duda con squid

blackshadow · #1 (**permalink**) 03/06/2003, 17:17

como puedo restringir el acceso de todo el trafico de internet por medio del proxy, por ejemplo hacer que el smtp pase por ahi...
para ser mas especifico si el cliente no tien configurado el proxy no puedo acceder a ningun servicio de internet

Necros · #2 (**permalink**) 04/06/2003, 07:00

MMM, creo que le problema que planteas no es del Squid si no de topología de Red...

Lo que se hace es que todas las maquinas de la LAN tengan como pasarela la máquina que hace de Proxy/Nat y es ahi donde
mediante el NAT aplicas reglas de FireWall/ Translate ... Tu pispo...

El Squid yo siempre lo he visto para mejorar el servicio de Web, ya que proporciona un Servidor Web imagen... Para el resto de opciones existen otras más dedicadas...

blackshadow · #3 (**permalink**) 04/06/2003, 09:05

de hecho tengo una nat en mis maquinas pero quiero restringir el acceso por usuarios aun para smtp y pop3, me podrias dar esas opciones mas dedicadas la verdad creo que me serviria bastante

gracias

Necros · #4 (**permalink**) 05/06/2003, 05:13

Se supone que sólo tienes un NAT , que es quien ve internet, y es al que se le cuelgan las máquinas de Internet pidiendole el Translate de sus direcciones para salir hacia fuera...

A ver si la máquina puente=NAT, es Windows , te aconsejo el uso de Winproxy ... Ahora mismo no estoy seguro si es posible capar el servicio pop3(socket 110) y el smtp(socket 25) a nivel de ip...
Osea la máquina interna a quien no deseas q pueda hacer uso de smtp/pop3 le asignas una ip fija "Por seguridad quien le asigna esa ip es la máquina NAT mediante un DHCP,este tb realizará que madia pueda usurpar la ip ;)".

En linux itables, en http://www.linuxguruz.com existen scripts demo de como configurarlo "Nivel avanzaso" = te veo muy verde para hacer uso de él.

Byez

blackshadow · #5 (**permalink**) 05/06/2003, 08:58

de hecho la computadora que hace el nat esta en linux y conozco el uso de iptables a nivel general pero lo que yo quiero es habilitar el acceso de smtp/pop y otros protocolos a nivel de usuario, no de IP y es ahi donde me quedo trabado.

Necros · #6 (**permalink**) 06/06/2003, 11:06

Entiendo lo que planteas, que tienes varios usuarios que pueden utilkizar una misma máquina, y a uno le dejar leer el correo y a otro no ...
Visto asi el temilla es más complejo, ja que el uso de un protocolo de un sistema no puedes controlar de quien hace uso. Podrías hacerlo controlando las aplicaciones, pero quien te dice que no pueda instalar un programa propio de correo o realizar un simple telnet al socket adecuado... Otra opción q creo que si es posible, es el limitar el uso de Red y no red, pero en ese caso le dejas sin otras opciones que quizás si que le dejas utilizar...

Lo que se solia hacer con máquinas NT/Linux pero ahora no recuerdo si era posible a nivel usuario, es que a la hora de identificarse via logon para después solicitar via DHCP,este útlimo le cede su ip <=> ip diferente por usuario no por id de tarjeta...
De esa forma en el Iptables puedes tener aplicadas las rules que tu consideres para la ip...