[debiancolombia] firewall+gateway otra máquina squid

digitalfredy digitalfredy en gmail.com
Mar Ene 8 01:18:24 COT 2008 

Hola

El 7/01/08, Igor Támara <igor en tamarapatino.org> escribió:
> Hola, espero que todos tengamos un exitoso 2008
>
> Tengo una duda que posiblemente se resuelve con iptables, aunque si ven
> otros caminos, son las sugerencias bienvenidas...
>
> Tengo un esquema como este :
>
>     Internet <-> GW con iptables   <-> Intranet
Mi sugeencia es colocarle 2 tarjetas al server con squid y:

Internet <-> GW <-> Squid <-> Intranet

para que funcione colocas el server con  squid como bridge
http://www.linux-foundation.org/en/Net:Bridge
No tocas nada en el GW ni en los clientes :) y el proxy transparente,
sería una maquina absolutamente invisible, es más creo que necesita
una tercera tarjeta para administrarla remotamente.

Nunca lo he hecho pero creo que es lo que intentaría.
>
> Quisiera colocar en la Intranet una máquina que solamente tiene una
> tarjeta de red para que tenga squid, y de esa forma ayudar a
> controlar la navegación por páginas no adecuadas.  El GW con
> iptables es una máquina que NO soporta squid, por hadware, es un
> linksys pequeñito, y no le vamos a colocar más memoria, o montarle
> un sistema de archivos en red en lo posible.
>
> Desearía un esquema como el siguiente :
>
> Mantener una máquina en la intranet con squid, toda petición que
> vaya de cualquier máquina a la intranet, el gateway la forwardea a
> la máquina con squid y la máquina con squid navega libremente por el
> gateway.
>
>                 Squid
>                 |    ^
>                 V    |
>   Internet <-> GW iptables <-> Intranet
>
> Colocaría una regla al prerouting de iptables en el GW con algo como
>
> iptables -t nat -A PREROUTING -i br-lan -p tcp --dport 80 -j DNAT --to $SQUID_SERVER:$SQUID_PORT
>
> Pero obviamente esta regla no basta porque se necesitaría colocar
> una previamente en la cual cualquier petición del puerto 80 del
> SQUID_SERVER vaya libremente al exterior, de otra forma, las
> peticiones nunca salen, porque se quedan en un loop.
>
> Alguien tiene sugerencia para la regla que hace falta? si pudieran
> dar la regla exacta, sería lo mejor ;)
>
> Gracias de antemano.
>
> --
> Recomiendo la wikipedia, una enciclopedia que evoluciona día a día
> http://es.wikipedia.org
>
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.4.6 (GNU/Linux)
>
> iD8DBQFHguSmtV4JcpE0AlYRAtrDAJ9Wkc7lIvZhepU9XoH6RMve1trZLwCgvN8T
> CgDge1iuJdFn/d/JL/0F+GI=
> =vZKD
> -----END PGP SIGNATURE-----
>
> _______________________________________________
> _______________________________________________
> Comunidad de usuarios y desarrolladores de Debian GNU/Linux en Colombia http://www.debiancolombia.org
> debiancolombia mailing list
> General en listas.debiancolombia.org
> http://www.debiancolombia.org/lista
>


-- 
ATT: Fredy Pulido López
COLIBRI - http://listas.slcolombia.org/cgi-bin/mailman/listinfo/colibri
El Directorio http://el-directorio.org
NOTA LEGAL: Si ha recibido este correo de la dirección
flisol-bogota en listas.installfest.info entonces una copia de este y sus
respuestas se enviarán a la lista de correo FLISOL-Bogota  que publica
su historial de archivos en la WEB.

Más información sobre la lista de distribución General