Redireccionar puertos ( iptables / ipchains / proxy / squid )

NUESTRO SITIO necesita la publicidad para costear hosting y el dominio. Por favor considera deshabilitar tu AdBlock en nuestro sitio. También puedes hacernos una donación entrando en linuxparty.es, en la columna de la derecha.

Redireccionar puertos ( iptables / ipchains / proxy / squid )

Publicado: 03 Noviembre 2005 | Correo electrónico | Visto: 52275

Ratio: 5 / 5

Mi configuracion de iptables:

#----------------------------------
#redireccion al squid del trafico Web

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination
192.168.1.1:8080

- solo se reciben conexiones desde la eth1
- El proxy tiene la ip=192.168.1.1

Despues hay que configurar al squid como transparente (los navegadores no esperan
encontrase con un proxy)

----- Original Message -----
From:
Date: Tue, 15 Jul 2003 16:44:53 +0200 (CEST)
To: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
Subject: [Linux_party] Redirecci?n_de_puertos

> Muy buenas a todos!
>
> Principio:
> Quiero que el squid+DansGuardian me escuche en el 80 (Sustituir un Proxy
> Server arrubinado y no tener que cambiar toda la config de los
> navegadores).
>
> Problema: El Dansguardian debe escuchar en un puerto superior al 1024
> (8080 por defecto), el cual a su vez le hace las peticiones al puerto
> cualquiera donde escuche squid.
>
> Se os ocurre la manera de decirle al sistema que cuando reciba peticiones
> tcp al puerto 80 las redireccione al 8080?
>
>
> --
> Saludos,
>

Comentarios

0 # Guest 03-11-2005 03:05

Hay que tener en cuenta que se debe activar el ip_forwarding para que esto funcione ;)

echo 1 > /proc/sys/net/ipv4/ip_forwarding

- my 2 cents.

DS

0 # Eggun 09-03-2006 21:30

6 .3. Configuración de SQUID

El fichero de configuración de SQUID se halla en /etc/squid/squi d.conf y hemos de editarlo con nuestra herramienta favorita para realizar los cambios adecuados y conseguir que *****pla su tarea con cierta seguridad para nuestro sistema.

Este fichero de configuración consta de multitud de parámetros configurables que ajustan el servidor a nuestras necesidades. Trataremos de reflejar aquellos indispensables para un óptimo funcionamiento.

6.3.1. Puerto para SQUID

Por defecto, SQUID utilizará el puerto 3128, vea Sección 3.1 para una visión más general acerca de los puertos y su misión, aunque puede configurarse para que use cualquier otro, incluso varios puertos simultáneamente , dependiendo de nuestras necesidades. La línea correspondiente quedará:

***_port 3128

6.3.2. Tamaño de caché

En esta instrucción fijamos el espacio en disco que se usará para almacenar las páginas visitadas, es decir, respondemos a la pregunta, Â¿ Cuánto deseo almacenar de Internet en mi disco duro?

Por defecto SQUID usará 100 Mb, como límite para el tamaño del caché, pero si quisiéramos fijar, por ejemplo 500 Mb, debemos fijar la entrada correspondiente de la siguiente forma:

cache_dir ufs /usr/local/squi d/cache 500 16 256

En la línea anterior estamos seleccionando el directorio de caché (/usr/local/squi d/cache), indicando el tamaño máximo para éste (500), la cantidad de subdirectorios de primer nivel que puede contener (16, el valor por defecto) y, el número de subdirectorios de segundo nivel (256, también por defecto) que puede almacenar

En caso de que fijemos un tamaño para el directorio de caché superior a la capacidad real del disco duro, SQUID se bloqueará.

6.3.3. Vida en el caché

Podem os configurar también el tiempo que pueden permanecer los objetos almacenados en el caché, dependiendo de nuestras necesidades, lógicamente. De modo general, si definimos un tiempo de permanencia demasiado bajo, estaremos desaprovechando una de las principales ventajas del uso de servidor proxy, mientras que si establecemos un periodo demasiado alto, también saturaremos innecesariament e la capacidad de almacenaje.

Parece una decisión razonable, en la mayoría de casos, fijar un mes de vida para los objetos del caché. Esto se logra con la instrucción:

reference_age 1 month

6.3.4. Controles de acceso

Una de las características más interesantes de este servidor proxy es la posibilidad de establecer unas reglas de control de acceso que pueden complementar perfectamente nuestro objetivo de filtrado de paquetes.

Para ello, confeccionaremo s unas Listas de Control de Acceso para designar qué máquinas o redes tienen permitido, o no, acceder al servidor. Cada una de ellas tendrá asociada unas Reglas de Control que regulará esta actividad. Es decir, definimos unas listas, por una parte y establecemos unas reglas específicas para cada una de ellas. Veamoslo con un ejemplo:

Si queremos permitir el acceso al proxy para todas las máquinas de nuestra red, hemos de definir una lista que identifique a toda nuestra red local, en nuestro caso:

acl nuestrared src 192.168.1.0/255 .255.255.0

De esta forma nuestra red queda identificada para SQUID, quedando la sección de Listas de Control de Acceso con el siguiente aspecto:

#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
a cl localhost src 127.0.0.1/255.2 55.255.255
acl nuestrared src 192.168.1.0/255 .255.255.0

Ahora debemos permitir el acceso con una línea con la siguiente sintaxis:

***_access allow todalared

D e modo que la sección Reglas de Control, debe quedar:

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
*** _access allow localhost
***_ access allow nuestrared
*** _access deny all

La línea ***_access allow nuestrared permite el acceso al proxy para la lista denominada nuestrared que está formada por 192.168.1.0/255 .255.255.0, o sea, cualquier máquina cuya dirección IP esté comprendida entre 192.168.1.1 y 192.168.1.254

Evidentemente si la línea fuese ***_access deny nuestrared no se permitiría el acceso a ninguna máquina de nuestra red local.

Veamos un ejemplo más complejo que nos mostrará las capacidades de filtrado de SQUID. Para ello, vamos a suponer que deseamos permitir el acceso a toda nuestra red, excepto a las máquinas del aula de informática. Vamos a crear un fichero de texto que contenga las direcciones IP de éstas máquinas al que llamaremos y ubicaremos en /etc/squid/info rmatica

192.168.1.101
192.168.1.102
192.168.1.103
192.168.1.104
192.168.1.105
192.168.1.106
192.168.1.107
192.168.1.108
192.168.1.109
192.168.1.110
192.168.1.111
192.168.1.112
192.168.1.113
192.168.1.114
192.168.1.115

Le vamos a llamar info a esta lista que hemos creado utilizando el fichero anterior.

acl info src "/etc/squi d/informatica&q uot;

De modo que ahora nuestra sección de listas quedaría:

#
# Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
a cl localhost src 127.0.0.1/255.2 55.255.255
acl nuestrared src 192.168.1.0/255 .255.255.0
acl info src "/etc/squi d/informatica&q uot;

Y, finalmente, para conseguir nuestro objetivo, la sección de reglas quedaría:

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
*** _access allow localhost
***_ access allow nuestrared !info
***_acce ss deny all

El secreto está en la línea ***_access allow nuestrared !info donde estamos permitiendo el acceso para la lista nuestrared, o sea toda la red, excepto a las máquinas definidas en la lista info, es decir, las indicadas en el fichero /etc/squid/info rmatica que son las del aula de informática, tal y como pretendíamos.

6.3.5. Redireccionamie nto a través de SQUID

Una posibiliad que nos interesa plantearnos es utilizar nuestro servidor proxy de modo "transpare nte", es decir, nuestras máquinas saldrán a la red Internet a través de él, pero de la misma forma que lo harían mediante el router ADSL. Para ello, usando iptables redireccionarem os todas las peticiones al puerto 80 de nuestra red local hasta el puerto 3128 donde escucha SQUID, la instrucción para conseguirlo es:

[root@gato root]#/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Análogamen te podremos redirigir otros servicios, tal y como, se reflejó en la Sección 3.2

Extraido de:
******es.tldp.org/Tutoriales/doc-servir-web-escuela/doc-servir-web-escuela-html/x518.html [es.tldp.org] div>

0 # bernie 03-07-2008 15:36

Buenas tardes.

Tengo un servidor linux, centos 5.0, pero no me esta funcionando el iptables, como hago para que funcione?.

Esta pasando mucho spam por mi servidor.

Gracias

Los comentarios para este post están cerrados

JComments

Categoría: Anuncios