Ayuda con Proxy Transparente

[jcenicerosm]

Que tal bakunos, solicito de su valiosa ayuda para resolver un inconveniente que tengo.

Resulta que administro un Centro de Computo en una escuela y siguiendo las instrucciones de un post aqui publicado hace un tiempo, tengo funcionando un equipo con CENTOS 5.6 como servidor dhcp, dns, router, y proxy transparente.

Mi problema radica fundamentalmente en el servidor proxy (squid), al tener configurado el proxy transparente y el dhcp cualquier equipo conectado automaticamente toma una ip y tiene acceso a internet, pero requiero que no se tenga acceso a determinadas paginas.
Si configuro en squid una regla para bloquearlas funciona muy bien pero solo cuando en el navegador configuro el proxy, si quito la configuracion proxy del navegador me da acceso absolutamente a todo.

Tengo equipos fijos que tengo con ip fija y proxy configurado, pero me gustaria tambien que equipos a los que no tengo acceso a configurar proxy y que se conectan directamente con dhcp pasen por las mismas reglas del proxy.


Espero haberme explicado y alguien pueda orientarme.
Gracias de antemano.
Saludos...

 

[Rosamel Paico]

Si los moderadores tuvieran visión de comunidad y entendimiento de lo que "moderan", no habrían banneado al usuario que publico el Post, y te podría haber dado soporte. Por que sino, los moderadores de Linux, también te podrían dar soporte . . . pero eso es pedir un poquito mucho

Triste es la vida de gente que tiene más ego que neuronas.

Con relación a tu pregunta . . . como me enseño el usuario que PUBLICO el post . . . te habría mandado al espejo a cachetearte tu sólito, por pavis . . . porque estoy absolutamente seguro que posteo como hacer lo que preguntas, incluyendo las Vlans (le encantan las Vlans)

1.- Puedes definir IPs FIJAS en tu red validando las mac address de los equipos que se conectan. Estoy seguro que el usuario que publico la guía, TIENE que haberlo mencionado en la parte donde se declaraba el DHCP (dhcpd.conf). Es mas, puedes crear si quieres, mas de un rango de IPs, y dividirlos por Vlans para crear reglas diferentes por cada nodo. Todo suene exponencialmente mas difícil de lo que es.

Eso habita en # etc/dhcpd.conf y requiere un editor de textos. A el le gusta VIM (y a mi tambien), pero hay gente que prefiere gedit . . . usa lo que quieras y tengas. vi, nano, pico, etc.

Para que tome, editas agregando los equipos que quieres manejar...

host rosamel {
rosamel-wifi;
hardware ethernet AA:AA:AA:AA:AA:AA;
fixed-address 192.168.0.100;
}

La Mac AA:AA:AA:AA:AA:AA es falsa, y la puse como ejemplo. Ahí tienes que poner la mac del equipo que quieres que tenga IP fija.
Demas esta decir que esta es una IP de clase C y solo puedes asignar 253 IPs

2.- Las gracias de los proxys transparentes, es que no necesitas decirle a los navegadores que usen un proxy para funcionar. Cualquier equipo que se conecte, sale si o si por el proxy.
Si no ocurre eso, y has debido configurar los navegadores, puede ser porque como buen pollo, se te olvido redireccionar el trafico del puerto 80 (web) al 3128 (squid). También existe la posibilidad que no lo declararas como transparente . . . en cualquiera de los dos casos, la solución es simple.

con relación al puerto de salida, iptables con ellos y listoko.

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

Asumiendo que eth1 es la tarjeta de red que usas como cabeza de red... y no como WAN.

Con relación a declarar que Squid funcione en modo transparente tienes que modificar el squid.conf

http_port 192.168.0.1:3128 transparent

Donde 192.168.0.1 supone la ip asignada al router, que puede ser CUALQUIER IP, y no solo la que pongo como ejemplo . . .

Finalmente, puedes definir una lista de bloqueos dentro de Squid para los sitios que no quieres que se muestren o que quieres que sean redirigidos, pero tengo que advertirte que Squid hace muy bien eso, siempre y cuando sean pocas reglas. Squid NO ESTA HECHO para bloquear indefinidamente sitios, pero te permite moderadamente hacerlo.
Si quieres hacerlo de forma funcional, debes montar otro servicio, como SquidGuard, que te permite manejar bases de datos de sitios que deben ser bloqueados, y que ademas tiene la opción de descargar listas de bloqueos.
SI NO HACES ESTO, y comienzas a agregar mas y mas sitios a los bloqueados, Squid se pone tontito, y comienza a entrar en Loops de RAM, que fácilmente colapsan cualquier maquina, sin importar poder de CPU ni cantidad de memoria instalada.

Disfrute y pregunte en foros especializados . . .