept dst "${201.200.150.120}"
route ftp accept
route icmp accept
Con lo de arriba es igual, excepto que desde tu lan solamente va a
poder salir ssh mediante a lo que especifiques en "x.x.x.x" tambien
puedes usar variables
###
sshtrust="201.200.150.120 host.no-ip.org host2.dnsalias.com"
route ssh accept dst "${sshtrust}"
Estas aceptando ssh desde todos los hosts definidos en la variable
sshtrust, yo siempre pongo las variables inmediatamente despues de:
(inicio del firehol.conf)
version 5
--
"La Voluntad es el unico motor de nuestros logros"
<Mstaaravin />
http://mstaaravin.blogspot.com/
Reply to: