Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema Publicar Respuesta
 Configuración de server proxy
Tema anterior Tema siguiente
   
RCSantiago
Publicado en 08/11/12 08:15 (Leído 4674 veces)  

Nuevo
Forum User

Inscrito: 08/11/12 Publicaciones: 4
Que tal colegas, primeramente muchas felicidades por sus aportaciones, vengo leyendo éste foro desde hace tiempo y de verdad que gran aporte de todos y especialmente los manuales de Joel Barrios Dueñas me han sido de gran utilidad y son de muy buena calidad.

Hoy tengo una problemilla que ya me tiene con dolor de cabeza, si me pudieran ayudar se los agradecería muchisimo, no se que me falta, no logro que las maquinas salgan a Internet.

Tengo un servidor CentOS 4.7 para administrar una red laboral el esquema es así:

Eth0 (172.16.35.254) --- Red Local (172.16.35.X)
Eth1 (172.16.34.252) --- Router ADSL (172.16.34.254)


ya tengo Instalado CentOS 4.7, Wembin, Squid, Iptables, puedo entrar desde cualquier pc de mi red a 172.16.35.254:10000 y me aparace la pagina de apache correctamente.

route me arroja ésto, lo cual creo es correcto:
PHP Formatted Code
Detination   Gateway        Genmask        Flags  Metric Ref Use  Iface
172.16.35.0  *              255.255.255.0  U      0      0   0    eth0
172.16.34.0  *              255.255.255.0  U      0      0   0    eth1
169.254.0.0  *              255.255.0      U      0      0   0    eth1
default      172.16.34.254  0.0.0.0.0      UG     0      0   0    eth1


/etc/resolv.conf esta así:
PHP Formatted Code
nameserver 200.33.146.249
nameserver 200.33.146.209
nameserver 200.33.146.218


/etc/sysconfig/network-scripts/ifcfg-eth0 esta así:
PHP Formatted Code
DEVICE=eth0
BOOTPROTO=static
BROADCAST=172.16.35.255
HWADDR=00:40:05:05:74:4A
IPADDR=172.16.35.254
NETMASK=255.255.255.0
NETWORK=172.16.35.0
ONBOOT=yes
TYPE=Ethernet


/etc/sysconfig/network-scripts/ifcfg-eth1 esta así:
PHP Formatted Code
DEVICE=eth1
BOOTPROTO=static
BROADCAST=172.16.34.255
HWADDR=00:14:2A:E7:4A:FF
IPADDR=172.16.34.252
NETMASK=255.255.255.0
NETWORK=172.16.34.0
GATEWAY=172.16.34.254
TYPE=Ethernet
ONBOOT=yes
DHCP_HOSTNAME=fw-Gubernatura


/etc/squid/squid.conf esta así:
PHP Formatted Code
#Puerto de Conexion del Proxy:
http_port 3128
visible_hostname Gubernatura
cache_mem 64 MB
cache_swap_low 90
cache_swap_high 95
maximum_object_size 4096 KB
#cache_dir 400 MB

auth_param basic children 5
auth_param basic realm Squid proxy-caching web server

#Comenzamos con nuestras ACL:
#acl redgub src 172.16.35.0/255.255.255.0
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8

acl sitios_no url_regex "/etc/squid/sitiosdenegados"
acl sitios_si url_regex "/etc/squid/sitiosinocentes"
acl sitios_periodicos_RH_no url_regex "/etc/squid/sitios_periodicos_no"


#########Unica Modificacion para messenger solo algunos
acl aplicaciones_prohibidas req_mime_type -i "/etc/squid/squid.mime-prohibido"
acl msn_no url_regex -i gateway.dll

acl ip_pref src "/etc/squid/ippreferentes"
acl ip_rest src "/etc/squid/iprestringidos"
acl ip_rest_msn src "/etc/squid/iprestconmsn"
acl ip_rest_rhumanos src "/etc/squid/iprhumanos"

acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 4001 # Puerto Servidor Firmas Electronicas
acl Safe_ports port 16822 # Puerto del Ares
acl CONNECT method CONNECT

#Configuracion de Accesos:

http_access allow ip_pref
http_access allow ip_rest !sitios_no !aplicaciones_prohibidas !msn_no
http_access allow ip_rest_msn !sitios_no
http_access allow ip_rest_rhumanos !sitios_periodicos_RH_no !sitios_no !msn_no

#http_access allow Safe_ports
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access deny all
 
icp_access deny all
cache_mgr SITIO_TEMPORALMENTE_FUERA_DE_SERVICIO
cache_effective_user squid
cache_effective_group squid

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

coredump_dir /var/spool/squid



Cabe mencionar que mi Squid y mis ACL´s las tengo probadas en otro server y funcionan bien.

chkconfig --list iptables
0:desactivado 1:desactivado 2:desactivado 3:desactivado 4:desactivado 5:desactivado 6:desactivado

y tengo mucha duda ya que tengo otro servidor proxy funcionando desde hace dos años y dice lo mismo en chkconfig --list iptables y ese servidor si funciona.

Ojala algúien me pueda apoyar lo agradeceria muchisimo, Saludos!




 
Perfil
 Citar
John J. Toro A.
Publicado en 09/11/12 02:11  

Moderador
Forum User

Inscrito: 19/02/07 Publicaciones: 119
País:Medellín - Colombia
Saludos,

No veo enrutamiento (/etc/sysctl.conf): net.ipv4.ip_forward = 1

Dominio (/etc/resolv.conf): search dominio.com ?

JohnToro
 
Perfil
 Citar
Edgar Rodolfo
Publicado en 09/11/12 11:25  

Participa mucho
Forum User

Inscrito: 20/05/09 Publicaciones: 67
País:Peru-Arequipa
Hola, no has comentado sobre si has realizado la traducción de direcciones de red (NAT) eso es neceario para que eth0 salga a internet mediante eth1 (de cara a internet), es una regla muy simple usando iptables, luego también necesitas hacer forwarding, habilitar el bit, como esta en los manuales red hat (en sysctl.conf descomentar el forwarding) o poniendo 1 a ip_forward, eso es si usas dos o más interfaces de red.

Lo de squid debería estar bien, como mencionas que tienes alguna configuración en otro sitio y va bien, primero deberías de probar sin habilitar squid, solo haciendo NAT si la Lan sale afuera pasando por CentOS, si es así añade el servicio proxy que es muy simple en su configuración básica.

AHORA SI TE RECOMIENDO USAR CENTOS 5.8 O 6.3, POR QUÉ ESTAS USANDO UNA RELEASE ANTIGUA Y TODAVÍA 4.7? puedes descargar la imagen iso desde el portal www.CentOS.org, suerte!

Live free or die!
 
Perfil Sitio Web
 Citar
RCSantiago
Publicado en 11/11/12 09:59  

Nuevo
Forum User

Inscrito: 08/11/12 Publicaciones: 4
Quote by: John+J.+Toro+A.

Saludos,

No veo enrutamiento (/etc/sysctl.conf): net.ipv4.ip_forward = 1

Dominio (/etc/resolv.conf): search dominio.com ?



Que tal amigo, gracias responder, ya edite ese archivo y lo cambie a 1

mi /etc/resolv.conf lo tengo asi:
nameserver 200.33.146.209
nameserver 200.33.146.218

No tengo ningun dominio en mi red, ni servidor web para accesar desde internet
 
Perfil
 Citar
RCSantiago
Publicado en 11/11/12 10:52  

Nuevo
Forum User

Inscrito: 08/11/12 Publicaciones: 4
Quote by: Edgar+Rodolfo

Hola, no has comentado sobre si has realizado la traducción de direcciones de red (NAT) eso es neceario para que eth0 salga a internet mediante eth1 (de cara a internet), es una regla muy simple usando iptables, luego también necesitas hacer forwarding, habilitar el bit, como esta en los manuales red hat (en sysctl.conf descomentar el forwarding) o poniendo 1 a ip_forward, eso es si usas dos o más interfaces de red.

Lo de squid debería estar bien, como mencionas que tienes alguna configuración en otro sitio y va bien, primero deberías de probar sin habilitar squid, solo haciendo NAT si la Lan sale afuera pasando por CentOS, si es así añade el servicio proxy que es muy simple en su configuración básica.

AHORA SI TE RECOMIENDO USAR CENTOS 5.8 O 6.3, POR QUÉ ESTAS USANDO UNA RELEASE ANTIGUA Y TODAVÍA 4.7? puedes descargar la imagen iso desde el portal www.CentOS.org, suerte!



Que tal mi estimado, gracias por la orientación y el tiempo para responder, ya logré hacerlo funcionar pero no estoy del todo convencido de la forma en que quedó, hice lo siguiente:

Paso 1:
Edité el archivo: /etc/sysctl.conf
net.ipv4.ip_forward = 0

Paso 2:
Borré de eth1 el GATEWAY
DEVICE=eth1
BOOTPROTO=static
BROADCAST=172.16.34.255
HWADDR=00:14:2A:E7:4A:FF
IPADDR=172.16.34.252
NETMASK=255.255.255.0
NETWORK=172.16.34.0
GATEWAY=172.16.34.254 <---- Borrada esta linea
TYPE=Ethernet
ONBOOT=yes
DHCP_HOSTNAME=fw-Gubernatura

y Paso 3:
Apague servicio iptables: chkconfig iptables off

con esto quedo funcionando mi red con Internet y el squid bloquea las paginas configuradas correctamente, pero no entendí bien porque funcionó así, seguire leyendo y voy a descargar el CentOS 6.3
 
Perfil
 Citar
Edgar Rodolfo
Publicado en 13/11/12 02:14  

Participa mucho
Forum User

Inscrito: 20/05/09 Publicaciones: 67
País:Peru-Arequipa
Hola, no sé que estará pasando amigo, pero te cuento que si tienes dos interfaces una de cara al router y otra a tu switch (lan)

Internet>>(eth0)CentOS(eth1)>>LAN

Parametros suficientespara eth0
de los que estan solo añade IPADDR, NETMASK, GATEWAY

Parametros para eth1 (RECUERDA QUE ESTA ES LA INETRNA)
IPADDR, NETMASK y los que estaban nada más no es necesario GATWAY ya esta en la eth0

Para que la lan salga a internet se necesita habilitar o poner en uno el bit de forwardind y con iptables hacer traducción de direcciones de red (las dos trajetas) osea necesitas a iptables, pero debes borrar toda regla que por defecto derivados de redhat traen, osea hacer iptables -F, tan solo con nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y echo 1 /proc/sys/net/ipv4/ip_forward ya la red interna sale o pasa tu Maquina CentOS y si en Centos tienes bien configurada la red osea eth0 y eth1 en segmentos diferentes y todo statico (de preferencia si será servidor) y poniendo tu lan en el mismo segmento de red que eth1 con puerta de enlace la ip de eth1 de centos todo trabaja ok, eso es suficente.




Lo que has puesto

Paso 1:
Edité el archivo: /etc/sysctl.conf
net.ipv4.ip_forward = 0


No debería funcionar




Paso 2:
Borré de eth1 el GATEWAY
DEVICE=eth1
BOOTPROTO=static
BROADCAST=172.16.34.255
HWADDR=00:14:2A:E7:4A:FF
IPADDR=172.16.34.252
NETMASK=255.255.255.0
NETWORK=172.16.34.0
GATEWAY=172.16.34.254

Hola otra vez, aqui no debe estar GATEWAY porque es la otra interface, ose ala inetrna la externa ya tiene el quien indica quien es puerta de enlace aqui solo unos aprmentros son encesario como IPADDR, NETMASK, BOOTPROTO, DEVICE, creo que eso es suficiente


y Paso 3:
Apague servicio iptables: chkconfig iptables off

No entiendo que estasras haciendo amigo, si eso no debe funcionar, al menos hasta donde yo sé.

con esto quedo funcionando mi red con Internet y el squid bloquea las paginas configuradas correctamente, pero no entendí bien porque funcionó así, seguire leyendo y voy a descargar el CentOS 6.3

Debes de saber qué estas haciendo amigo y entender en lo básico si no comprendes qué estas haciendo y qué cosas necesitas para algún propósito pues estamos en graves problemas, si entiendes lo que haces en cualquier sistema operativo sabrás qué hacer, saludos y suerte!

Live free or die!
 
Perfil Sitio Web
 Citar
Edgar Rodolfo
Publicado en 13/11/12 02:26  

Participa mucho
Forum User

Inscrito: 20/05/09 Publicaciones: 67
País:Peru-Arequipa
Te recomiendo leer:
http://www.centos.org/docs/5/html/5.2/Deployment_Guide/s1-firewall-ipt-fwd.html
http://www.centos.org/docs/5/html/5.2/Deployment_Guide/postrouting-ipmasquerading.html

Live free or die!
 
Perfil Sitio Web
 Citar
RCSantiago
Publicado en 15/11/12 04:15  

Nuevo
Forum User

Inscrito: 08/11/12 Publicaciones: 4
Quote by: Edgar+Rodolfo

Hola, no sé que estará pasando amigo, pero te cuento que si tienes dos interfaces una de cara al router y otra a tu switch (lan)

Internet>>(eth0)CentOS(eth1)>>LAN

Parametros suficientespara eth0
de los que estan solo añade IPADDR, NETMASK, GATEWAY

Parametros para eth1 (RECUERDA QUE ESTA ES LA INETRNA)
IPADDR, NETMASK y los que estaban nada más no es necesario GATWAY ya esta en la eth0

Para que la lan salga a internet se necesita habilitar o poner en uno el bit de forwardind y con iptables hacer traducción de direcciones de red (las dos trajetas) osea necesitas a iptables, pero debes borrar toda regla que por defecto derivados de redhat traen, osea hacer iptables -F, tan solo con nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE y echo 1 /proc/sys/net/ipv4/ip_forward ya la red interna sale o pasa tu Maquina CentOS y si en Centos tienes bien configurada la red osea eth0 y eth1 en segmentos diferentes y todo statico (de preferencia si será servidor) y poniendo tu lan en el mismo segmento de red que eth1 con puerta de enlace la ip de eth1 de centos todo trabaja ok, eso es suficente.




Lo que has puesto

Paso 1:
Edité el archivo: /etc/sysctl.conf
net.ipv4.ip_forward = 0


No debería funcionar




Paso 2:
Borré de eth1 el GATEWAY
DEVICE=eth1
BOOTPROTO=static
BROADCAST=172.16.34.255
HWADDR=00:14:2A:E7:4A:FF
IPADDR=172.16.34.252
NETMASK=255.255.255.0
NETWORK=172.16.34.0
GATEWAY=172.16.34.254

Hola otra vez, aqui no debe estar GATEWAY porque es la otra interface, ose ala inetrna la externa ya tiene el quien indica quien es puerta de enlace aqui solo unos aprmentros son encesario como IPADDR, NETMASK, BOOTPROTO, DEVICE, creo que eso es suficiente


y Paso 3:
Apague servicio iptables: chkconfig iptables off

No entiendo que estasras haciendo amigo, si eso no debe funcionar, al menos hasta donde yo sé.

con esto quedo funcionando mi red con Internet y el squid bloquea las paginas configuradas correctamente, pero no entendí bien porque funcionó así, seguire leyendo y voy a descargar el CentOS 6.3

Debes de saber qué estas haciendo amigo y entender en lo básico si no comprendes qué estas haciendo y qué cosas necesitas para algún propósito pues estamos en graves problemas, si entiendes lo que haces en cualquier sistema operativo sabrás qué hacer, saludos y suerte!



Que tal amigo, muchas gracias por responder, exactamente todo lo que me dices es lo que he leido en todos lados, tienes toda la razón, así me aparece en todos los manuales que tengo y lo entiendo, el problema es que mi red no tenia acceso a Internet, lo que no entendí en mi caso es porque funcionó cambiando el bit a "0", apagando iptables, y borrando el Gateway de Eth1, pero te juro que así esta mi server desde el lunes dando el servicio de Internet a varias PC y el squid administra bien las paginas de acuerdo al rango de IP´s con privilegios ó restringidas, voy a conseguir otra PC para empezar desde cero y aclarar mis dudas, este server lo dejé así porque estaban mis usuarios sin servicio y una vez que funcionó éste ya no lo quise mover mas, solo una aclaración la que tengo al DSL es ETH1 y la que está hacia mi LAN es ETH0,

Saludos viejo y te agradezco mucho la orientación.
 
Perfil
 Citar
Edgar Rodolfo
Publicado en 15/11/12 08:50  

Participa mucho
Forum User

Inscrito: 20/05/09 Publicaciones: 67
País:Peru-Arequipa
Me gustaría saber cómo has hecho o cómo has configurado la red, veo la interface hacia la lan, pero la de cara a internet o al router o lo que sea que te permita salir a inetrnet cómo la tienes? statica? dinamica? podrías aclararnos que has hecho despues de instalar? configuraciones de red de los segmentos detallanos tal vez por ahí encontremos el detalle, tipo de coonexion son esas que usan router pa salir a inetrnet?

Live free or die!
 
Perfil Sitio Web
 Citar
Contenido generado en: 0,87 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 08:23 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado