Re: Sobre interface en que debo escuchar con el proxy (squid)
El sáb, 22-03-2008 a las 12:01 -0300, ciracusa escribió:
> Iñigo, gracias por tu respuesta.
>
> Te respondo entre tus líneas:
>
> Iñigo Tejedor Arrondo wrote:
> > El sáb, 22-03-2008 a las 09:41 -0300, ciracusa escribió:
> >
> >> Hola Lista.
> >>
> >> Tengo un Firewall en Debian con 3 interfaces:
> >>
> >> eth0 - WAN
> >> eth1 - LAN
> >> eth2 - Accesos remotos wireless (con destino hacia internet en eth0)
> >> eth3 - Accesos remotos ethernet (fuera de mi lan) con destino a internet
> >> por eth0
> >>
> >> Teniendo en cuenta que necesito que todo el tráfico pase por
> >> squid/dansguardian, la única alternativa es poner el proxy en la
> >> interface eth0?
> >>
> > ¿todo el tráfico entrante o todo el saliente? ;-)
> >
> Tráfico saliente, navegación por internet (filtro de webs, y reportes de
> sitios visitados).
Entonces, las conexiones van en dirección de dentro hacia fuera. Así que
no tiene sentido que squid escuche donde la conexión sale o que escuche
conexiones externas :-)
Tiene que escuchar en las interfaces internas.
> >> En eth0 tengo el iptables, puedo tener algún conflicto?
> >>
> >
> > Para nada.
> >
> > En una configuración que administro muy parecida, tenemos:
> >
> > 1) Toda la salida de las interfaces locales capada (en tu caso son eth1,
> > 2 y 3) hacia internet (eth0)
> >
> ok.
> > 2) El firewall-proxy con salida a internet (así el usuario "proxy" puede
> > "traer" las páginas que no están cacheadas)
> >
> Como?
Asumiendo que la política de OUTPUT es DROP:
Puedes hacer que el firewall tenga salida total:
iptables -I OUTPUT -j ACCEPT
O que tenga salida solo de lo que te interese:
iptables -I OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -I OUTPUT -p udp --dport 53 -j ACCEPT
...
Al poner OUTPUT, solo le abres al propio firewall, ya que las subredes
tras las otras tarjetas lo que hacen es FORWARD.
Después, tienes que permitir a los equipos tras las subredes, acceder al
puerto de squid (p.ej. 3128) y no permitirles la salida al 80 (recuerda
que tenemos las políticas a DROP).
iptables -I INPUT -i ${interfaz_lan_1} -p tcp --dport 3128 -j ACCEPT
iptables -I INPUT -i ${interfaz_lan_2} -p tcp --dport 3128 -j ACCEPT
iptables -I INPUT -i ${interfaz_lan_3} -p tcp --dport 3128 -j ACCEPT
Y necesitas permitir el tráfico DNS del controlador de dominio:
iptables -I FORWARD -i ${interfaz_lan_1} -s ${ip_controlador_dominio} \
-o ${interfaz_wan} -p udp --dport 53 -j ACCEPT
Y las consultas de los clientes al controlador de dominio:
iptables -I FORWARD -i ${interfaz_lan_1} -s ${subred_windows} \
-d ${ip_controlador_dominio} -p udp --dport 53 -j ACCEPT
> > 3) Mediante políticas de A.D. se les configura el proxy automáticamente
> > a los clientes que están tras eth1, 2 y 3
> >
> Buenísimo! Para el futuro trataré de seguir ese camino.
Bueno, yo no llevo esa parte, pero se que configuran el proxy mediante
el editor de políticas de dominio (solo sirve para Internet Explorer)
> > 4) Al ser un dominio, el DNS y NTP está dentro, en el controlador de
> > dominio. Le permitimos la salida DNS y NTP solo a esa máquina.
> >
> > 5) Al cliente le encanta ver los informes de navegación que hacemos con
> > sarg
> >
> Ok.
> >
> >> Muchas Gracias.
> >
> > Saludos
>
> Muchas Gracias por tus constantes aportes a la lista!
Llevaba bastante tiempo sin aportar nada jeje, necesito días de 34
horas :-)
Saludos
Reply to: