[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

servidor proxy, problemas al filtrar

Estimados, que tal?
Tengo hace un par de dias (o mas) un gran problema con el servidor
proxy lo he revisado decenas de veces y no veo error aparente
alguno entre iptables y squid, adjunto configuracion de ambos.

Lo puedes revisar los equipos tienen internet pero el script no filtra
nada (IP ni filtros de contenido) por lo cual todos tienen acceso al
contenido web

Todas las sugerencias con bienvenidas

SQUID
..........
#Versión 3.5.4.2
acl SSL_ports port 443 563
acl Safe_ports port 80
acl Safe_ports port 20
acl Safe_ports port 21
acl Safe_ports port 22
acl Safe_ports port 443 563
acl Safe_ports port 70
acl Safe_ports port 210
acl Safe_ports port 1025-65535
acl Safe_ports port 280
acl Safe_ports port 488
acl Safe_ports port 591
acl Safe_ports port 777
acl Safe_ports port 901
acl purge method PURGE
acl CONNECT method CONNECT


visible_hostname proxy.dominio
http_port 3128 transparent
http_port 8080 transparent
cache_mem 256 MB
cache_dir ufs /var/spool/squid 20000 16 256
#///http_access allow all
#http_access allow jefes !archivospeligrosos
#http_access allow soporte !archivospeligrosos
#///http_access deny all_host virtual
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl lan src 190.0.0.0/255.255.255.0

#### Redes Completas
### Red clientes
acl sinRESTRICCION src "/etc/squid/usuariosip/ip-sinrestriccion"
acl nosaleainternet src "/etc/squid/usuariosip/nosale-ip-internet"
acl saleipmedia src "/etc/squid/usuariosip/sale-ip-media"
### FIN Red clientes

### No utilizados
#acl jefes src "/etc/squid/usuariosip/jefes"
#acl administrativos src "/etc/squid/usuariosip/administrativos"
#acl basico src "/etc/squid/usuariosip/basico"

### Especificaciones
#///acl update dstdomain .microsoftupdate.com .microsoft.com .windowsupdate.com
acl listaextensiones urlpath_regex -i
"/etc/squid/restricciones/listaextenciones"
acl inocentes url_regex "/etc/squid/restricciones/inocentes"
acl archivospeligrosos urlpath_regex -i
"/etc/squid/restricciones/archivospeligrosos"
acl bloqueados url_regex "/etc/squid/restricciones/bloqueados"
### FIN Especificaciones

#### Acceso a Internet ####
http_access allow sinRESTRICCION
http_access deny !Safe_ports !SSL_ports
http_access deny CONNECT !SSL_ports
http_access allow manager localhost
http_access deny manager
#http_access deny nosaleainternet listaextensiones archivospeligrosos bloqueados
http_access allow lan !nosaleainternet
http_reply_access deny all
#///http_access allow all
#http_access allow jefes !archivospeligrosos
#http_access allow soporte !archivospeligrosos
#///http_access deny all_host virtual
log_fqdn on
cache_effective_user squid
cache_effective_group squid
icp_access allow all
max_filedesc  2048
ie_refresh on
access_log /var/log/squid/access.log squid
..........

IPTABLES
..........
iptables -F
iptables -X
iptables -Z
iptables -t nat -F
iptables -P INPUT ACCPET
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 190.0.0.0/24 -i eth0 -j  ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 80 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 20 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 21 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 22 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 70 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 210 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 280 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 488 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 591 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 777 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 443 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 563 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 901 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 110 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 25 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p udp --destination-port
 53 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -p tcp --destination-port
 1863 -j ACCEPT
iptables  -A FORWARD -s 190.0.0.0/24 -i eth0 -j DROP
iptables -t nat -A PREROUTING -s 190.0.0.0/24 -i eth0 -p tcp
--destination-port 80 -j REDIRECT -to-port 3128
iptables -t nat -A POSTROUTING -s 190.0.0.0/24 -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
service iptables save
service iptables start
..........

--
Atte.
Pablo Zúñiga E
(+56 9) - 82129677
Estudiante de Técnico en redes de computadores &&
Ing. (E) en computación e informática
Desarrollo && programación Web, Soporte Computacional
OSUM Leader IPVG
Blog: ed00m.wordpress.com | ed00m.blogs.sinaltec.cl
MSN && Gtalk: pabloze@gmail.com
Skype: ed00m_
=======================================================
Reply to: