[eside-ghost] Squid + IP tables
Sergio Barajas
sbarajas en gmail.com
Jue Mar 14 18:46:07 CET 2013
Hola,
Santo remedio, no hay como un reinicio para que todo funcione :)
En fin, ahora que tengo mi flamante proxy funcionando me gustaría un
poco rizar el rizo.
Es decir, imaginemos que en el caso existe una red C en la cual el rango
de ips es: 10.84.1.0/24, la cual esta unida a la
red 10.84.2.0/24 por distintas bocas de un switch VLANes.
En el router existen rutas definidas de tal forma que el trafico entre
VLANes en el mismo switch es trasparente.
Me imagino que para que los clientes de la red C tuviesen acceso a mi
proxy habría que añadir en el proxy una ruta estática en plan: "route
add -net 10.84.1.0 netmask 255.255.255.0 dev eth0" o similar. ¿Se puede
de alguna forma añadir en algún lado la ruta de forma estática para no
tener que andar añadiéndola a mano cada vez que reinicie?.
Un saludo
El 14/03/13 17:06, Sergio escribió:
> Tabla de rutas IP del núcleo
> Destino Pasarela Genmask Indic Métric Ref
> Uso Interfaz
> default 192.168.1.1 0.0.0.0 UG 0 0 0 eth1
> default 10.84.2.250 0.0.0.0 UG 100 0 0 eth0
> 10.84.2.0 * 255.255.255.0 U 0 0 0 eth0
> 192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
> Un saludo
>
> El 13 de marzo de 2013 18:50, Alexandre Paz Mena <erzapito en gmail.com
> <mailto:erzapito en gmail.com>> escribió:
>
> y que te devuelve el comando "route" en el servidor con squid?
>
>
> 2013/3/13 Sergio Barajas <sbarajas en gmail.com
> <mailto:sbarajas en gmail.com>>
>
> Hola,
> A ver si soy capaz de explicarme con este dibujo:
>
>
>
> Eth0 y Eth1 son las dos interfaces que tiene el Pc con squid.
> Un saludo
>
> El 13/03/13 17:47, Alexandre Paz Mena escribió:
>> pero eso ya es problema de enrutamientos. hacen falta mas
>> datos, como ips, redes y tabla de enrutamientos para arreglarlo.
>>
>> 2013/3/13 Sergio <sbarajas en gmail.com <mailto:sbarajas en gmail.com>>
>>
>> Hola,
>> Llevo varios dias peleandome con el tema y no consigo que
>> funcione.
>> El caso es que lo tengo configurado tal como dices. A los
>> clientes de la red B les tengo puesto la ip de la red B
>> del proxy.
>> Pero si tengo las dos tarjetas activas el pc con squid
>> parece volverse tonto por que es incapaz de hacer ping a
>> google. Sin embargo si le suelto el cable de la red B
>> consigue hacer ping a Google sin problemas.
>> Un saludo
>>
>> El 01/03/2013 09:39, "Alexandre Paz Mena"
>> <erzapito en gmail.com <mailto:erzapito en gmail.com>> escribió:
>>
>> Buenas, en principio si vas a usar un proxy, no
>> necesitas "ennroutar" nada, déjalo funcionando en la
>> máquina de dos tarjetas y a los equipos de la red B
>> tienes que poner que usen de proxy la ip de la red B
>> del squid y el puerto del squid. Ya dentro de squid
>> puedes configurar que ips quieres que se puedan
>> conectar y demás.
>>
>> El tema del puerto 21 es mucho más complicado ya que
>> FTP no solo utiliza puertos de salida, sino de
>> entrada (o muchos puertos de salida aleatorios en
>> modo pasivo), y tienes que empezar a redirigir muchas
>> cosas.
>>
>> Si quieres hacer un routing transparente de ciertos
>> puertos puertos, entonces sí necesitas iptables: para
>> eso te recomiendo la documentación de gentoo que lo
>> explica bastante bien:
>>
>> http://www.gentoo.org/doc/es/home-router-howto.xml
>>
>> Ale, espero que te sirva.
>>
>> 2013/2/28 Sergio Barajas <sbarajas en gmail.com
>> <mailto:sbarajas en gmail.com>>
>>
>> Hola a todos,
>> Como soy novato en esto de IP tables (y también
>> en Squid, por que no decirlo), tengo un mar de dudas.
>> El caso es el siguiente, yo tengo dos redes A y
>> B. La red A 192.168.1.0 tiene salida a internet a
>> través de la IP 192.168.1.254. La red B
>> 192.168.0.0 es una red LAN (sin salida a
>> internet). La cosa es, que mediante un PC con dos
>> tarjetas de red (una conectada a la red A y otra
>> a la red B) quiero conseguir que los PCs de la
>> red B tengan acceso a internet.
>> Por tanto, hasta ahora, el Pc en el que voy a
>> encasquetarle squid en su ETH0 tiene la IP
>> 192.168.1.10 y en la ETH1 tiene la IP
>> 192.168.0.15. La cosa es, utilizando squid, Ip
>> tables, y lo que sea necesario, ¿como enruto el
>> trafico de los puertos 80, 443, 21 desde la red B
>> a la red A?. Ya para rizar el rizo, me gustaría
>> que el proxy no fuese transparente (alguno
>> pensará que soy rarito, pero prefiero controlar
>> quien usa el proxy), y que de la red B solo se
>> permitiese el acceso a internet a ciertas IPs
>> (vamos una ACL en toda regla).
>> Si hay algún "Admin de sistemas - Friki de linux"
>> (que me consta que en la lista los hay) con alma
>> caritativa que por lo menos me oriente un poco
>> (no estoy pidiendo que me lo den todo hecho). Se
>> lo agradecería en el alma.
>> Un saludo
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es
>> <mailto:eside-ghost en listas.deusto.es>
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
>>
>>
>>
>> --
>> Alexandre Paz Mena
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es
>> <mailto:eside-ghost en listas.deusto.es>
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
>>
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es
>> <mailto:eside-ghost en listas.deusto.es>
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>>
>>
>>
>>
>> --
>> Alexandre Paz Mena
>>
>>
>> _______________________________________________
>> eside-ghost mailing list
>> eside-ghost en listas.deusto.es <mailto:eside-ghost en listas.deusto.es>
>> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es <mailto:eside-ghost en listas.deusto.es>
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
>
>
> --
> Alexandre Paz Mena
>
> _______________________________________________
> eside-ghost mailing list
> eside-ghost en listas.deusto.es <mailto:eside-ghost en listas.deusto.es>
> https://listas.deusto.es/mailman/listinfo/eside-ghost
>
>
------------ próxima parte ------------
Se ha borrado un adjunto en formato HTML...
URL: <https://listas.deusto.es/mailman/private/eside-ghost/attachments/20130314/36bb938c/attachment-0001.html>
------------ próxima parte ------------
A non-text attachment was scrubbed...
Name: no disponible
Type: image/png
Size: 15649 bytes
Desc: no disponible
URL: <https://listas.deusto.es/mailman/private/eside-ghost/attachments/20130314/36bb938c/attachment-0001.png>
Más información sobre la lista de distribución eside-ghost