Lo primero daros las gracias por adelantado. Mi problema es el siguiente:
Tengo un squid que tiene que dar acceso a 2 redes (interna y dmz). He seguido el tutorial de [URL="http://www.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base+de+Conocimiento/Servidor+Proxy;jsessionid=FD845374762B3F9D7191D52E BDB4F2A4#section-Servidor+Proxy-Configuración+squid+transparente+con+DMZ"]http://www.linuxparatodos.net/web/comunidad/base-de-conocimiento/-/wiki/Base+de+Conocimiento/Servidor+Proxy;jsessionid=FD845374762B3F9D7191D52E BDB4F2A4#section-Servidor+Proxy-Configuración+squid+transparente+con+DMZ[/URL] pero la verdad que no entiendo muy bien como debo hacerlo. Mi proxy con una sola red funciona correctamente pero al tener que implementarle la DMZ me pierdo.
El servidor squid tiene 2 tarjetas de red con la siguiente configuración ip:
Código:
Mi configuracion de squid es la siguiente (tengo squidGuard):eth0: Ip: 172.16.1.1 Mask: 255.255.255.0 GW: 172.16.1.254 (router) eth1: Ip: 172.16.2.1 Mask: 255.255.255.0 GW: (sin gw)
Código:
Mis dudas son las siguientes:http_port 172.16.1.1:3128 transparent visible_hostname SQUID url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl dmz src 172.24.52.0/24 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow dmz
En la documentacion yo entiendo que debo poner 2 puertos a la escucha por lo que he puesto esto
[CODE
]http_port 172.16.1.1:3128 transparent
http_port 172.16.2.1:3129 transparent[/CODE]
Esta es la configuracion de squidGuard:
Código:
Luego modifico iptables:#
# CONFIG FILE FOR SQUIDGUARD
#
dbhome /var/squidGuard
logdir /var/log/squidGuard
#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat
#time workhours {
# weekly mtwhf 08:00 - 16:30
# date *-*-01 08:00 - 16:30
#}
#
# REWRITE RULES:
#
#rew dmz {
# s@://admin/@://admin.foo.bar.de/@i
# s@://foo.bar.de/@://www.foo.bar.de/@i
#}
#
# SOURCE ADDRESSES:
#
src admin {
ip 172.16.1.1
ip 127.0.0.1
#user root foo bar
#within workhours
}
src dmz {
ip 172.16.2.0/24
}
#src foo-clients {
# ip 172.16.2.32-172.16.2.100 172.16.2.100 172.16.2.200
#}
#src bar-clients {
# ip 172.16.4.0/26
#}
#
# DESTINATION CLASSES:
#
dest adult {
domainlist blacklists/porn/domains
urllist blacklists/porn/urls
expressionlist blacklists/porn/expressions
redirect http://localhost/block.html}
acl {
admin {
pass !adult any
}
dmz {
pass !adult any
}
default {
pass !adult any
#rewrite dmz
redirect http://localhost/block.html
}
}
Código:
Con la red interna me funciona pero con la DMZ no. ¿puede ser que deba meterle a la interfaz eth1 correspondiente a la DMZ una puerta de enlace?Red interna iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 80 -j REDIRECT --to-port 3128 iptables -t nat -A PREROUTING -i eth0 -p tcp –dport 443 -j REDIRECT --to-port 3128 DMZ iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 80 -j REDIRECT --to-port 3129 iptables -t nat -A PREROUTING -i eth1 -p tcp –dport 443 -j REDIRECT --to-port 3129 iptables-save service iptables restart
Alguien que lo haya configurado me puede echar una mano.
Muchas gracias por adelantado
