Re: proxy transparente

To: debian-user-spanish@lists.debian.org
Subject: Re: proxy transparente
From: "debian@mstaaravin.com.ar" <debian@mstaaravin.com.ar>
Date: Mon, 8 Feb 2010 16:25:13 -0300
Message-id: <[🔎] 161e92c31002081125t7e283c77ie37cf5e8e7676b30@mail.gmail.com>
In-reply-to: <[🔎] 4B704EA8.1010901@filialfcm.ssp.sld.cu>
References: <[🔎] 4B701DD6.3000403@filialfcm.ssp.sld.cu> <[🔎] 161e92c31002080821j20190a97xad4e3b831c87ed9c@mail.gmail.com> <[🔎] 4B704AFA.3040908@filialfcm.ssp.sld.cu> <[🔎] 161e92c31002080945k38e41099s4d6d86d6ed758fa3@mail.gmail.com> <[🔎] 4B704EA8.1010901@filialfcm.ssp.sld.cu>

2010/2/8 Leonel Hernández Grandela <maxpayne@filialfcm.ssp.sld.cu>:

transparent_squid 3128 proxy inface eth1 src 192.168.1.0/24

interface eth0 inet
   policy drop
   server snmp accept
   server http accept
   server icmp accept
   group with src "201.200.150.120"
      server ssh accept
   group end
   client all accept

interface eth1 lan
   server all accept
   client all accept


router lan2inet inface eth1 outface eth0
    masquerade
    route all accept

router inet2lan inface eth0 outface eth1
    masquerade
    route all accept
##############################################

Pruebalo asi por mientras....

En interface eth0 inet
Usar el grupo excepto si esa IP es fija si, sino prefiero usar
denyhosts si es una IP dinámica la que tiene que tener acceso ssh.
Siendo asi dejo todo con server ssh accept y manejo la seguridad con denyhosts.


En interface eth1 lan
No hace falta que especifique el "src 192.168.1.0/24"
Todo en server all accept para evitar problemas por ese lado

Esa configuración es básica y tiene que funcionar.

##############################################
Con:
router lan2inet inface eth1 outface eth0
    masquerade
    route all accept

Le estas diciendo que todo puede salir, mejor dicho que desde la LAN
se pueden conectar a cualquier puerto de un servidor externo.

###
router lan2inet inface eth1 outface eth0
    masquerade
    route https accept
    route ssh accept
    route ftp accept
    route icmp accept

Con lo de arriba tu LAN sólo va a poder salir a cualquier host en
internet con los protocolos (https, ftp, ssh, icmp) todo el resto NO
va a poder salir.

###
router lan2inet inface eth1 outface eth0
    masquerade
    route https accept
    route ssh accept dst "${201.200.150.120}"
    route ftp accept
    route icmp accept

Con lo de arriba es igual, excepto que desde tu lan solamente va a
poder salir ssh mediante a lo que especifiques en "x.x.x.x" tambien
puedes usar variables

###
sshtrust="201.200.150.120 host.no-ip.org host2.dnsalias.com"

    route ssh accept dst "${sshtrust}"

Estas aceptando ssh desde todos los hosts definidos en la variable
sshtrust, yo siempre pongo las variables inmediatamente despues de:
(inicio del firehol.conf)

       version 5

-- 
"La Voluntad es el unico motor de nuestros logros"
<Mstaaravin />
http://mstaaravin.blogspot.com/

Reply to:

References:
- proxy transparente
  - From: Leonel Hernández Grandela <maxpayne@filialfcm.ssp.sld.cu>
- Re: proxy transparente
  - From: "debian@mstaaravin.com.ar" <debian@mstaaravin.com.ar>
- Re: proxy transparente
  - From: Leonel Hernández Grandela <maxpayne@filialfcm.ssp.sld.cu>
- Re: proxy transparente
  - From: "debian@mstaaravin.com.ar" <debian@mstaaravin.com.ar>
- Re: proxy transparente
  - From: Leonel Hernández Grandela <maxpayne@filialfcm.ssp.sld.cu>

Prev by Date: [OT] Recuperar particion tras DD
Next by Date: error con la imagen netinst
Previous by thread: Re: proxy transparente
Next by thread: error con la imagen netinst
Index(es):
- Date
- Thread