Vive-libre.com

198 Responses to “Configuracion de Ubuntu Server 8.10: DHCP + Squid + Iptables”

1. Carlos
   March 9th, 2009 at 2:14 pm

   Muchas gracias por tu manual!!! Lo he estado mirando y me a parecido muy interesante!

   Un saludo

2. Ricardo
   March 11th, 2009 at 10:37 pm

   Buenas tardes yovany, e tratado de instalar el squid transparente en ubuntu server 8.10, pero aun no lo logro. Veo que en tus iptables pusiste demasiadas reglas, ¿necesariamente tengo que poner todas esas? lo que pasa es que en la version 8.04 tengo el server jalando de manera transparente pero solamente puse dos lineas de prerouting y postrouting y ya con eso la hice. en esta version 8.10 no sale transparente.

3. yovany
   March 11th, 2009 at 10:54 pm

   Hola Ricardo.

   Seria bueno si postearas, tu archivo de iptables y el de squid para darnos mayor claridad sobre como lo estas configurando.

   Arriba se explica para que son cada grupo de lineas, pero explicitamente el proxy transparente consiste en redireccionar todas las peticiones que van dirigidas al puerto 80 al puerto de squid que es el 3128 y eso se hace en esta linea.

   iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

   Aun que se indica tambien que cualquier peticion que sea al puerto 80 pero que la direccion de destino sea diferente al grupo de ip´s de tu red pasara por el proxy.

   Espero te sirva.

4. Ricardo
   March 13th, 2009 at 11:24 pm

   Gracias por responder yovany, puse todas las reglas de iptables justo como los tienes, en cuanto al squid el error estaba en lo siguiente: http_port 192.x.x.x:3128 transparent
   lo puse tal como lo tienes, o sea eliminé la ip de la maquina quedando asi: http_port 3128 transparent
   ya tienen internet bajo proxy transparente las maquinas en la red, pero el problema es que no me deja conectar a msnlive. ya le agregué ademas el puerto 1863 a la lista de puertos, pero msn me da el problema de error en los puertos clave. ¿Tienes idea de como solucionarlo?

5. yovany
   March 13th, 2009 at 11:36 pm

   Hola Ricardo.

   Por que no posteas la configuracion de tu squid y de tus iptables para checar que puede estar mal.

   Tambien podrias probar agregar la siguiente linea permitir el forward al puerto del msn

   iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 1863 -j ACCEPT

   Claro que sustituirias los valores de la red y la interfas segun tu configuracion.

   (es chistoso hay muchos que se mueren por bloquear el msn, y sin querer a ti no te da)

   Espero te sirva.

   Saludos.

6. lidia
   March 16th, 2009 at 6:59 pm

   holaaaaaaa.
   tengo un problema con lo de la configuracion del dhcp …………..
   mi duda es que no se de donde saco el rango de
   ips
   subnet, range , option domain-name-servers
   option routers ,option broadcast-address
   default-lease-time
   max-lease-time…..

7. lidia
   March 16th, 2009 at 7:02 pm

   cuando ejecute esto sudo vi /etc/dhcp3/dhcpd.conf me aparecieron cari todos los valores pero en el option domain-name-servers ns1.example.org, ns2.example.org, y coloco todo y borro lo demas pero me marca un errrrrrrrorrrrrrrrrrr.
   ayudenme porfas
   diganme que puedo hacer

8. yovany
   March 16th, 2009 at 10:04 pm

   Hola lidia.

   Que error te da.

   Podrias poner el error y la configuracion de dhcp.conf, para para darnos una idea de donde esta el error.

   Saludos

9. LIDIA
   March 16th, 2009 at 11:58 pm

   mi duda es donde configurar mi direccion ip, los dns, la mascara de subred, gateway ………….
   porfas ayudame………..

10. yovany
    March 17th, 2009 at 12:59 am

    Si lo que quieres es definir esos datos para tu tarjeta de red, y establecerlos como estaticos edita el siguiente archivo

    sudo vi /etc/network/interfaces

    auto eth0
    iface eth0 inet static #eth0 es la tarjeta de red cambia dependiendo tu configuracion
    address 192.168.1.100
    netmask 255.255.255.0
    network 192.168.1.0
    broadcast 192.168.1.255
    gateway 192.168.1.254
    dns-nameservers 192.168.1.254#si te conectas a internet por un modem de telmex esto no cambia

    Espero sea lo que buscas.

    Saludos

11. LIDIA
    March 18th, 2009 at 2:38 am

    MUCHAS GRACIAS YOVANY..
    ME HA SIDO DEMUCHA AYUDA LO QUE ME HAS ESCRITO.
    PERO TENGO OTRA DUDA COMO PUEDO ADMINISTRAR MI DHCP..PORFAVOR

12. yovany
    March 18th, 2009 at 3:25 am

    Hola Lidia.

    Me alegro que te sirviera, podrias ser un poco mas especifica,quieres en tu maquina proveer el servicio de dhcp.

    Planeanos tu situacion para poderte ayuda mas

    Saludos

13. LIDIA
    March 18th, 2009 at 4:06 am

    ES QUE TENGO QUE CONFIGURAR EL DHCP DE TAL FORMA QUE SEA CAPAZ DE QUE EL ADMINISTRADOR PUEDA ESPECIFICAR LOS RANGOS DE LAS IP PARA LAS MAQUINAS QUE SE CONECTAN…..

14. yovany
    March 18th, 2009 at 5:09 am

    Hola Lidia.

    Para eso hay que editar el siguiente archivo

    sudo vi /etc/dhcp3/dhcpd.conf

    Ahora adentro tienes que poner solo esto, lo demas lo puedes borras, por el momento no nos sirve.

    ddns-update-style interim;

    authoritative;

    #subnet indica que tipo de direcciones quieres que asige
    #el dhcp por ejemplo este ejemplo te asignara ip
    #que van desde 192.168.2.1 hasta 192.168.2.254
    subnet 192.168.2.0 netmask 255.255.255.0{
    #Rango son las direcciones que asigne
    #aqui se indica que solo asignara dela ip
    #192.168.2.100 a la 192.168.2.200
    range 192.168.2.100 192.168.2.200;
    #estos dns son los dns que te asignan
    #tus proveedores de internet
    #si usa un modem de telmex los puedes dejar como este ejemplo
    option domain-name-servers 192.168.1.254;
    #esta debe ser la direccion de tu gateway en este caso
    #es el mismo serer ubuntu
    option routers 192.168.2.1;
    #aqui segun tu red es la direccion de difusion o broadcast
    option broadcast-address 192.168.2.255;
    #estos valores no cambian se dejan tal cual
    default-lease-time 36000;
    max-lease-time 180000;
    }

    Con esto el dhcp debe de funcionar, proveera el servicio por la tarjeta de red que le solicite el servicio, si no hay q indicar por que tarjeta escuchara

    sudo vi /etc/default/dhcp3-server

    y pondras lo siguiente
    #segun sea la interfas de red q estes usando
    INTERFACES=”eth1″

    Espero te ayude.

    Saludos

15. LIDIA
    March 18th, 2009 at 5:17 am

    gracias
    yovany …
    saludos

16. LIDIA
    March 18th, 2009 at 5:22 am

    en el caso de los dns tu me dices que coloque esto en caso de que utilice internet
    dns-nameservers 192.168.1.254#si te conectas a internet por un modem de telmex esto no cambia.

    pero yo no utilizo internet entonces que puedo colocar???

17. yovany
    March 18th, 2009 at 5:25 am

    Puedes omitirla, o instalar un servidor dns en el mismo servidor si asi lo requieres, si no lo pones no hay problema si no quieres compartir internet por ese server.

18. LIDIA
    March 18th, 2009 at 5:38 am

    gracias …mi red es de 2 maquinas , una es la que eestoy configurando como servidor y la otra va ser mi cliente, mi red no tiene acceso a internet. entonces los dns si los omito no me afectaran al dhcp, se su`pone que tiene que dar las ip automaticmente a las maquinas autmaticamente. y desdes el servidor yo tengo que adminsitrar cuantas y cuales direcciones estan disponibles para los clientes.

19. lidia
    March 18th, 2009 at 9:56 am

    como le ago si el archivo dhcpd.conf esta en otra ruta
    o adentro de otra carpeta

20. lidia
    March 18th, 2009 at 11:25 am

    hola ya me salio lo del DHCP, pero ahora mi duda es como administro el DHCP…encontre en esta pagina
    http://docs.sun.com/app/docs/doc/820-2981/chapter3-20?l=es&a=view la forma de administrarla pero no se como administrar mi DHCP…….Gracias yovany todo me ha servido muchisimo

21. yovany
    March 18th, 2009 at 5:52 pm

    Hola Lidia.

    Puedes probar instalar el webmin, para administrarlo, es muy sencillo de usar te dejo el link para la instalacion

    http://vive-libre.com/blog/2008/02/28/como-instalar-webmin-en-ubuntu-74/

    Saludos

22. LIDIA
    March 19th, 2009 at 12:36 am

    HOLA YOVANY!!!
    MUCHISIMAS GRACIAS, TODO LO QUE ME HAS DICHO ME HA SIDO DE GRAN AYUDA, CUANDO ME DEJARON LA TAREA DE CONFIGURAR EL DHCP NO SABIA NI SIQUIERA QUE ERA ESO, Y ME HA EMOCIONADO LOS RESULTADOS QUE HE OBTENIDO CON TU AYUDA..
    GRACIAS

23. yovany
    March 19th, 2009 at 1:24 am

    Hola Lidia.

    Me alegro mucho, que bueno que te sirvio, y espero nos sigas visitando y no dejes de hacernos saber tus dudas nunca sabes a cuantas personas puedes ayudar.

    Espero no olvides dejarnos tu registro, en la pared de usuarios XD

    Saludos

24. LIDIA
    March 21st, 2009 at 1:22 am

    hola gracias por lo del DHCP.
    disculpa me podrias dar ideas de algunos proyectos que yo podria presentar, que esten basados en linux.
    porfavor..

25. yovany
    March 21st, 2009 at 5:09 am

    Hola Lidia.

    Pues hay muchas cosas dependiendo sobre que area, te gustaria trabajar, redes, programacion…

    Que te agrada mas.

26. LIDIA
    March 21st, 2009 at 2:45 pm

    hola yovany..!
    el proyecto es para ayudar a unos compañeros que no presentaron el proyecto que les asignaron y se fueron a extraordinario y como ya nos vamos a ir a estadia yo quiero a yudarlos para que no tengan problemas.
    pues mira yo nunca he programado en linux, y quisiera un proyecto que no este muy muy complejo pero no se dame ideas de 2 de redes y 2 de programacion y si no es mucha moelstia explicame en que consisten..porfavor

27. Samuel
    March 23rd, 2009 at 12:51 am

    Hola yovany. Estoy siguendo el tutorial desde hace 3 dias y me trabé en el servidor DHCP. El escenario es el siguiente.

    Modem-router (recibe ADSL): 10.0.0.2
    Servidor con dos placas
    eth0 (recibe del router conexion a internet)

    address 10.0.0.7 netmask 255.0.0.0 network 10.0.0.0
    broadcast 10.0.0.255 gateway 10.0.0.2
    dns-nameservers 10.0.0.2

    eth1 (placa para el servidor DHCP) futuro Squid

    address 192.168.2.1
    netmask 255.255.255.0
    gateway 192.168.2.1
    dns-nameserver 10.0.0.2

    La placa eth1 va a un swithc que repartiria internet a demas maquinas (todos los clientes con Win XP)

    el archivo dhcpd.conf es:

    ddns-update-style interim;
    authoritative;
    subnet 192.168.2.0 netmask 255.255.255.0{
    range 192.168.2.100 192.168.2.200;
    option domain-name-servers 10.0.0.2;
    option routers 192.168.2.1;
    option broadcast-address 192.168.2.255;
    default-lease-time 36000;
    max-lease-time 180000;
    }

    y el arcvhivo iptables.cf es

    iptables -X
    iptables -Z
    iptables -t nat -F

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

    iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

    iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 993 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 465 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT

    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 443 -j ACCEPT

    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp –dport 53 -j ACCEPT

    echo > /proc/sys/net/ipv4/ip_forward

    Ya modifique que la placa eth1 seria la que escucha los puertos DHCP. Pero no logro tener internet en los clientes. El servidor les asigna todo perfecto las ip y demas datos sin error, pero no entran a internet. No tendria que abrir el puerto 3128 en el router 10.0.0.2?

    Te agradeceria tu amabilidad y atencion. Gracias.
    PD: Lo que quiero como finalidad es limitar el ancho de banda de internet en los clientes.

28. yovany
    March 23rd, 2009 at 4:33 am

    Hola samuel.

    Al parecer todo esta bien en cuanto al dhcp, solo hay un detalle si tus iptables estan tal cual las posteaste hay un pequeño error, en la ultima linea, que es la que permite que se pueda hacer forward y compartir el internet.

    Tienes que poner un 1 q es el que se concatena al archivo y activa esta opcion

    echo 1 > /proc/sys/net/ipv4/ip_forward

    Prueb y me cuentas saludos

29. yovany
    March 23rd, 2009 at 4:37 am

    Hola Lidia.

    Pues algo muy sencillo que pueden presentar es un servidor web, instalate el apache y listo.

    sudo apt-get install apache2

    y en la carpeta /var/www

    Pegas tu pagina que hachas hecho y listo para verla solo abre tu navegador y pones la direccion local de tu maquina, y si estas en red la ip de la maquina donde lo instalaste, asi o mas sencillo XD

    Saludos

30. Juan Luis
    March 24th, 2009 at 2:21 am

    grax, ya he terminado mi servidor proxy+dhcp, mmm lo malo es k no he podido evitar k descarguen del ares
    pero seguire intentando,si alguien ha solucionado este problema le agradeceria su respuesta
    aki dejo mi quid.conf
    http_port 3128 transparent

    cache_mem 16 MB

    cache_dir ufs /var/spool/squid 2048 16 256

    #Acelera el proxy
    cache_store_log none
    cache_swap_low 80
    cache_swap_high 100
    maximum_object_size_in_memory 5000 KB

    #Apoya a refrescar versiones anteriores de ie
    ie_refresh on

    offline_mode on

    #Reglas o lista de control de acceso
    acl all src 0.0.0.0/0.0.0.0
    acl iesch src 10.0.0.0/8
    #archivos que se mandan a llamr para uso del filtrado
    acl denegados url_regex “/etc/squid/denegados”
    acl permitidos url_regex “/etc/squid/permitidos”
    acl denegados url_regex “/etc/squid/extenciones”
    acl downloads url_regex -i \.ddl$ \.bin$ \.exe$ \.mp3$ \.wmv$ \.avi$ \.mpg$ \.jpg$ \.png$ \.mp4$ \.flv$
    acl EXE urlpath_regex \.[eE][xX][eE]
    acl MP3 urlpath_regex \.[mM][pP][3]
    acl AVI urlpath_regex \.[aA][vV][iI]
    acl MPEG urlpath_regex \.[mM][pP][eE][gG]
    acl FLV urlpath_regex \.[fF][lL][vV]

    acl localhost src 127.0.0.1/255.255.255.255
    acl jorgeE arp 00:23:8B:02:06:63
    acl jorgeW arp 00:23:4D:89:84:9C
    acl fer arp 00:18:E7:0D:42:7E
    acl tania arp 00:08:A1:BB:AF:35
    acl mac_hirum arp 00:1A:73:8D:DE:78
    acl mac_mtramiriam arp 00:1A:73:97:EB:97
    acl mac_sandra arp 00:16:6F:C6:65:97
    acl mac_med arp 00:0F:FE:34:8A:A5

    http_access allow localhost
    http_access allow iesch !denegados
    http_access allow iesch !downloads
    http_access allow iesch permitidos
    http_access allow jorgeE
    http_access allow jorgeW
    http_access allow fer
    http_access allow tania
    http_access allow mac_hirum
    http_access allow mac_mtramiriam
    http_access allow mac_sandra
    http_access allow mac_med
    http_access deny EXE
    http_access deny MP3
    http_access deny AVI
    http_access deny MPEG

    http_access deny all

31. yovany
    March 24th, 2009 at 2:39 am

    Hola Juan Luis.

    Me da gusta que te haya servido, lo del ares y en general las p2p son la perdicion de todos los administradores de sistemas hay algunos programas que han dado resultados, como el IPP2P, no los comente en este tutorial ya que no he podido hacer q funcionen adecuadamente al parecer aun no son compatibles aun con la version 8.10 de ubuntu pero puedes probar y comentar como te fue

    http://www.ipp2p.org/

    Saludos.

32. lidia
    April 1st, 2009 at 9:51 pm

    hola..!!!!!!!!!
    disculpa como puedo hacer un closter con 2 monitores y un cpu, un teclado y un mouse en ubuntu 8.10???

33. LIDIA
    April 2nd, 2009 at 6:30 am

    porfavor recomiendenme una pagina, que hable sobre conectar 2 monitores con un solo cpu, un mouse y un teclado

34. marco
    April 8th, 2009 at 8:16 pm

    hola.. según tu ejemplo tutorial.. como puedo configurar el iptables y el squid para que pueda acceder a mi servidor web que esta en mi red local??

35. Abaddon
    April 12th, 2009 at 4:49 pm

    bueno amigo gracias por el tutorial me sirvio de mucho y logre hacer correr mi server con ubuntu ahora la pregunta del millon jejeje sabes instale el webmin para acceder via web a mi ubuntu y ver las estadisticas de squid no encuentro el archivo “cachemgr.cgi” que deberia estar en /usr/lib/cgi-bin/cachemgr.cgi si podrias ayudarme gracias

36. yovany
    April 13th, 2009 at 3:14 pm

    Hola Lidia.

    Para eso necesitas tener dos salidas de vido en tu MB, o en su defecto comprar una tarjeta de video yo lo he hecho con una ati radeo x1550 y no necesitas configurar nada solo asegurarte de q los dos monitores esten encedidos para q los detecte y configura al arrancar, por lo regular traen una salida vga y un dvi solo compras en adaptador de dvi a vga para conectar le segundo monitar y sin ningun problema.

37. yovany
    April 15th, 2009 at 12:55 am

    No necesitas ninguna configuracion especial, si ya tienes la iptables y no puedes acceder a tu servidor web desde la red local postea la configuracion de las iptables y checamos q puede estar fallando, si sigues el tutorial no hay nungun problema yo lo tengo asi funcionando con apache y una pagina en internet XD

38. yovany
    April 15th, 2009 at 1:05 am

    Hola Abaddon.

    Segun se tienes que configuara estos dos archivos

    ./cachemgr.conf
    /etc/squid/cachemgr.conf

    En lo personal no uso las estadisticas del webmin prefiero el uso de Ntop checa este link es muy bueno y facil de instalar http://www.ntop.org/overview.html

    Saludos

39. Osvaldo
    April 16th, 2009 at 4:57 am

    Hola Yovany
    Yo necesito un servidor que no me bloquee paginas, ya que es para un ISP y si bloqueo mis clientes se pasarian a la competecia, creo que esto se haria eliminando la lista de sitios prohibidos o dejandola en blanco, es asi?

    Mi otra gran duda es como debo configurar el squid para que me haga cache de videos de youtube, que guarde actualizaciones de windows, etc Es decir tener un buen squid, que almacene archivos de todo tipo (exe, mp3, etc); de tal manera que pueda ahorrarme ancho de banda.

    Saludos y gracias

40. yovany
    April 16th, 2009 at 3:22 pm

    Hola Ricardo.

    Es verdad q no necesitas todas, todas la lineas estan comentadan y dicen q es lo q hace cada una, dependeindo tus necesidades, las quitas o le gregas mas, trate de abarcar lo que se usa mas comunmente, para la referencia de todos, en tu caso si solo quiere que se tranparente
    iptables -F
    iptables -X
    iptables -Z
    iptables -t nat -F

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

    iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
    //importantisimo
    echo 1 > /proc/sys/net/ipv4/ip_forward

    //ojo despues del 1 va un mayor que y despues la ruta
    Parecera demaciado pero es importante ponerlas todas, ya que definan la reglas del trafico de la red

    Prueba y nos platica como te fue

    Saludos

41. Fardier
    April 20th, 2009 at 5:49 pm

    Disculpa, yo tengo ubuntu server 8.04, puede ser por eso que en mis maquinas cliente marca conexion limitada?

    Que debo cambiar para no tener ese problema?

    Gracias.

42. marco
    April 20th, 2009 at 7:12 pm

    hola yovany…
    ya pude solucionar mi problema.. te agradezco que hayas respondido.. añadí una linea mas en el iptables para acceder al dispositivo que tiene la pagina web y quedo así:

    iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp –dport 80 – j DNAT –to 192.168.2.20 <==(aquí puse el ip de la maquina con el servidor web, en este ejemplo es: 192.168.2.20)

43. yovany
    April 21st, 2009 at 12:37 am

    Hola Fardier.

    Esto funciona tal cual para 8.4, puede ser mas bien por la forma en la que esta conectando tus maquinas, hasta el cable, platicanos mas para saber cual podria ser el problema

44. yovany
    April 21st, 2009 at 12:38 am

    Hola Marco.

    Me da gusto que ya te funcione , nos estamos leyendo

    Saludos.

45. Fardier
    April 21st, 2009 at 6:49 pm

    Gracias por responder yovany,

    Pues veras que he hecho todo lo del tuturial tal cual, ya que tengo un servidor web con las misma ip que tu pusiste en el tutorial, todo coincide con lo que tu pusiste , ya que tambien mi isp es telmex, pero a la hora de conectar mi otra pc atravez de la eth1 me aparece sonectado localmente, cuando intento, acceder a alguna web no abre nada.

    Las caracteristicas del servidor son: pentium III a 1mb, 348 mb de ram y 40 gb de disco duro; tiene instalado ubuntu 8.04 server edition, este mismo pc sirve como servidor web, para lo cual funciona bien. a y tiene dos tarjetas de red, la eth0 a internet y la eth1 a la red local.

    La otra maquina tiene las sig caracteristicas: dual core a 3ghz, 1 gb de ram y 320 gb de disco duro, tiene instalado windows vista home premium.

    Estare en espera de tu respuesta, si necesitas mas datos pidelos.

    Gracias.

46. Fardier
    April 21st, 2009 at 7:32 pm

    Encontre el siguiente mensaje, no se que pueda ser

    /etc/rc2.d/S20iptalbes.cf: 28: gt: not found
    /etc/rc2.d/S20iptalbes.cf: 28: /proc/sys/net/ipv4/ip_forward: Permission denied

47. Fardier
    April 21st, 2009 at 7:59 pm

    Ya pude solucionar mi problema.

    El error estaba en el archivo de iptables.cf ya que al final de este archivo en tu tutorial aparace lo sig:

    echo 1> /proc/sys/net/ipv4/ip_forward

    y segun estuve leyendo en las dudas de otras personas deve ser:

    echo 1 > /proc/sys/net/ipv4/ip_forward

    Seria bueno que lo corrigieras.

48. yovany
    April 22nd, 2009 at 3:50 pm

    Hola Fardier.

    Si tienes razon, de hecho ya lo habia aclarado en el comentario anterior al tuyo. es problema de un plugin de worpress con los caracteres especiales, pero gracias por la observacion buscare arreglarlo sobre el articulo lo mas pronto que pueda.

    Que tengas buen dia

49. Rogelio
    April 22nd, 2009 at 6:24 pm

    Estimado Yovaby, estoy siguiendo tu tutorial pero al momento de instalar el DHCP3-SERVER, me dice que no se pudo iniciar el servicio.
    * Starting DHCP server dhcpd3
    * check syslog for diagnostics.
    [fail]
    invoke-rc.d: initscript dhcp3-server, action “start” failed.

50. jaime
    April 23rd, 2009 at 2:42 am

    Solo quiero hacer una pequeña pregunta, tengo un ciber pequeño, e instale el ubuntu server 8, como servidor y las demas tienen maquinas windows, todo de maravilla, con solo tener el iptables y listo, no tengo instalado el squid ni el dhcp, todo es manual, y tambien tengo la conexion del infinitum. Pero mi problema es que no me deja cargar algunas paginas, como por ejemplo cuando quiero imprimir la CURP y ni tampoco algunas otras ventanas de la pagina de TELCEL, como es la de ver los mensajes multimedias que mandan, y aclaro, con windows como servidor si me las da bien, aunque no me gusta mucho, me cambie a linux, por su facilidad de conexion, pero ese es el problema que no he podido resolver, mi archivo iptable es el siguiente:
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -F
    iptables -X
    iptables -Z
    iptables -t -nat -F

    iptables -A INPUT -i lo -j ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
    iptables -A INPUT -p TCP -m state –state RELATED,ESTABLISHED -j ACCEPT

    Ademas, otra, no puedo o no me deja acceder a la pagina para instalar una impresora, aclaro, accedo al servidor a travez de ssh, y cuando escribo en el internet explorer lo siguiente: http://192.168.0.1:631 para acceder al servidor de cups, no me deja entrar, no puede resolver la direccion.

    Eso es todo, y agradeceria que me pudieran ayudar a resolver este pequeño problema, soy un nuevo usuario y se que linux es muy buen sistema, pero aun no lo conosco bien.
    de antemano muchas gracias

51. Fardier
    April 23rd, 2009 at 3:59 am

    Que tal yovany, vas a decir que molesto mucho pero casi no se de linux y te agradeceria una vez mas el apoyo que me has brindado.

    Como puedo hacer para que el control de ciber 1.539b de cbm pueda conectarse el programa sevidor y cliente en las respectivas maquinas; este programa utiliza el puerto 10000, que debo agregar o hacer.

    Nos leemos pronto!!!!!

52. stanis
    April 23rd, 2009 at 7:18 pm

    muchisimas gracias, logre configurarlo y me sirvio de mucho

53. jaime
    April 24th, 2009 at 1:04 am

    Nadie me puede ayudar, auxilio, es urgentisimo, que mis clientes se me van a otro ciber, ya poste el problema, alguien que me ayude

54. Fardier
    April 24th, 2009 at 1:21 am

    Que tal Jaime, te comento que yo segui todo lo del tutorial y me funciona perfecto todas las web y el msn, te aconsejo que lo configures tal cual y no tendras problemas.

    Ahora yo te pido ayuda porque el problema que tengo es que el control de ciber servidor no se conecta con los clientes cuando los paso a traves del proxy.

55. yovany
    April 24th, 2009 at 2:28 am

    Hola Jaime.

    Como dice Fardier lo que necesitas esta detallado en el tutorial, te recomiendo que lo leas para que entiendas un poco mas sobre las iptables no es dificil y asi si se te presenta algun problemas podras resolverlo sin ningun problema, a primera vista a tus iptables les hace falta varias reglas basicas para su buen funcionamiento.

    Quiero suponer que el servidor cuenta con sus dos tajertas donde eth0 te conecta a internet y eth1 a la red interna tomando esto de referencia

    iptables -F
    iptables -X
    iptables -Z
    iptables -t nat -F

    #Hay que definir que el servidor puede aceptar conexiones entrantes y salientes, prerouting y postrouting
    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT

    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE

    #Permitimos todas las conexiones q vengan desde nuestra red
    iptables -A INPUT -s 192.168.0.0/24 -i eth1 -j ACCEPT

    echo > /proc/sys/net/ipv4/ip_forward

    Pruebalo y nos cuentas

    PD Acudan a la FLISOL este sabado 25 de Abril en la cede de su ciudad, no falten..

56. yovany
    April 24th, 2009 at 2:38 am

    Hola Fardier.

    Para las iptables yo le indicaria que aceptara las conexiones al puerto 10000 dentro de nuestra red esto seria segun yo asi

    iptables -A INPUT -s 192.168.2.0/24 -d 192.168.2.0/24 -p tcp –dport 10000 -j ACCEPT

    Para el squid si este restringiera el puerto seria asi

    acl port_ciber port 10000

    http_access allow port_ciber

    Pruebalo y me cuentas como te fue

    Saludos

    PD Acudan a la FLISOL este sabado 25 de Abril en la cede de su ciudad, no falten..

57. yovany
    April 24th, 2009 at 2:41 am

    Hola stanis

    Me alegro mucho , espero te tengamos de vuelta por aqui, no olviden registrarse en el google friends XD, se ve muy vacio el espacio .

    PD Acudan a la FLISOL este sabado 25 de Abril en la cede de su ciudad, no falten..

    saludos

58. yovany
    April 24th, 2009 at 2:42 am

    Hola Rogelio.

    Podrias poner los comandos que ejecutaste y lo que te salio para poder checar por que salio el error.

    Saludos

59. jaime
    April 24th, 2009 at 2:50 am

    Bueno, yo con la configuracion que puse me da acceso a internet bien, No tengo squid ni dhcp, solo con las iptables, Mi internet y el msn andan bien, solo algunas paginas no la acepta, como por ejemplo la pagina para sacar al CURP, no me la da, me dice error, no se ha podido conectar al puerto 8080, ese es el error, y ps, solo queria saber si tendria que poner alguna regla en el iptable para que me dejara ver esas paginas, es lo unico, de ante mano muchas gracias.

60. jaime
    April 24th, 2009 at 3:20 am

    Hola Yovany, lo que me, grax por ayudarme, solo que vuelvo a explicar mi problema, ya tengo mi configuracion como la pusiste e igualmente, el internet va bien, solo algunas paginas que cargan por el puerot 8080, no me las quiere abrir, por ejemplo, en la pagina de Telcel, para checar los mensajes multimedias que te mandan, no me puede abrir esa ventana, pero en cambio, cuando tengo de servidor windows, si me abre bien todas las paginas… solo me pasa con linux. de antemano muchas gracias

61. yovany
    April 24th, 2009 at 3:27 am

    Hola Jaime.

    Curioso tu caso , mira podrias intentar con esto

    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 8080 -j ACCEPT

    Esto es para permitir el reenvio desde tu red con puerto de destino 8080.

    Espero te sirva, y comenta tus resultados.

    Saludos

62. Abaddon
    May 2nd, 2009 at 7:23 pm

    Hola Yovany disculpa que te moleste todo anda bien con mi server ubuntu pero no puedo acceder a paginas .microsoft.com desde las pc clientes alguna idea de como solucionarlo por lo demas todo bien
    gracias

63. Abaddon
    May 2nd, 2009 at 8:26 pm

    Hola otra vez sigo sin poder acceder a ninguna pagina que tenga “.microsoft.com”

64. Jojurdi
    May 3rd, 2009 at 5:01 am

    Hola Yovany he estado siguiendo tu tutorial y me parece muy completo, el motivo por el que te escribo es que yo tengo un pequeno problema con mi servidor el cual se conecta de forma inalambrica atraves de un modem con la direccion 192.168.1.132

    al momento de querer redireccionar todo hacia el puerto del squid en mi red 192.168.90.0/24 de forma transparente no me anda

    mis iptables son:
    iptables -X
    iptables -Z
    iptables -t nat -F

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -A POSTROUTING -s 192.168.90.0/24 -o wlan0 -j MASQUERADE

    iptables -t nat -A PREROUTING -s 192.168.90.0/24 -d ! 192.168.90.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

    iptables -A INPUT -s 192.168.90.0/24 -i eth0 -j ACCEPT

    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p tcp –dport 993 -j ACCEPT
    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p tcp –dport 110 -j ACCEPT
    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p tcp –dport 465 -j ACCEPT
    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p tcp –dport 25 -j ACCEPT

    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p tcp –dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p tcp –dport 443 -j ACCEPT

    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p tcp –dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.90.0/24 -i eth0 -p udp –dport 53 -j ACCEPT

    echo 1 > /proc/sys/net/ipv4/ip_forward

    de antemano gracias

65. Marco_M
    May 3rd, 2009 at 11:53 pm

    Hola, he seguido el tutotrial y todo anda bien, escepto 2 problemillas
    1) El Windows Live Messenger no se conecta de la version 8.5 en adelante las anteriores si funcionan bien.
    2) Tengo como 5 clientes que entran (entraban) a las subastas de autos de http://www.copart.com y ahora ya no pueden acceder a las subastas, estas trabajan con una plaicacion java y usa los puertos 5200 y 5201 y una gran lista de servidores. ya agregue esto en Squid: (chekalo haber si es correcto los que hice)
    acl port_copart port 5200
    acl port_copart2 port 5201
    acl msn_live port 1863

    http_access allow port_copart
    http_access allow port_copart2
    http_access allow msn_live

    a las iptables agregue esto:
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 5200 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 5201 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 1863 -j ACCEPT

    Espero se encuentre solucion, gracias

66. Jose
    May 17th, 2009 at 2:40 pm

    Hola a Todos y gracias por el manual, soy nuevo en este mundo de linux y toda las herramientas que trae.
    me esta gustando todo este mundo y me he metido a navegar e investigar.
    estado siguiendo el manual configurando solo squid y ha funcioando, ahora tengo una prejunta:

    puedo configurar dos accesos de IP – areacontable – todalared.

    craer dos reglas de accesos – sitescontables – sitestodalared

    lo que quiero hacer es que los del area de contabilidad se le bloque ciertas paguinas

    y los demas de la red se bloquen otras paginas distintas al area de contabilidad.

    es es posible realizando alguna configuracion???

    espero sus comentarios.

67. CiKillerMark
    June 2nd, 2009 at 5:33 pm

    hola yovany una ayuda: como se edita sites.lst porque dentro de esto se encuentra rapidshare , lo quiero sacar para que sea libre de acceso a rapidshare.

    gracias cuales son pasos ok.

    mi server es ubuntu server

68. btrax
    June 9th, 2009 at 10:30 pm

    hola yovani, tengo jalando el squid+dhcp, pero no es transparente, me tira las ip correctamente, sin embargo debo configurar el browser, adicional a esto no puedo iniciar msn, podrias orientarme para solucionar este detalle; te comento que el internet lo recibo por un modem hughes satelital,gracias de antemano.

69. carlos marsiglia
    June 25th, 2009 at 10:30 pm

    hola estuve leyendo tu tutorial y logre configurar mi servidor de dhcp+squid+iptable y me fue bien, pero tengo una duda como hago para obtener internet desde los clientes luego de desabilitar la opcion del proxy en el navegador del cliente, me gustaria q me ayudaras con esa partesita gracias …

70. Deeby
    June 27th, 2009 at 6:23 pm

    quisiera saber si utilizo el ebuddy pueden espiar mis conversaciones???

71. yovany
    June 28th, 2009 at 3:49 am

    Hola Carlos.

    En el tutorial se explica como establecer el proxy de forma trasnprente esto es que no sea necesaria la configuracion de los navegadores en los clientes, en especifico es con esta linea.

    iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

    Segun la configuracion de tu red, debes de modificar las direcciones Ip.

    Espero te sea de ayuda.

    Saludos.

72. yovany
    June 28th, 2009 at 3:57 am

    Hola Btrax.

    Seria muy bueno que postearas la configuracion de tu squid y de tus iptables para saber si el error esta en la configuracion de los scrips, lo del msn puede ser devido a esto.

    Espero lo puedas subir lo mas pronto para ayudarte.

    Saludos

73. yovany
    June 28th, 2009 at 4:06 am

    Hola CiKillerMark.

    Es muy sencillo, en consola teclea lo siguiente

    sudo gedit /etc/squid/sites.lst

    Se abrira el gedit y podras modificarlo es importante que sea con sudo para que puedas guardar los cambios de lo contraio no lo podras editar, despues recuerda que hay que reiniciar el servicio del squid para que cargue los nuevos parametros

    sudo /etc/init.d/squid restart

    Mientras se reinicia el servicio las conexiones a internet se cerraran momentanemente.

    Espero te sirva.

    Saludos

74. yovany
    June 28th, 2009 at 4:23 am

    Hola Jose.

    Claro que si se puede hacer, si has seguido el manual habras visto que se genera un archivo donde se guardan las paginas restringidas para toda la red, en este caso crearas otro archivo donde se guarden las paginas restringidas para el area contable , siguiendo el ejemplo del tutorial quedaria algo asi

    http_port 3128 transparent

    cache_mem 16 MB

    cache_dir ufs /var/spool/squid 700 16 256

    ie_refresh on

    offline_mode on

    acl all src 0.0.0.0/0.0.0.0
    acl red_local src 192.168.2.0/24
    acl contable src “/etc/squid/ipcontable.lst”
    acl sites url_regex “/etc/squid/sitescontables.lst”
    acl sites url_regex “/etc/squid/sitestodalared.lst”
    acl localhost src 127.0.0.1/255.255.255.255

    http_access deny red_local sitestodalared
    http_access deny contable sitescontables
    http_access allow red_local
    http_access allow localhost
    http_access deny all

    Esto quiere decir que se le negara al conjunto de ips llamado red_local las paginas dentro del archivo sitestodalared.lst y al conjunto de ips dentro del archivo ipcontable.lst se le negara el acceso a las paginas guardadas dentro del archivo sites contable, obviamente hay que crear los atchivos dentro de la ruta que se indica en la definicion de las reglas.

    Espero ser claro.

    Saludos

75. yovany
    June 28th, 2009 at 4:35 am

    Hola Marco_M

    Seria muy conveniente que postearas los archivos completos de configuracion de tus iptables y del squid, para checar cualquier errors en la configuracion.
    Aprimera vista no encuentro error en tus cambios, pero de entrada hay una duda si la aplicacion tambien se apodera de puerto del equipo local por que habria que agregar el permiso para que las iptables aceptaran conexiones de entrada de cualquier ip a cualquier ip de la red interna al puerto 5200 y 5201.

    Espero puedas postear tu configuracion, para poderte ayudar mas.

    Saludos.

76. yovany
    June 28th, 2009 at 4:39 am

    Hola Jojurdi.

    A las iptables hay que agregarle
    iptables -F
    Para que haga el Flush

    Tambien hay que checar que en la configuracion del squid este definido el puerto 3128 como tranparente

    http_port 3128 transparent

    Podrias checar esto, y postear la configuracion del squid y tus iptables, para poderte ayudar un poco mas.

    Saludos

77. FHER
    July 7th, 2009 at 7:48 am

    Disculpa pero como seria la configuracion de los clientes con res pecto a las ip y puerta de enlace. y dns

78. Jojurdi
    July 10th, 2009 at 1:34 pm

    Hola, gracias por contestarme, ya solucione el problema, el cual creo que estaba manejando mal mis direcciones de salida (lo que es equivocarse en un numerito )

    saluditos

    buen blog!

79. KrloS
    July 11th, 2009 at 9:50 pm

    Hola a todos solo me preguntaba si no es posible hacer nat a un squid con autentificacion para recivir correo desde clientes como Outlook Express y similares aunque debo decir que no es necesario auntentificarse contra el proxy para revisarlos desde una interfaz web ya que es un correo empresarial nada como gmail o yahoo.

    gracias desde ya!

80. Jose Gpe. Mejia Lopez
    July 15th, 2009 at 1:11 pm

    Hola eres hombre o mujer, y donde radicas

81. falu
    July 18th, 2009 at 11:35 am

    se pueden las mismas configuraciones enubuntu 9.04.

82. Marco_
    July 19th, 2009 at 8:07 pm

    Te pongo primero la conf del Squid creo, talves me puedes ayudar, he encontrado otro problema pueda que sea lo mismo, no se, intente subir a pagina web a un hosting con subdominio de iespana.es y no arranca la apliacion java que tienen como administrador de archivos, con otros gestores en linea de FTP si lo puedo hacer pero con esos en java no, ahi va el squid:

    http_port 3128 transparent

    cache_mem 16 MB
    cache_dir ufs /var/spool/squid 700 16 256

    ie_refresh on

    offline_mode on

    acl all src 0.0.0.0/0.0.0.0
    acl red_local src 192.168.2.0/24
    acl plus src “/etc/squid/plus.lst”
    acl sites url_regex “/etc/squid/sites.lst”
    acl localhost src 127.0.0.1/255.255.255.255
    acl port_copart port 5200
    acl port_copart2 port 5201
    acl msn_live port 1863

    http_access deny red_local !plus sites
    http_access allow red_local
    http_access allow localhost
    http_access allow port_copart
    http_access allow port_copart2
    http_access allow msn_live
    http_access deny all

    y aqui las Iptables:

    iptables -X
    iptables -Z
    iptables -t nat -F

    iptables -P INPUT ACCEPT
    iptables -P OUTPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -t nat -P PREROUTING ACCEPT
    iptables -t nat -P POSTROUTING ACCEPT
    iptables -t nat -P POSTROUTING -s 192.168.2.0/24 -o eth1 -j MASQUERADE

    iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

    iptables -A INPUT -s 192.168.2.0/24 -i eth2 -j ACCEPT

    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 993 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 110 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 465 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 25 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 443 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 21 -j ACCEPT

    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p udp –dport 53 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 5200 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 5201 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 1863 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 21 -j ACCEPT

    iptables -A FORWARD -p tcp –dport 1863 -j ACCEPT
    iptables -A FORWARD -p tcp –dport 6891:6900 -j ACCEPT
    iptables -A FORWARD -p tcp –dport 21 -j ACCEPT
    iptables -A FORWARD -p tcp –dport 6901 -j ACCEPT
    iptables -A FORWARD -p udp –dport 6901 -j ACCEPT

    iptables -A FORWARD -d 0/0 -j ACCEPT

    echo 1 > /proc/sys/net/ipv4/ip_forward

83. Marco_
    July 19th, 2009 at 8:10 pm

    disculpa soy Marco_M,
    que ya te habia consultado antes, te acabo de postear las configuraciones y tengo otro problema los MSN Messenger no entran… gracias

84. yovany
    July 20th, 2009 at 1:50 pm

    Hola Falu.

    Si, funciona para cualquier distribucion de linux, y hasta el momento nadie ha indicado que haya fallado en alguna distribucion en especial

    Saludos.

85. yovany
    July 20th, 2009 at 2:01 pm

    Hola Krlos

    Si tienes autenticacion en Squid el outlook trae modulos de configuracion de red donde se indican los datos de proxy y contraseñas para q autentique, si es esa tu pregunta, o puedes hacer que todas las ip de la red interna que intente hacer una conexion a x puerto no pasen por el squid y salgan directo a internet.

    Espero sea de tu ayuda.

    Saludos

86. yovany
    July 20th, 2009 at 2:13 pm

    Hola Fher.

    Todo va en relacion de quien te provea el servicio de dhcp, si siguies el tuto te indica paso a paso como se debe configuarar el dhcp y que ips son las que se distribuyen a los clientes y las consideraciones q debes de tener para que puedas navegar sin problemas.

    Saludos

87. yovany
    July 20th, 2009 at 2:19 pm

    Hola Marco_

    Es curioso que lo mensiones, pero al parecer hay ulgunas consideraciones que hay que tomar encuenta, eres la segunda persona que tiene problemas con aplicaciones java al implementar squid, has checado bien los puertos que usas para comunicarte y manejarlos de la forma correcta.

    Saludos

88. yovany
    July 20th, 2009 at 2:38 pm

    Hola Marco_

    Al perecer no hay nada rraro en la configuracion agrega al principio del script esto

    iptables -F

    para que cada vez que corras el script borre las reglas que se hayan quedado en memoria y cargue bien las del script.

    Saludos y estaremos checando el dato..

89. German
    July 21st, 2009 at 10:09 pm

    saludos
    tengo un problema , esta funcionando el servidor DHCP, SQUID, pero no puedo enviar ni recibir mail desde ningun ordenador, de antemano gracias por tu ayuda.

90. Marco_M
    August 25th, 2009 at 1:40 pm

    aun no he podido resolver nada del messenger ni los java, pero ahora tengo otra consulta, en un inicio yo no habia creado las listas de restriccion ni prohibido la descarga de archivos, pero ahora la veo necesaria y ya la implemente, pero me gustaria saber si existe alguna forma de autorizar temporalmente la descargar por ejemplo de .rar.
    el problema es que lo restringe bien, deje unas maquinas autorizadas y funciona bien, pero como es un cybercafe algun cliente le envian algo al mail comprimido en rar y no lo puede descargar
    ¿Se puede hacer algo o no?

91. Maxi Fernández
    September 6th, 2009 at 1:35 pm

    Hola Yovany, estoy intentando hacer mi servidor y me encuentro con algunas dificultades, espero que puedas ayudarme.
    Instale Ubuntu server 8.04.3 edite el archivo de las interfaces de esta manera

    auto eth0
    iface eth0 inet static

    address 10.0.0.10
    netmask 255.255.255.0
    gateway 10.0.0.2 (ip del modem)
    servidor DNS 10.0.0.2

    auto eth1
    iface eth1 inet static
    address 10.0.0.254
    netmask 255.255.255.0

    Despues de reiniciar hice un ping a google.com, con esto concluí que el server ya tenia conexion a internet. Ahora conecte la eth1 a un router y este a una pc a la que agrague la ip estatica siguiente
    address 10.0.0.20
    netmask 255.255.255.0
    gateway 10.0.0.254
    y como no conectaba le agreue al este cliente con sist operativo windows servidor dns 10.0.0.254 pero tampoco me sirvio para conectarme desde el cliente de windows
    Luego me propuce a instalar el servidor DHCP para ver si de esta manera me solucionaba el problema y al intentar poner este comando “sudo atp-get install dhcp3-server” me da este error “sudo: atp-get; command not found”, tambien intente “sudo atp-get update con igual resultado.
    Creo que demas esta decir que no necesito el servidor DHCP para solucionar mi problema pero lo expuse para que se sobre entienda que no soy muy entendido en esto.
    Espero puedas ayudarme

92. Servinat
    September 8th, 2009 at 6:40 pm

    Hola:
    Buen Manual recomendable funciona perfecto a excepcion de los siguiente:

    He configurado mi servidor con Dhcp+Squid+Iptable funciona pero no me bloquea las paginas que coloque en sites.
    Por lo que te escribo en verdad necesito ayuda

    La configuracion es la misma que está en tu post a excepcion que a mi no me funciona el bloqueo de alguna paginas

    Se te agradecela ayuda por anticipado

    Archivo squid.conf
    http_port 3128 transparent

    cache_mem 16 MB

    cache_dir ufs /var/spool/squid 700 16 256

    ie_refresh on

    offline_mode on

    acl all src 0.0.0.0/0.0.0.0
    acl emapalan src 192.168.2.0/24
    acl plus src “/etc/squid/plus.lst”
    acl sites url_regex “/etc/squid/sites.lst”
    acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
    acl localhost src 127.0.0.1/255.255.255.255

    http_access deny emapalan !plus sites
    http_access deny emapalan !plus files
    http_access allow emapalan
    http_access allow localhost
    http_access deny all

93. yovany
    September 28th, 2009 at 1:00 pm

    Hola Servinat.

    Tu problema puede estar en las iptables, verifica q estes redireccionando bien el trafico hacia el puerto del proxy.

    iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

    Checalo y nos comentas como te fue.

    Saludos.

94. yovany
    September 28th, 2009 at 1:04 pm

    Hola Maxi

    Tienes que verificar que este habilitado el forward en las iptables, esto te sirve para que las maquinas dentro de la red, detras de tu servidor puedan navegar, con la conexion de internet del servidor, checa que este esta linea en la cofiguracion de las iptables.

    echo 1 > /proc/sys/net/ipv4/ip_forward

    Si lo resuelves platicanos como lo hiciste.

    Suerte.

95. yovany
    September 28th, 2009 at 1:17 pm

    Hola Marco_M

    Si lo puedes hacer, creando una lista de ip’s con privilegios a las cuales no se les aplicaran las restriciones del squid, el detalle con esto es que cada vez q cambie el archivo tendras que reiniciar el squid, y al hacer esto todas las conexiones que esten pasando por el squid ha internet seran terminadas, hasta que el servicio reinicie de nuevo. lo que puedes hacer para disminuir esto es tener un script identico con tus iptables lo unico que cambiara es esta linea

    iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

    Esta linea es la que redirecciona el trafico de internet al puerto 3128 (proxy transparente) squid, al comentarla el trafico saldra de forma normal, entonces cada ves que necesites reiniciar el squid ejecutaras tus iptables modificadas, cuando termine de caragar ejecutas tus iptables normales y casi no se notara el cambio de conexion ; )

    Espero te sirva.

    Saludos

96. yovany
    September 28th, 2009 at 1:21 pm

    Hola German.

    Esto lo tienes que verificar en las iptables, asegurate de que este permitido hacer conexiones a los puertos de correo de entrada y salida. seria algo asi, obviamente con la configuracion de las ip de tu red e interfaces de red.

    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 993 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 110 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 465 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 25 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 80 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 443 -j ACCEPT
    iptables -A FORWARD -s 192.168.2.0/24 -i eth2 -p tcp –dport 21 -j ACCEPT

    Saludos

97. luis rodriguez
    September 28th, 2009 at 6:38 pm

    hola Compañeros soy un poco nuevo en esto he leido todo el foro y veo que a todos les funciona bien pero yo configure todo como dicen ustedes pero no me funciona.
    creo que es la parte del redirect yo uso iptables para el trafico interno como externo tengo esta lineas para realizar la salida a internet
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $lan -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $wan -j SNAT –to 196.40.18.42

    si coloco esta linea
    iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $wan -j SNAT –to 196.40.18.42
    como dicen ustedes nadie navega en ninguna pagina
    alguien podria ayudarme con eso?

98. yovany
    September 28th, 2009 at 8:22 pm

    Hola Luis

    A primera vista, te puedo comentar es que debes de cambiar las direcciones ip’s de las reglas por las que corresponde a la de tu red que puedo ver segun lo que escribes son de 192.168.0.0 a 192.168.0.254 ahora esto quedaria de la siguiente manera

    iptables -t nat -A PREROUTING -s 192.168.o.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

    Ahora, esta regla es para habilitar el proxy transparente, para que no tengas que poner la configuracion del proxy en cada una de las maquinas.

    Espero te sirva y si lo solucionas comenta como lo hiciste gracias.

    Saludos

99. luis rodriguez
    September 29th, 2009 at 9:09 am

    Hola yovany coloque la linea que me indicaste en el archivo que tengo de ip tables pero no me funciono me imagino que hace la redirecion bien pero no puedo las personas que tiene como gateway de salida esta maquina no navegan no se si sera la configuracion del proxy o a las maquinas clientes hay que cambiarles algo o no hay que indicarle al proxy cual es la direccion publica mediante la cual van ha salir a internet las maquinas.

100. yovany
     September 29th, 2009 at 10:05 am

     Hola Luis.

     Pueden ser varias cosas, postea tu cofiguracion de squid e iptables, y dhcp para ver donde puede estar el error.

     Saludos

101. luis rodriguez
     September 29th, 2009 at 12:09 pm

     ok yonany
     aqui esta mi configuracion de iptables con esta config manejo dos lineas de internet y redireciono a diferentes servidores internos.

     #!/bin/bash
     #
     # Load appropriate modules.
     # Luis Rodriguez.
     # septiembre, 29, 2009
     #

     # Establecer modulos del kernel
     modprobe ip_tables
     modprobe ip_conntrack
     modprobe iptable_nat

     wan=”eth1″
     lan=”eth0″

     # Habilitar IP FORWARDING
     echo 1 > /proc/sys/net/ipv4/ip_forward

     # Inicializado de reglas
     iptables -F INPUT
     iptables -F OUTPUT
     iptables -F FORWARD
     iptables -t nat -F
     iptables -t nat -F PREROUTING
     iptables -t nat -F POSTROUTING
     iptables -X
     iptables -Z

     # Politicas por defecto
     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -A INPUT -i lo -j ACCEPT
     iptables -A OUTPUT -o lo -j ACCEPT
     # iptables -A FORWARD -j ACCEPT

     # Reestricciones de navegacion de la red de cero riesgo
     iptables -A FORWARD -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -d ceroriesgo.co.cr -j ACCEPT
     iptables -A FORWARD -s ceroriesgo.co.cr -d 192.168.0.0/24 -j ACCEPT
     #iptables -A FORWARD -s java.ceroriesgo.co.cr -d 192.168.0.0/24 -j ACCEPT
     #iptables -A FORWARD -s 196.40.18.44 -d 192.168.0.0/24 -j ACCEPT
     #iptables -A FORWARD -s 192.168.0.0/24 -d java.ceroriesgo.co.cr -j ACCEPT

     #restricciones de navegacion

     # Redireccion de red publica (WAN)
     #iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -j DNAT –to 192.168.0.13
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.1:80
     iptables -t nat -A PREROUTING -i $wan -d 1/my/ip/publico/ -p tcp –dport 3000 -j DNAT –to 192.168.0.1:3000
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 25 -j DNAT –to 192.168.0.1:25
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 110 -j DNAT –to 192.168.0.1:110
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.6:80
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.16:5222
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.6:80
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.16:5222
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 3000 -j DNAT –to 192.168.0.1:3000
     iptables -t nat -A PREROUTING -i $wan -d /my/ip/publico/ -p tcp –dport 25 -j DNAT –to 192.168.0.1:25

     # Redireccion de red privada (LAN)
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -j DNAT –to 192.168.0.1
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 110 -j DNAT –to 192.168.0.1:110
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 25 -j DNAT –to 192.168.0.1:25
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.6:80
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.16:5222
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.6:80
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 80 -j DNAT –to 192.168.0.16:5222
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 110 -j DNAT –to 192.168.0.1:110
     iptables -t nat -A PREROUTING -i $lan -d /my/ip/publico/ -p tcp –dport 25 -j DNAT –to 192.168.0.1:25

     # Enmascaramiento de red interna para navegar

     iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o $lan -j MASQUERADE
     #iptables -t nat -A PREROUTING -s 192.168.0.86 -p tcp –dport 80 -j REDIRECT –to-port 3128
     #iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
     #iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
     iptables -t nat -A POSTROUTING -m iprange –src-range 192.168.0.65-192.168.0.254 -o $wan -j SNAT –to /my/ip/publico/
     iptables -t nat -A POSTROUTING -m iprange –src-range 192.168.0.0-192.168.0.64 -o $wan -j SNAT –to /my/ip/publico/

     #bloqueo de puertos
     #iptables -I FORWARD 1 -p tcp –dport 3001:65535 -j DROP
     iptables -I FORWARD 1 -p tcp –dport 1900 -j DROP
     iptables -I FORWARD 1 -p tcp –dport 5222 -j ACCEPT

     y esta es mi configuracion del squid que en realidad es la misma que colocaron mas arriba

     http_port 3128 transparent

     cache_mem 16 MB

     cache_dir ufs /var/spool/squid 700 16 256

     ie_refresh on

     offline_mode on

     acl all src 0.0.0.0/0.0.0.0
     acl red_local src 192.168.2.0/24
     acl plus src “/etc/squid/plus.lst”
     acl sites url_regex “/etc/squid/sites.lst”
     acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
     acl localhost src 127.0.0.1/255.255.255.255

     http_access deny red_local !plus sites
     http_access deny red_local !plus files
     http_access allow red_local
     http_access allow localhost
     http_access deny all

102. yovany
     September 29th, 2009 at 12:26 pm

     Hola Luis.

     Tienes un problema, si hubieras seguido el tutorial habria funcionado bien, tu problema fue que solo copiaste y pegaste y obviamente la configuracion que seguimos desde un principio no la tienes, tienes que adecuar los scripst segun la configuracion de TU RED a simple vista el squid esta mal por que solo le estas asignando permiso de navegar a un rango de ip’s que no corresponde a la de tu lan por eso nadie puede navegar

     El tutorial explica que hace cada una de las lineas de los scripts y si hubieras sido un poco mas atento te hubieras dado cuenta del detalle, tu error esta aqui.
     acl all src 0.0.0.0/0.0.0.0
     acl red_local src 192.168.2.0/24 <——Cambia por el rango de Ip's de tu red
     acl plus src "/etc/squid/plus.lst"
     acl sites url_regex "/etc/squid/sites.lst"
     acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
     acl localhost src 127.0.0.1/255.255.255.255

     Checalo y nos comentas como te fue..

     Saludos

103. Fredy_r
     October 2nd, 2009 at 11:59 am

     hola saludos a todos y felicito a yovany por este tutorial de Squid,

     bueno yo tambien soy nuevo en el mundo linux y me ha gustado mucho

     sigui el manual tal como esta, lo unico que no hice como esta fue el colocar mi etho automatico es el conecta a internet y mi eth1 mi red interna 192.168.1.0. mi gran problema es que cuando reinicio el Linux Ubuntu 9.04 me dice que hay el siguiente error en IPTABLES “ivalid target name MASQUERADE”

     mi IPTABLES

     iptables -F
     iptables -X
     iptables -Z
     iptables -t nat -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT
     iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

     iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

     iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT

     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 993 -j ACCEPT
     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT
     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 465 -j ACCEPT
     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT
     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 80 -j ACCEPT
     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 443 -j ACCEPT
     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 53 -j ACCEPT
     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp –dport 53 -j ACCEPT

     echo 1 > /proc/sys/net/ipv4/ip_forward

     mi SQUID 2.7

     http_port 3128 transparent
     visible_hostname servercct

     cache_dir ufs /var/spool/squid 20000 16 256

     acl SSL_ports port 1863
     acl SSL_ports port 113 563 587 25
     acl SSL_ports port 443 # https
     acl SSL_ports port 80 # snews
     acl SSL_ports port 6346-6353
     acl SSL_ports port 6891-6900
     acl SSL_ports port 6901
     acl SSL_ports port 21 # rsync
     acl SSL_ports port 995 # gss-http
     acl Safe_ports port 443 25 # http
     acl Safe_ports port 70 # ftp
     acl Safe_ports port 210 # https
     acl Safe_ports port 1025-65535 # gopher
     acl Safe_ports port 280 # wais
     acl Safe_ports port 488 # unregistered ports
     acl Safe_ports port 591 # http-mgmt
     acl Safe_ports port 995 # gss-http
     acl Safe_ports port 777 # filemaker
     acl Safe_ports port 631 # multiling http
     acl Safe_ports port 873 # cups
     acl Safe_ports port 901 # rsync
     acl Safe_ports port 6901
     acl Safe_ports port 8013
     acl Safe_ports port 1380
     acl Safe_ports port 7001
     acl Safe_ports port 1843
     acl Safe_ports port 5004-65535
     acl Safe_ports port 1863
     acl CONNECT method CONNECT # SWAT
     acl purge method PURGE
     acl all src all

     acl localnet src 192.168.1.0/24
     acl ipermitidas src “/etc/squid/permitidos”

     ## sitios blo queados
     #acl sitiosdenegados url_regex “etc/squid/sitiosdenegados”
     #http_access deny sitiosdenegados
     ## exenciones bloquiadas
     ##acl listaextensiones urlpath_regex “/etc/squid/listaextensiones”
     ##http_access deny listaextensiones

     http_access allow localnet
     http_access allow ipermitidas
     http_access deny all

     error_directory /usr/share/squid/errors/Spanish

     cache_mgr cctmedellin@yahoo.com.co

     access_log /var/log/squid/access.log

     mi RED

     # This file describes the network interfaces available on your system
     # and how to activate them. For more information, see interfaces(5).

     # The loopback network interface
     auto lo eth0
     iface lo inet loopback

     # The primary network interface
     iface eth0 inet dhcp
     post-up iptables-restore < /etc/iptables.up.rules

     auto eth1
     iface eth1 inet static
     address 192.168.1.1
     netmask 255.255.255.0
     gateway 190.242.64.33

     gracias,

104. yovany
     October 2nd, 2009 at 8:50 pm

     Hola Fredy_r

     Mira alparecer todo esta bien excepto esto

     # The loopback network interface
     auto lo eth0 <—
     iface lo inet loopback

     Borra eth0, por que se supone que estas haciendo referencia al loopback para que quede asi:

     # The loopback network interface
     auto lo
     iface lo inet loopback

     Checalo y si lo haces funcionar no olvides postear como lo hiciste ; )

     Suerte.

105. Fredy_r
     October 5th, 2009 at 9:05 am

     Hola Yovany, gracias por contestarme:
     Mira ya cambie lo que me sugeriste, pero sigo sin tener mi Squid totalmente transparente, tampoco puedo hacer que se pueda conectar el MSN por CAM, el iptable cuando lo dejo que se inicie con el Linux produce errores pero cuando lo escribo manual mente y veo las reglas el iptables me las recibe, no sé qué he hecho mal

     MI INTERFACES:

     # This file describes the network interfaces available on your system
     # and how to activate them. For more information, see interfaces(5).
     # The loopback network interface
     auto lo
     iface lo inet loopback

     # The primary network interface
     auto eth0
     iface eth0 inet dhcp

     auto eth1
     iface eth1 inet static
     address 192.168.1.1
     netmask 255.255.255.0

     MI SQUID 2.7

     http_port 3128 transparent
     visible_hostname servercct

     cache_dir ufs /var/spool/squid 20000 16 256

     ie_refresh on

     offline_mode on

     acl SSL_ports port 1863
     acl SSL_ports port 113 563 587 25
     acl SSL_ports port 443 # https
     acl SSL_ports port 80 # snews
     acl SSL_ports port 6346-6353
     acl SSL_ports port 6891-6900
     acl SSL_ports port 6901
     acl SSL_ports port 21 # rsync
     acl SSL_ports port 995 # gss-http
     acl Safe_ports port 443 25 # http
     acl Safe_ports port 70 # ftp
     acl Safe_ports port 210 # https
     acl Safe_ports port 1025-65535 # gopher
     acl Safe_ports port 280 # wais
     acl Safe_ports port 488 # unregistered ports
     acl Safe_ports port 591 # http-mgmt
     acl Safe_ports port 995 # gss-http
     acl Safe_ports port 777 # filemaker
     acl Safe_ports port 631 # multiling http
     acl Safe_ports port 873 # cups
     acl Safe_ports port 901 # rsync
     acl Safe_ports port 6901
     acl Safe_ports port 8013
     acl Safe_ports port 1380
     acl Safe_ports port 7001
     acl Safe_ports port 1843
     acl Safe_ports port 5004-65535
     acl Safe_ports port 1863
     acl CONNECT method CONNECT # SWAT
     acl purge method PURGE
     acl all src all

     acl localnet src 192.168.1.0/24
     #acl ipermitidas src “/etc/squid/permitidos”

     ## sitios blo queados
     #acl sitiosdenegados url_regex “etc/squid/sitiosdenegados”
     #http_access deny sitiosdenegados
     ## exenciones bloquiadas
     ##acl listaextensiones urlpath_regex “/etc/squid/listaextensiones”
     ##http_access deny listaextensiones

     http_access allow localnet
     #http_access allow ipermitidas
     http_access deny all

     error_directory /usr/share/squid/errors/Spanish

     cache_mgr cctmedellin@yahoo.com.co

     access_log /var/log/squid/access.log

     MI IPTABLES:

     sudo iptables -F
     sudo iptables -Z
     sudo iptables -X
     sudo iptables -t nat -F
     sudo iptables -P INPUT ACCEPT
     sudo iptables -P OUTPUT ACCEPT
     sudo iptables -P FORWARD ACCEPT
     sudo iptables -t nat -P PREROUTING ACCEPT
     sudo iptables -t nat -P POSTROUTING ACCEPT
     sudo iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
     iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
     sudo iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 993 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 465 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 80 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 443 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 53 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp –dport 53 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 1863 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p udp –dport 5000:65535 -j ACCEPT
     sudo iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 5000:65535 -j ACCEPT
     echo 1 > /proc/sys/net/ipv4/ip_forward

106. yovany
     October 5th, 2009 at 3:23 pm

     Hola Fredy_r

     Mira en tu script del squid he notado otro error entu regla acl para todos

     acl all src all

     cambialo para que quede asi:

     acl all src 0.0.0.0/0.0.0.0

     Y sobre los errores que genera en automatico seria bueno que postaearas los mensaje para saber, que es lo que esta fallando.

     Saludos.

107. Fredy_r
     October 6th, 2009 at 11:08 am

     Hola yovany
     Gracias su ayuda es invaluable
     Mira este es el error que muestra mi Linux cuando activo el IPTABLES automático durante el inicio.
     Pero mi Squid no es Transparente, y aunque escriba el IPTABLES de manera manual no se conecta la cam del MSN,

     Iptables : No chain/target/match by that name
     Iptables: Bad policy name
     Iptables v1.4.1.1: Invalid target name ‘MASQUERADE
     Iptables v1.4.1.1: Invalid target name ‘accept

108. yovany
     October 6th, 2009 at 8:32 pm

     Hola Fredy_r

     Mira al parecer todo esta bien no veo nada extraño, solo un detalle la ultima linea la que activa el forwarding

     echo 1 > /proc/sys/net/ipv4/ip_forward

     esto debe de ser asi

     echo 1 > /proc/sys/net/ipv4/ip_forward

     Por alguna razon el worpress cambia el caracter pruebalo y nos cuentas como te fue.

     Saludos

109. Fredy_r
     October 7th, 2009 at 8:43 am

     si todo está bien no sé qué es lo que pasa con mi Linux, me tocara reinstalarlo?

     dices que la ultima línea

     echo 1 > /proc/sys/net/ipv4/ip_forward

     cual carácter es? el que cambia el worpress

     Pregunta? al usar la expresión en el archivo para el IPTABLES cuál es el correcto

     sudo iptables -F

     o

     iptables -F

     Yovany,

     nuevamente gracias por contestar mis preguntas

110. yovany
     October 7th, 2009 at 10:16 am

     Hola Fredy_r

     El caracter que cambia es el mayor que “>” lo correcto es

     iptables -F

     Sin el sudo por que el archivo ya se ejecuta chrooted, al archivo hay que darle permisos y programar su ejecucion con el

     sudo rcconf

     y selecionas el archivos de las iptables.

     No creo que sea necesario reinstlarlo, debe de haber algo que estamos omitiendo y no nos damos cuenta, trata de seguir el tuto, y ver si no hay nada anormal

111. Fredy_r
     October 7th, 2009 at 11:15 am

     ok, gracias

     Yovany, como hago para abir los puertos para que la CAM del MSN se conecte, en mi caso es indispensable hacer que las personas tengan video llamada por el MSN, que el Outlook 2007 pueda bajar los emails.

112. Fredy_r
     October 7th, 2009 at 11:33 am

     Ya lo hice pasa a paso, lo diferente es que mi etho que va directamente al modem de mi proveedor si le coloco IP fijas no tiene acceso a internet, el resto es casi igual
     Lo del IPTABLES lo volví a reconfigurar y me sigue el mismo error, el Squid manejado desde el WEBMIN me muestra un firewall que lo direcciona al /etc/iptables.up.rules esto sirve de algo, será posible enviarte la información para que accedas a mi Linux ya sea por el WEBMIN o por el PUTTY?
     No quiero morir en el intento, pues el Linux me ha gustado mucho

113. Fredy_r
     October 14th, 2009 at 10:02 am

     hola Yovany, no volviste a contestar

     disculpa si algo te molesto

114. yovany
     October 14th, 2009 at 11:22 pm

     Hola Fredy_r

     Nada de eso, es solo q he tenido mucho trabajo, ahora ando de viaje por mazatlan , pero ahora q tenga un artito y me lo permites le puedo hechar un ojo por ssh y vemos q es lo que tiene aun que te puedo decir q el web mun no es muy recomendable para iptables no hay nada como hacerlo a la vieja usansa.

     Saludos espero nos conoscamos pronto.

     PD En el mar la vida es mas sabrosa

115. Fredy_r
     October 15th, 2009 at 9:28 am

     OK. Yovany gracias eres un buena persona y claro que me gustaría conocerlo solo dime por que medio le es mejor

     gracias

116. eduardo
     October 15th, 2009 at 2:12 pm

     al ejecutar /etc/networking, me manda el siguiente error RTNETLINK aswers: no such process

117. eduardo
     October 16th, 2009 at 2:48 pm

     buenas tardes, primeramente felicitar por este manual esta muy bien para principiantes como yo, pero tengo este problema, miren tengo mi servidor con dos tarjetas de red eth0 192.168.1.130, que es la que me asigna el modem infinitum, tengo la eth1 con direccion 192.168.2.1 que es la que puse segun el manual, ya instalado todo segun el manual conecto el cable de eth1 a una computadora dentro de la red interna le asigna la ip 192.168.2.151, le hago ping de esa computadora a la 192.168.1.130 y tengo respuesta, a la 192.168.2.1 y tengo respuesta, le hago ping al 192.168.1.254 modem y no tengo respuesta desde el servidor ejecuto ping al 192.168.1.254 y tengo respuesta e internet ping a la 192.168.1.130 tengo respuesta a la 192.168.2.1 tengo respuesta a la 192.168.2.151 y tengo respuesta pero no tengo internet en la 192.158.2.151 me podria indicar alguien como solucionar esto

118. yovany
     October 16th, 2009 at 10:46 pm

     Hola eduardo.

     Por lo visto tu problema no es la conexion, puesto que puedes hacer los pings correspondientes, de la ip 151 nunca vas a poder hacer un ping al modem puesto que no estas en la misma red 192.168.1.0/24 a esa red solo pertenece el server, y este es el que te proveera de los servicio correpondientes si no fuera asi el server saldria sobrando y no es el caso, te recomiendo que postees la configuracion de tus iptables y de tu squid para revisar donde puede estar el error.

     Saludos.

119. Ivisor
     October 18th, 2009 at 2:03 pm

     Hola: buenos dias. He seguido el tutorial al pie de la letra, pero aun no logro hacer que mi maquina cliente (xp) me muestre las paginas de internet. Me conecto por messenger y cuando realizo pings me los devuelve pero aun no encuentro el porque no me habre ninguna pagina de internet. Mi archivo de iptables es el siguiente:
     iptables -X
     iptables -Z
     iptables -t nat -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT
     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

     iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

     iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 993 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 465 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 80 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 443 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 53 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp –dport 53 -j ACCEPT

     echo 1 > /proc/sys/net/ipv4/ip_forward

     Espero me puedas ayudar si aun administras este foro

120. Ivisor
     October 18th, 2009 at 2:19 pm

     tambien te mando el archivo squid.conf

     http_port 3128 transparent

     cache_mem 16 MB

     cache_dir ufs /var/spool/squid 700 16 256

     ie_refresh on

     offline_mode on

     acl all src 0.0.0.0/0.0.0.0
     acl red_local src 192.168.2.0/24
     acl plus src “/etc/squid/plus.lst”
     acl sites url_regex “/etc/squid/sites.lst”
     acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
     acl localhost src 127.0.0.1/255.255.255.255

     http_access deny red_local !plus sites
     http_access deny red_local !plus files
     http_access allow red_local
     http_access allow localhost
     http_access deny all

121. Angel
     October 18th, 2009 at 10:16 pm

     Bueno nada mas pasaba para decirte que ereslo maximo haces que lo dificil se vea facil, gracias por elgran aporte que haz logrado he buscado bastanteinformacion por la red sin encontrar ningun resuldo como el tuyo bueno pero como soy nuebo en el mundo de linux y esto delos server, he logrado levantar el proxy pero el problema es que el cache no sube de tamaño llega a pesar 1 o 2 megas NOTA son 40 maquinas navegando todo el dia, no deniega las direcciones plus ni los de la lista sites no se en que me hable equivocado mi configuracion es esta

     iptables -F
     iptables -X
     iptables -Z
     iptables -t nat -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT
     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

     iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

     iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 993 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 465 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 80 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 443 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 53 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp –dport 53 -j ACCEPT

     echo 1 > /proc/sys/net/ipv4/ip_forward

     visible_hostname proxy.miproxy.local
     http_port 3128 transparent
     cache_mem 16 MB

     cache_dir ufs /var/spool/squid 1024 16 256

     ie_refresh on

     offline_mode on

     acl all src 0.0.0.0/0.0.0.0
     acl red_local src 192.168.2.0/24
     acl plus src “/etc/squid/plus.lst”
     acl sites url_regex “/etc/squid/sites.lst”
     acl files url_regex -i .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg .3gp .swf
     acl localhost src 127.0.0.1/255.255.255.255

     http_access deny red_local !plus sites
     http_access deny red_local !plus files
     http_access allow red_local
     http_access allow localhost
     http_access deny all

     Seria deGran ayuda tu respuesta

122. ANgel
     October 19th, 2009 at 7:07 pm

     Hola yovani Otra vez yo no logro conseguir que cachee ni bloquee nada x fa dame una manito, una preguntita mas dime como prodria hacer para unir 2 lineas y repartirlas como una sola mira tengo 2 routers cada uno tiene 1.2 mb y lo que quiero es unir esas 2 lineas en mi servidor y repartirlas por un swicth de 32 puertos xfa una ayudita

123. Fredy_r
     October 20th, 2009 at 8:45 am

     hola yovany
     me gustaría saber por que medio nos podemos contactar en vivo,

     gracias

124. yovany
     October 20th, 2009 at 8:30 pm

     Hola Ivisor…

     Al parecer las iptables y el squid estan bien, platicanos como esta la configuracion de tu red, ip’s, como se conecta el server a internet todo eso para tratar de encontrar donde esta el problema, tu configuracion de dhcp si, las maquinas obtienen bien la direccio de forma automatica todo eso, por q las maquinas para que puedan navegar deven de tener como dns el dns q utiliza el router para conectarse a internet si no nunca ni apatadas lo vas a hacer jalar, y algo que me toco aprender a la mala como muchas cosas de aqui

     Saludos y esperamos tu repuesta.

     Y apoyen en twitter a #internetnecesario no a los impuestos por el uso de internet en mexico.

125. yovany
     October 20th, 2009 at 8:44 pm

     Hola ANgel.

     Eso seria algo interesante, nunca lo e hecho pero seria bueno investigar como, sobre tu problema igual que ivisor, platicanos como esta tu configuracion por que asi es muy dificil saber que puede estra mal, recuerda que nadie conoce mejor tu red como tu mismo unos tips q pueden ayudar a la resolucion del problema.

     1.-Verifica que el servidor asigne bien las ips, si no lo hace verifica tu configuracion del DNS
     2.- Despues puedes compartir el internet asi
     iptables -F
     iptables -X
     iptables -Z
     iptables -t nat -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT
     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
     echo 1 > /proc/sys/net/ipv4/ip_forward

     esta configuracion de iptables es la mas basica solo activa el forward para que puedas compartir la conexion del ser ver

     3. Si puedes navegar todo va bien ahora configura el squid y el proxy de forma manual en la navegadores si bloque las paginas vamos bie solo restaria hacer el proxy transparente.

     El chiste de esto es verificar q las cosas funcionen desde el principio si no lo final nunca servira y sera mas dificil determinar donde esta el problema.

     Checalo y nos cuentas como te fue Ok
     Saludos

     Y apoyen en twitter a #internetnecesario no a los impuestos por el uso de internet en mexico.

126. eduardo
     October 20th, 2009 at 10:54 pm

     HOLA JOVANY GRACIAS POR CONTESTAR, FIJATE QUE SIGO CON EL MISMO PROBLEMA, NO SALGO DE AHI, Y BUENO LO MEJOR ES APRENDER FIJATE QUE EJECUTO NUEVAMENTE TODO EL MANUAL Y ME SALE A LA PERFECCION PERO NADA NI TENGO INTERNET EMPEZARE COMENTANDO LO SIGUIENTE
     AL REINICIAR EL EQUIPO VUELVO A EJECUTAR DESDE ROOT /etc/init.d/networking restart y me sale un error de RTNETLINK answers….y despues lo que comentas en el manual
     if-up.d/mountnfs[eth0]: waiting for interface eth1 before doing NFS mounts [ OK ]
     bueno al ejecutar el rcconf que son los archivos que carga el equipo unicamente tengo para cargar el archivo iptables.cf, lo unico que tengo instalado tambien en este equipo es apt-get install iptables mas no asi ningun archivo configurado en cuanto a las iptables que este presente en el rcconfig al momento de encender el equipo, tengo acceso a el via remota y via internet ya que mi modem no lo tengo configuraco como dmz si con aplicaciones definidas por el usuario unicamente por puertos que yo deseo 80,22,25,10000,3306,etc.., y el archivo iptables.conf es
     iptables -F

     iptables -X
     iptables -Z
     iptables -t nat -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT
     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

     iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

     iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 993 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 465 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 80 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 443 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 53 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp –dport 53 -j ACCEPT

     echo 1> /proc/sys/net/ipv4/ip_forward

     es mas ya cambien en este archivo
     /etc/sysctl.conf
     la opcion
     net.ipv4.ip_forward = 0 por 1 y la descomente y ni asi tengo internet a la red interna?

127. eduardo
     October 20th, 2009 at 11:04 pm

     nuevamente, ya que se me olvido comentar que la tarjeta de red es una 3Com Corporation 3c905C-TX ya le movi al archivo /etc/modules.conf , y le agrege alias eth0 3c59x igual al archivo /etc/modprobe.conf lo mismo y despues ejecute
     depmod -a y ni asi tengo internet es mas remotamente le acabo de dar /etc/init.d/networking restart y ya se trabo el servidor, espero respuesta

128. eduardo
     October 20th, 2009 at 11:06 pm

     perdon error de dedono puse alias eth0 3c59x, sino eth1 3c59x que es la 3 com pciy la eth0 es la que viene en la mother

129. eduardo
     October 22nd, 2009 at 2:55 pm

     hola yovany te envio el archivo iptable que tengo en mi maquina me podrias indicar que cambios tengo que hacer para que eth1 escuche a eth0 pase el internet, y como activarlo desde arranque, despues entienedo tendre que usar el itables.cf para squid
     el iptables.save es
     # Generated by iptables-save v1.2.11 on Thu Mar 1 11:25:09 2007

     *nat

     REROUTING ACCEPT [0:0]

     :OUTPUT ACCEPT [0:0]

     OSTROUTING ACCEPT [0:0]

     # Forward HTTP connections to Squid proxy

     COMMIT

     # Completed on Thu Mar 1 11:25:09 2007

     # Generated by iptables-save v1.2.11 on Thu Mar 1 11:25:09 2007

     *filter

     :FORWARD ACCEPT [0:0]

     :INPUT ACCEPT [0:0]

     :OUTPUT ACCEPT [0:0]

     -A FORWARD -o eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_OUT:

     -A FORWARD -i eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_IN:

     -A OUTPUT -o eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_OUT:

     -A INPUT -i eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_IN:

     -A INPUT -m mac -i eth0 –mac-source 00:14:a5:a0:a8:fa -j DROP

     -A INPUT -m mac -i eth0 –mac-source 00:40:F4:F3:DD:1B -j DROP

     -A INPUT -p tcp -m tcp –dport 80 –sport 80 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 631 –sport 631 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 3306 –sport 3306 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 10000 –sport 10000 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT

     -A INPUT -p tcp -m tcp –dport 22 –sport 22 -j ACCEPT

     -A INPUT -p tcp -m tcp –dport 110 -j ACCEPT

     -A FORWARD -m mac -i eth0 –mac-source 00:40:F4:F3:DD:1B -j DROP

     # Banneado

     -A FORWARD -m mac -i eth0 –mac-source 00:12:F0:D1:B9:CC -j DROP

     -A FORWARD -m mac -i eth0 –mac-source 00:40:F4:F3:DD:1B -j DROP

     -A INPUT -p udp -m udp –dport 443 -j ACCEPT

     -A FORWARD -m mac -i eth0 –mac-source 00:19:d2:ae:86:cc -j DROP

     -A FORWARD -m mac -i eth0 –mac-source 00:14:a5:a1:24:88 -j DROP

     -A INPUT -p tcp -m tcp –dport 1521 –sport 1521 -j ACCEPT

     COMMIT

     # Completed on Thu Mar 1 11:25:09 2007

     # Generated by iptables-save v1.2.11 on Thu Mar 1 11:25:09 2007

     *mangle

     REROUTING ACCEPT [1056390:847954385]

     :INPUT ACCEPT [32881:3567382]

     :FORWARD ACCEPT [1022282:844098990]

     :OUTPUT ACCEPT [32456:23403292]

     OSTROUTING ACCEPT [1053733:855984949]

     COMMIT

     # Completed on Thu Mar 1 11:25:09 2007

     te agradecere me comentes al respecto
     saludo2

130. yovany
     October 22nd, 2009 at 7:54 pm

     Hola Eduardo.

     Crea el archivo de tus iptables dentro del directorio
     /etc/init.d/
     Y asiganale permisos de ejecucion
     sudo chmod a+x /etc/init.d/iptables.cf
     despues instala el rcconf
     sudo apt-get install rcconf
     ejecutalo con
     sudo rcconf
     y te aparecera una lista de los archivos dentro de directorio /etc/init.d/ solo selecionas el de iptables.cf y listo

     Encuanto a tus iptables no veo la linea que hace el maquerade agrega la siguiente linea a tus iptables

     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

     esto indica que todas las conexiones con origen 192.168.2.0/24 saldran por la interface eth0
     y por ultimo el proxy transparente
     iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

     verifica tambien q el dhcp este asignando bien las ip recuerda que el dns de los clientes debe ser el mismo q asigana el router o moden al q se conecta el servidor de lo contrario nunca vas a navegar en internet

     Saludos

131. eduardo
     October 22nd, 2009 at 8:25 pm

     hola govany nuevamente:
     ya me hice algo de pelotas veraz originalmente tengo dos archivos iguales que son con estas rutas:
     1.- /etc/iptables.up.rules
     2.- /etc/webmin/firewall/iptables.save
     estos archivos tienen el mismo contenido que es
     # Generated by iptables-save v1.2.11 on Thu Mar 1 11:25:09 2007
     *nat
     REROUTING ACCEPT [0:0]
     :OUTPUT ACCEPT [0:0]
     OSTROUTING ACCEPT [0:0]
     # Forward HTTP connections to Squid proxy
     COMMIT
     # Completed on Thu Mar 1 11:25:09 2007
     # Generated by iptables-save v1.2.11 on Thu Mar 1 11:25:09 2007
     *filter
     :FORWARD ACCEPT [0:0]
     :INPUT ACCEPT [0:0]
     :OUTPUT ACCEPT [0:0]
     -A FORWARD -o eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_OUT:
     -A FORWARD -i eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_IN:
     -A OUTPUT -o eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_OUT:
     -A INPUT -i eth0 -j LOG –log-level 7 –log-prefix BANDWIDTH_IN:
     -A INPUT -m mac -i eth0 –mac-source 00:14:a5:a0:a8:fa -j DROP
     -A INPUT -m mac -i eth0 –mac-source 00:40:F4:F3:DD:1B -j DROP
     -A INPUT -p tcp -m tcp –dport 80 –sport 80 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 631 –sport 631 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 3306 –sport 3306 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 10000 –sport 10000 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 443 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 22 –sport 22 -j ACCEPT
     -A INPUT -p tcp -m tcp –dport 110 -j ACCEPT
     -A FORWARD -m mac -i eth0 –mac-source 00:40:F4:F3:DD:1B -j DROP
     # Banneado
     -A FORWARD -m mac -i eth0 –mac-source 00:12:F0:D1:B9:CC -j DROP
     -A FORWARD -m mac -i eth0 –mac-source 00:40:F4:F3:DD:1B -j DROP
     -A INPUT -p udp -m udp –dport 443 -j ACCEPT
     -A FORWARD -m mac -i eth0 –mac-source 00:19:d2:ae:86:cc -j DROP
     -A FORWARD -m mac -i eth0 –mac-source 00:14:a5:a1:24:88 -j DROP
     -A INPUT -p tcp -m tcp –dport 1521 –sport 1521 -j ACCEPT
     COMMIT
     # Completed on Thu Mar 1 11:25:09 2007
     # Generated by iptables-save v1.2.11 on Thu Mar 1 11:25:09 2007
     *mangle
     REROUTING ACCEPT [1056390:847954385]
     :INPUT ACCEPT [32881:3567382]
     :FORWARD ACCEPT [1022282:844098990]
     :OUTPUT ACCEPT [32456:23403292]
     OSTROUTING ACCEPT [1053733:855984949]
     COMMIT
     # Completed on Thu Mar 1 11:25:09 2007

     bien con estos dos archivos en el servidor, en cada lugar que te describi anteriormente puedo navegar bien desde el servidor, tengo acceso remoto puerto 22,10000,80, etc..
     ahora pregunta:
     1.- que le necesito poner para que entre por el servidor, se vaya a eth1 y de servicio a mi red local, con todos los servicios, suponiendo que fuera el puro servidor dhcp.
     ya que despues se instalara el servicio squid y se configurara el otro archivo que comentas en el manual iptables.cf ese lo tendria que meter dentro de /etc/init.d para que se ejecute cada vez que enciendo o reinicio el servidor.
     otra pregunta:
     1.- que instruccion usar o que hacer para cada vez que inicie el servidor se ejecuten los dos archivos ya modificados mencionados anteriormente:
     1.- /etc/iptables.up.rules
     2.- /etc/webmin/firewall/iptables.cf
     espero respuesta
     saludo2

132. yovany
     October 22nd, 2009 at 10:20 pm

     Hola Eduardo.

     En primer lugar tienes esos dos archivos por que usas el webmin en lo personal no te recomiendo que uses el wembin, puesto que luego no respeta la configuracion de los scripts, te recomiendo que desabilites el uso de firewall del webmin, para que lo podamos hacer como lo indica el manual, asi sera mas facil para mi ayudarte puesto que es el metodo que conosco mejor, asi tu puedas entender mejor como funcionan los scripts de configuracion de los servers.

     Ahora independientemente de la configuracion de las iptables el servidor siempre va tener conexion a internet y a la red interna puesto que esto no depende directamente de las iptables.

     Si no puedes navegar en internet atraves del server, lo primero que debes de checar es la configuracion del dhcp, ya que si las ips son incorrectas nunca te podras conectar a internet, aun cuando la configuracion de las iptables y tu proxy sean correctas.

     Ahora para poder compartir la conexion de internet del servidor debes activar el forward, y enmascarar las conexiones de tu red interna para que salgan por la conexion de internet del server esto lo haces con la siguiente instrucion de tus iptables

     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

     Esto nos dice que no importa por que tarjeta de red entren siempre y cuando la conexion provenga del rango de ips indicado 192.168.2.0/24 y estas conexiones se enmascararan para que salgan por la interfas eth0 que en el tuto es la que tienen conexion a internet esta instruccion debe de ir con todas las reglas de iptables basicas.

     iptables -F
     iptables -X
     iptables -Z
     iptables -t nat -F
     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT
     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
     #iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128
     echo 1> /proc/sys/net/ipv4/ip_forward

     Estas es la configuracion basica de iptables que activa el forwardeo y enmascara las conexiones para poder usar la conexion de internet del server la linea comentada es si ya tienes funcionando el squid y deseas activar el proxy tranparente.

     Para cargar el archivo de las iptables.cf usa el rcconf como te comente en el reply anterior.

     Espero te haya aclarado un poco el panorama y resuelto tus dudas.

     Saludos y espero te sea de ayuda.

133. jose luis
     October 23rd, 2009 at 4:53 pm

     hola
     tengo un problema con mi server 2003 resulta que tengo ip el rango es 192.168.10.xxx pero esta dando ip 169.10.200.xxx cual puede ser el problema me urge alguin me puede ayudar con esta bronca

134. yovany
     October 23rd, 2009 at 9:29 pm

     Hola Jose Luis

     Si te refieres a windows 2003 server, este foro no es el mas indicado ya que aqui hablamos de ubuntu, y gnu/linux en general

     Lamento no poderte ayudar, y no por que no quiera, si no que mi experiencia con servidores ha sido principalmente con linux muy poco windows server y mis opiniones en tu caso no serian las mas indicadas.

     Espero tengas suerte y soluciones tu problema, si tienes algun problema con alguana distro de gnu/linux no dudes en preguntar : )

     Saludos.

135. Angel
     October 26th, 2009 at 3:32 pm

     Hola yovany, sabes arrelgle la falla que tenia ahora si el squid esta haciendo su chamba gracias muchas gracias por haber hecho este manual que meha ayudado bastante, ya bueno tengo una consultita como podria maontar mi servidor dns cache ya pues que el squid no hace eso ya he intentado
     con el dnsmasq con esta guia http://www.guia-ubuntu.org/index.php?title=Servidor_DNS-Cache lo cual si funciona pero no se como repartirla a mis clientes que son windows (Nota ya probe poniendo en servidores DNS la Ip de la maquin con el dns, y no funciona) x favor yovani hechame una manito con esto o sino otra solucion he visto el bind9 pero nuse nada de esto espero te respuesta de antemano gracias yovani….

136. ToNy8686
     October 28th, 2009 at 12:42 am

     Hola como estas mira esta es mi duda no se di ya la solucionaste pero quisiera saber como le puedeo hacer para que un grupo de maquinas tenga internet y red local y otro grupo solo tenga red local y que pueda cambiar esto cuando tenga q actualizar programas me podrias ayudar

137. ToNy8686
     October 28th, 2009 at 12:47 am

     jose luis creo q lo q pasa es q no esta funcionando tu servicio de dhcp no conozco mucho de windows server pero me paso lo similar con ubuntu server cuando no habia configurado correctamente el dhcp hasta q entre a este foro por cierto felicidades eres todo un web y admin master y ahora solo falta poco para ubuntu en sus dos versiones 9.10 karmic koala

138. yovany
     November 16th, 2009 at 10:17 am

     Hola ToNy8686

     Eso se puede hacer con iptables y con es squid con squid tendrias que agregar una lista con todas la ip’s a las que deseas denegar el acceso a internet y hacer lo siguiente

     acl ips_usuarios src “/etc/squid/ips_usuario.lst”
     acl red_local src 192.168.2.0/24

     http_access allow red_local !ips_usuarios

     Ahora explico en la primera linea definimos un acl para la lista de ips (como lo indica el acl la lista debe estar en la ruta que se indica y el nombre es indistinto) a las que vamos a retringir el acceso a internet, la siguiente debo suponer que si seguiste el manual ya debe estar en tu squid solo la puse por referencia y agregarias la ultima linea a las reglas OJO estas siempre debe de ir antes de la regla:

     http_access deny all

     De lo contrario squid no las tomara en cuenta. El detalle esta en que tendrías que comentar esta linea

     http_access allow red_local !ips_usuarios

     y reiniciar el squid cada vez que quisieras dar o quitar el acceso a Internet

     Espero te sea de ayuda y si lo solucionas recuerda postear como lo hiciste.

     Saludos.

139. Isaac
     November 18th, 2009 at 8:53 am

     He hecho tu configuración y me va bien después de arreglar unos problemillas. Ahora tengo una duda, estoy poniendo interfaces virtuales, ethX:1, ethX:2… y claro, al modificar el script de iptables me da el error que no admite los ” : “, habría alguna manera para que lo admita?

     Gracias,

140. ToNy8686
     November 18th, 2009 at 2:22 pm

     Hola muchas gracias lo voy a probar y la verdad que te felicito por tu ayuda no sabes cuanto me ha servido este foro y por cierto no me da internet a ninguna maquina la verdad no se por que segui todos los pasos que pusiste y tambien tengo 2 tarjetas de red todo igual y no me da internet si funciona el dhcp pero el internet no no se por que podrias decirme cual puede ser el fallo?? muchas gracias de antemano

141. ToNy8686
     November 19th, 2009 at 12:36 pm

     Muchisimas gracias ya logre encontrar el error del internet y tambien gracias por lo de la lista de usuarios con restriccion a internet de verdad que te puliste en este tutorial y que realmente eres de buena ayuda

142. yovany
     December 5th, 2009 at 8:55 pm

     Hola ToNy8686

     Siempre es un placer poder ayudar

     Saludos y Felices Fiestas

143. yovany
     December 5th, 2009 at 8:58 pm

     Hola Isaac

     Creo que el problema esta en que las iptables no trabaja bien con interfaces virtuales, he estado leyendo y no he encontrado algo que nos ayude lo ideal seria que lo hicieras con dos tarjetas fisicas.

     Saludos y Felices Fiestas

144. Augusto
     December 7th, 2009 at 12:15 pm

     Hola, Yovany!

     Tengo un problema.
     Segui el tutorial pero, configure las interfaces, el dhcp y squid.
     El dhcp arroja las direcciones a los clientes, puedo hacer ping a la PC que hace de proxy, pero no tengo acceso a internet.

     La PC es una PIV 1.8, Memoria 1 Gb, 2 tarjetas de red D-Link
     el SO es ubuntu desktop 9.10

     Aca te dejo mis archivos de configuracion:

     Interfaces:

     auto lo
     iface lo inet loopback

     auto eth0
     iface eth0 inet static
     address 192.168.1.100
     netmask 255.255.255.0
     network 192.168.1.0
     broadcast 192.168.1.255
     gateway 192.168.1.1
     dns-nameservers 200.48.255.146, 200.48.225.130

     auto eth1
     iface eth1 inet static
     address 192.168.2.1
     netmask 255.255.255.0

     dhcpd.conf:

     ddns-update-style interim;

     authoritative;

     subnet 192.168.2.0 netmask 255.255.255.0{
     range 192.168.2.100 192.168.2.200;
     option domain-name-servers 192.168.1.1;
     option routers 192.168.1.1;
     option broadcast-address 192.168.2.255;
     default-lease-time 3600;
     max-lease-time 180000;
     }

     squid.conf:

     http_port 3128 transparent
     cache_mem 16 MB
     cache_dir ufs /var/spool/squid 700 16 256
     ie_refresh on
     offline_mode on

     acl all src 0.0.0.0/0.0.0.0
     acl red_local src 192.168.2.0/24
     acl plus src “/etc/squid/plus.lst”
     #acl sites src “/etc/squid/sites.lst”
     acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .bat .asf .mpeg . 3gp .swf
     acl localhost src 127.0.0.1/255.255.255.255
     #http_access deny red_local !plus sites
     http_access deny red_local !plus
     http_access deny red_local !plus files
     http_access allow red_local
     http_access allow localhost
     http_access deny all

     iptables.cf:

     iptables -F
     iptables -X
     iptables -Z
     iptables -t NAT -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t NAT -P PREROUTING ACCEPT
     iptables -t NAT -P POSTROUTING ACCEPT
     iptables -t NAT -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

     iptables -t NAT -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p tcp –dport 80 -j REDIRECT –to-port 3128

     iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 993 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 465 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 80 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 443 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 53 -j ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp –dport 53 -j ACCEPT

     echo 1 > /proc/sys/net/ipv4/ip_forward

     Me urge solucionar este problema.

     Gracias de antemano!!

     P.D: Me podrias agregar al msn para tener una mejor plactica?
     Te dejo mi msn: augusto_pr@hotmail.com

145. Novato Ubuntu
     December 8th, 2009 at 11:47 am

     ¿Cómo marco la opción de iptables.cf , con el “rcconf”?

     No me ha funcionado ni con Ctrl, ni Alt, ni “*”, “+”,”-”, Enter, etc…

146. yovany
     December 8th, 2009 at 12:11 pm

     Hola Novato Ubuntu

     Es con espacio,

     Saludos y Felices Fiestas

147. Novato Ubuntu
     December 9th, 2009 at 3:53 am

     Gracias Yovany, la unica tecla que me faltó probar resultó ser la indicada.

     Hasta ahorita configuré todo al pie de la letra. Solo que con las siguientes diferencias:

     1) Utilizé la interfaz inalámbrica (wlan0) en vez de la “eth0″ ya que es donde tengo la IP que me conectará a la nube.

     2) Utilizé la interfaz eth0 que es la que proporcionará IPs al resto de máquinas.

     Instalé squid, hice las listas de sites y plus, los servicios reinicié y todo “OK”.

     La pregunta es, ¿Cómo pruebo que mi proxy está funcionando?
     Acabo de conectarme por cable cruzado con otro equipo y si recibo la IP del rango configurado, pero no logro pasar a internet.

     Podrías recomendarme algún tuto, para que a partir de éste pueda hacer modificaciones y configurar el proxy a ciertas horas y/o algún/os días de la semana, o por ejemplo utilizar auntentificación.

     Saludos, felices fiestas y gracias.

148. Cokes
     December 10th, 2009 at 7:09 am

     Hola, ojala alguen me pueda ayudar, tengo el siguiente script iptables, la idea es poder acceder a los correos via cliente de correo, pero no me ha sido efectiva

     mi lan eth0 192.168.1.1

     #!/bin/sh

     iptables -F

     iptables -X
     iptables -Z
     iptables -t nat -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT
     iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

     iptables -t nat -A PREROUTING -s 192.168.1.0/24 -d ! 192.168.1.0/24 -p tcp –dport 80 -j REDIRECT –to-port 8080

     iptables -A INPUT -s 192.168.1.0/24 -i eth1 -j ACCEPT

     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 110 -j ACCEPT

     iptables -A FORWARD -s 192.168.1.0/24 -i eth1 -p tcp –dport 25 -j ACCEPT

     echo > /proc/sys/net/ipv4/ip_forward

     alguien me puede decir que estoy haciendo mal??

149. Cokes
     December 10th, 2009 at 7:14 am

     CORRIJO, MI LAN ETH1 ES 192.168.1.1

150. lucas
     December 11th, 2009 at 1:27 am

     Chikos no se niega que este manual es el de los mejorcitos que vas a encontra en la red, pero si quieres un servidor completisimo y para todo usen la distro brazilfw, bueno como dicen nada es facil no? (al menos es mas facil que esta vaina de ubuntu) una vez que le agarras la maña uffffffff lo maximo.

151. Augusto
     December 11th, 2009 at 10:49 pm

     Hola, Yovany!

     Ayudame por favor postee mi pregunta pero aun no me contestas.

     Espero me ayudaes.

     Gtacias!!

152. yovany
     December 12th, 2009 at 1:34 pm

     Hola Augusto.

     Al parecer todo esta bien, no puedo detectar donde esta el error, pero si no puedes navegar es por la configuración del dhcp, antes de hechar andar el squid prueba solo el dhcp y con la siguiente configuracion de iptables

     iptables -F
     iptables -X
     iptables -Z
     iptables -t NAT -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t NAT -P PREROUTING ACCEPT
     iptables -t NAT -P POSTROUTING ACCEPT
     iptables -t NAT -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE
     echo 1 > /proc/sys/net/ipv4/ip_forward

     Esta es la configuración básica para que puedas navegar, si tienes bien el dhcp no debes de tener problemas para navegar, si no puedes, verifica la configuracion.

     Saludos.

153. yovany
     December 12th, 2009 at 1:40 pm

     Hola Novato Ubuntu

     Checa la respuesta que le di a Augusto y prueba lo mismo, para saber si el squid esta funcionando, trata de acceder a una de las paginas que has restringido en el squid, recuerda que estas paginas se anexan a la listas sites.lst y cada ves que modifiques la lista debes de recargar el squid,

     sudo /etc/init.d/squid restart

     Lo de la programación se puede hacer con diferentes configuraciones de iptables según lo que quieras hacer y programarlas con un cron-tab para que se ejecuten cada de terminado tiempo

     Saludos y Felices Fiestas

154. yovany
     December 12th, 2009 at 1:52 pm

     Hola Cokes.

     Mira este problema es comun solo agrega Forward con los puertos de correo 993 y 465.

     Si usas internet de infinitum de telmex tienes que llamarles para que te desbloquen el puerto de correo por que por seguridad esta bloqueado por default en el servicio.

     Saludos y Felices Fiestas.

155. yovany
     December 12th, 2009 at 1:53 pm

     Hola Lucas.

     Gracias por el comentario y el tip, estaremos probando haber que tal anda en un server.

     Saludos y Felices Fiestas.

156. Cokes
     December 15th, 2009 at 8:32 am

     Hola yovany, creo que ese no es mi problema, ya que aca tengo una conexion a internet con IP fija, la cual es la 152.xx.xxx.111, a traves de esa me conecto a internet. Y la ip interna que estoy usando en el squid es la 192.168.1.1 y todo anda de maravilla, navego, el servicio DHCP le entrega las IP a los clientes de la red, el squid esta haciendo el trabajo ya que filtra los contenidos. El unico problema es la del correo, no me puedo conectar con los clientes de correo a el servidor, ningun problema para ingresar via webmail, pero por cliente 0 posibilidad. Ayuda porfabor :S

157. Marco_M
     December 18th, 2009 at 10:47 am

     que tal hace tiempo que no entraba, nunca he podido hacer funcionar el windows live messenger, me da un erro que cuando te conectas directo desde windows (sin le proxy) se arregla agregando un par de lineas al archivo host, que puedo hacer, ya tengo como dos semanas pensando como hacer y no se me ocurre nada.

158. Augusto
     December 20th, 2009 at 11:14 am

     Hola, Yovany!!

     Aun no logro solucionar el problema del proxy transparente.

     ¿Tendra algo que ver que mi Ubuntu sea una version desktop y sin dominio? porque lo estoy trabajando como grupo de trabajo.

     Como puedo probar el dhcp con 2 tarjetas de red.

     Solo desabilito el squid y pruebo que tenga internet?

     Espero tu pronta respuesta.

     Saludos!!

159. yovany
     December 24th, 2009 at 11:16 am

     Hola Augusto.

     Exactamente, tienes que des habilitar el squid y quitar el direccionamiento que hacemos al puerto del squid dentro de las iptables y debes de poder navegar normalmente.

     Saludos y Felices fiestas.

160. yovany
     December 24th, 2009 at 11:18 am

     Hola Marco_M

     Checa que dentro de las iptables, no tengas bloqueado el puerto del msn y dentro del squid igual o s no al contrario agrega dentro las iptables un forward con el puerto que usa el msn para que pueda salir a internet.

     Saludos y Felices Fiestas.

161. yovany
     December 24th, 2009 at 11:22 am

     Hola Cokes

     Si tu servidor es el que provee de servicio de correo, puede ser que tengas que agregar unas reglas al iptables de input para que permita recibir conexiones a los puertos de correo desde afuera y dentro de la red.

     Saludos y Felices Fiestas.

162. MOSI
     January 6th, 2010 at 12:15 pm

     HOLA YOVANY:

     DISCULPA LA MOLETIA, TE COMENTO QUE ACTUALMENTE TENGO MONTADO MI FIREWALL TAL Y COMO DICE TU MANUAL Y TRABAJA PERFECTAMENTE, SOLO QUE COMO MUCHOS QUIERO RESTRINGIR LOS PROGRAMAS P2P, NO ASI EL MESSENGER, NECESITO, CLARO SI TIENES ALGO DE TIEMPO, QUE ANALICES EL SIGUIENTE SCRIP DE IPTABLES Y ME MANDES TU OPINION SI PUEDE SERVIR PARA ESTE FIN, EL SCRIP ES PARECIDO AL QUE VIENE EN “IPTABLES Manual práctico”, ANTES QUE TODO MUCHAS GRACIAS POR EL APOYO.

     iptables -F
     iptables -X
     iptables -Z
     iptables -t nat -F

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P POSTROUTING ACCEPT

     iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -o eth0 -j MASQUERADE

     iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 192.168.2.0/24 -p
     tcp –dport 80 -j REDIRECT –to-port 3128

     /sbin/iptables -A INPUT -i lo -j ACCEPT

     iptables -A INPUT -s 192.168.2.0/24 -i eth1 -j ACCEPT

     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 993 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 110 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 465 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 1863 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 1503 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 3389 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 6891:6900 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 25 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 80 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 443 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p tcp –dport 53 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -p udp –dport 53 -j
     ACCEPT
     iptables -A FORWARD -s 192.168.2.0/24 -i eth1 -j DROP

     echo 1 > /proc/sys/net/ipv4/ip_forward

     iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 1:1024 -j DROP
     iptables -A INPUT -s 0.0.0.0/0 -p udp -dport 1:1024 -j DROP

     iptables -A INPUT -s 0.0.0.0/0 -p tcp -dport 10000 -j DROP

163. yovany
     January 8th, 2010 at 10:39 am

     Holo Mosi.

     Es un poco difícil poder bloquear el p2p con iptables, en teoría lo que tienes que hacer es bloquear todo y solo permitir la conexion a los puertos usados, y direcciones locales etc, te recomiendo que leas sobre ipp2p tal vez te sea de utilidad.

     Saludos

164. Augusto
     January 9th, 2010 at 4:49 pm

     Hola, Yovani!!

     Gracias por responderme y ayudarme. Al fin pude configurar el proxy transparente.

     Pero, tengo otra consulta que hacerte y es la siguiente.

     Quiero abrir un el puerto 3389 que es para escritorio remoto de windows, quisiera saber como seria la regla para tal efecto.

     Yo puse esto.

     iptables -A INPUT -s 0.0.0.0/0 -p tcp –dport 3389 -j ACCEPT

     Espero tu respuesta.

     Saludos!!

165. MOSI
     January 10th, 2010 at 1:55 pm

     YOVANY, MUCHAS GRACIAS POR LA SUGERENCIA, UN FAVOR MAS, TENDRAS EL MANUAL EN FORMATO .PDF QUE ME LO PUEDAS ENVIAR A LA DIRECCIÓN DE CORREO imorenos@mexico.com

166. marco
     January 18th, 2010 at 10:04 pm

     hola un gusto soy de Ecuador te felicito por este tutorial es excelente y sigue adelante aportando com más cosas
     Tenho un pequeño problema todo me funciona correcto la verdad es que cuando le conecto al internet mediante dhcp no se como configuar la tarjeta que recibe el internet y la configuarcion del server en el dhcp3-server gracias de antemano

167. pepe
     February 2nd, 2010 at 4:32 am

     Hola tengo una duda, segui tu tutorial pero el problema es que mi servidor ya esta todo montado pero las maquinas cleintes no se conectan si desde un cliente le hago un ping a la eth1 (la que va a la red) no me da problema pero si le hago a la eth0 (la salida a internet) me dice uqe el destino es inalcanzable. Alguna sugerencia?

168. David Martinez
     February 2nd, 2010 at 12:08 pm

     Que tal yovani! esta muy bien tu tutorial… sin embargo he tenido problemas en la red; tengo una red un poco grande, manejo un centro de computo de una escuela y digamos que en el centro de computo hay un total de 40 computadoras, manejo un servidor el cual le surte al centro de computo, y otros 2 laboratorios de computo con 40 pc’s aproximadamente, la red va en cascada a traves de varios switch, tu configuracion me funciona por un momento nomas, al momento que yo quiero usar todas las computadoras (centro de computo + los laboratorios) me deja de servir el internet en todas, usoprodigy infinitum de 2 megas; sin embargo no lo he usado para poder bajar informacion extensa (descargas de programas) simplemente para navegar en la red, me deja incluso de dar IP el servidor a ninguna pc y se me bloquea…. que pudiera ser?

     Saludos desde Mazatlán Sinaloa; has comentado que has venido para acá

169. yovany
     February 10th, 2010 at 8:29 pm

     Hola Pepe.

     Puedes postear la configuración de tu iptables, puede que este bloqueando la conexion a eth0 o simplemente, la regla de enrutamiento no este indicada.

     Saludos, a mis amigos de la UP.

170. yovany
     February 10th, 2010 at 8:37 pm

     Hola David.

     Una enorme disculpa por no contestar antes, es importante que pueda checar la configuración de tu dhcp y de tus iptables, en el manual solo indico un rango limitado de ip esa podría ser una razon por la cual en un momento dado te deja de dar ip´s, yo manejo una red no tan extensa y no he tenido problemas de igual forma por switch y Ap wireless, la configuración que tengo es muy similar a la tuya la única diferencia en dado caso seria el numero de maquinas.

     Postea los scripts de configuracion de tus iptables y dhcp y vemos donde puede estar el problema.

     Saludos, hasta la perla del pacifico…

171. Bolo
     February 17th, 2010 at 3:45 pm

     No logro hacer que el proxy sea transparente, por favor me puedes decir cual puede ser la falla ya que he seguido tu torial correctamente y es lo unico que no me sale… Gracias

172. Pablo Z
     February 18th, 2010 at 9:40 pm

     Hola yovany.

     he seguido los pasos de configuracion de este gateway con ubuntu server,

     la unica diferencia, es que monte el servidor en una maquina con debian 5.0 (lenny) instalada. tube uno que otro problema, pero eran errores mios. pero funciona de maravillas asta el momento.

     pero me asalta una duda…¿es posible realizar lo mismo con un modem huawei e226 como salida a internet?

     gracias por compartir tus conocimientos sobre esta area…

     saludos!

173. yovany
     February 19th, 2010 at 10:42 am

     Hola Pablo Z

     Me alegra que te haya servido, en cuanto a tu pregunta si es indistinto cual sea la forma en que salgas a Internet, solo hay que poner atención en la configuración de los DNS que se menciona en la pagina para que puedas navegar sin ningún problema.

     Saludos y buenos días …

174. Lennin
     March 2nd, 2010 at 7:53 am

     Hola Jovany he seguido todos los pasos y mi seridor ya esta funsionando, no he tenido ningun problema de instalacion, el problema fue con los usuarios ya que cuando acceden al google y realizan algunas busquedas les bota el error ejm sunat detracciones, acceso, ademas todo lo que es flash, podrias ayudarme en esto. Gracias

175. yovany
     March 2nd, 2010 at 9:59 am

     Hola Lennin.

     Podria ser el squid el que este bloqueando algunas paginas, podrias postear el mensaje de error, para guiarnos un poco verifica las paginas que estas bloqueando o si estas bloqueando la descarga de archivos por que muchas veces si algun termino de los que bloqueas se genera en la cadena de la direccion, y el squid te lo bloquea.

     Saludos y esperamos tu mensage.

176. Lennin
     March 2nd, 2010 at 1:39 pm

     Hola Yovany gracias por responder, te cuento que ya solucione el problema quitando algunas extensiones en la definicion de files como el .flv .acc .asf y .swf, pero ahora me surgio otro problema al bloquear una pagina pese a que esta en la lista se sigue ingresando https://imo.im/ espero me puedas ayudar en esto gracias.

177. yovany
     March 2nd, 2010 at 3:47 pm

     Hola Lennin.

     Me alegro de que lo hayas solucionado, trata solo con imo.im sin http.

     Saludos

178. Lennin
     March 2nd, 2010 at 4:16 pm

     Otra vez gracias Yovany lo tengo de las dos formas con y sin http aun asi sigo accesando a la pag. tengo otra inquetud y lo he tratado de realizar que la lista de direcciones privilegiadas no sea por IP si no por la direccion mac y no mefunsiono, seria interesante que se pueda hacer de esa manera ya que en mi red cuento con usurios con laptop y con un direccion IP automatica por el hecho de que se desplazan de un lugar a otro y tienen que colgarse a cualquier red, si tienes algo sobre esto me seria de mucha ayuda. Gracias Lennin

179. JOSE SALAS
     March 11th, 2010 at 11:19 am

     Buen dia yovany, estoy muy agradecido por tu manual, todo me funciona bien lo unico que no logro es que el proxy 3128 sea transparente, me toca colocar en el navegador la direccion y el puerto 3128 para que me navegen los demas usuarios, serias tan amable de orientarme al respecto te lo agradeceria por favor

180. yovany
     March 11th, 2010 at 12:21 pm

     Hola Lennin.

     Voy a investigar sobre eso y cuando tenga algo lo posteare.

     Saludos

181. yovany
     March 11th, 2010 at 12:23 pm

     Hola Jose.

     Seria bueno que postearas tu configuración de iptables y la del squid para ver donde esta e problema recuerda que después de cada cambio al archivo de iptables hay que volverlo ha ejecutar para que se apliquen los cambios.

     Espero tu respuesta, saludos.

182. JOSE SALAS
     March 11th, 2010 at 12:59 pm

     Gracias por contestar yovany, aqui te coloco mi archivo
     iptables.cf

     iptables -F
     iptables -X
     iptables -Z

     iptables -t nat -F
     iptables -t nat -X
     iptables -t nat -Z

     iptables -P INPUT ACCEPT
     iptables -P OUTPUT ACCEPT
     iptables -P FORWARD ACCEPT
     iptables -t nat -P PREROUTING ACCEPT
     iptables -t nat -P PROSTROUTING ACCEPT

     iptables -t nat -A PROSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE

     iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp -dport 80 -j REDIRECT -to-port 3128

     iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j ACCEPT

     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp –dport 993 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp –dport 110 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp –dport 465 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp –dport 25 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp –dport 80 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp –dport 443 -j ACCEPT

     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p tcp –dport 53 -j ACCEPT
     iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -p udp –dport 53 -j ACCEPT

     echo 1 > /proc/sys/net/ipv4/ip_forward

     y este es mi squid

     mi eth0 es la de servidcio local
     y eth1 por la que entra internet

     http_port 3128 transparent

     cache_mem 64 MB

     cache_dir ufs /var/spool/squid 10000 16 256

     ie_refresh on

     offline_mode on

     ftp_user alexiss001@hotmail.com
     cache_mgr alexiss001@hotmail.com
     ###################################################################
     ####### listado de control de acceso ##########
     ##################################################################

     acl unidad_informatica src “/etc/squid/clientes/unidad_informatica”
     acl presidencia-alto src “/etc/squid/clientes/presidencia-alto”
     acl gcredito-alto src “/etc/squid/clientes/gcredito-alto”
     acl gfinanzas-alto src “/etc/squid/clientes/gfinanzas-alto”
     acl gpromocion-alto src “/etc/squid/clientes/gpromocion-alto”
     acl gagricola-alto src “/etc/squid/clientes/gagricola-alto”
     acl consultoria-alto src “/etc/squid/clientes/consultoria-alto”
     acl audinterna-alto src “/etc/squid/clientes/audinterna-alto”
     acl presidencia-medio src “/etc/squid/clientes/presidencia-medio”
     acl gcredito-medio src “/etc/squid/clientes/gcredito-medio”
     acl gfinanzas-medio src “/etc/squid/clientes/gfinanzas-medio”
     acl gpromocion-medio src “/etc/squid/clientes/gpromocion-medio”
     acl gagricola-medio src “/etc/squid/clientes/gagricola-medio”
     acl consultoria-medio src “/etc/squid/clientes/consultoria-medio”
     acl audinterna-medio src “/etc/squid/clientes/audinterna-medio”
     acl presidencia-bajo src “/etc/squid/clientes/presidencia-bajo”
     acl gcredito-bajo src “/etc/squid/clientes/gcredito-bajo”
     acl gfinanzas-bajo src “/etc/squid/clientes/gfinanzas-bajo”
     acl gpromocion-bajo src “/etc/squid/clientes/gpromocion-bajo”
     acl gagricola-bajo src “/etc/squid/clientes/gagricola-bajo”
     acl consultoria-bajo src “/etc/squid/clientes/consultoria-bajo”
     acl audinterna-bajo src “/etc/squid/clientes/audinterna-bajo”
     acl restrincion-media url_regex “/etc/squid/restrinciones/restrincion-media”
     acl restrincion-baja url_regex “/etc/squid/restrinciones/restrincion-baja”
     acl antivirus url_regex “/etc/squid/antivirus/antivir”
     acl restrincion-paginas url_regex “/etc/squid/restrinciones/restrincion-paginas”
     acl chatmsn url_regex “/etc/squid/restrinciones/chatmsn”
     acl extensiones urlpath_regex “/etc/squid/restrinciones/extensiones”
     acl pornografia url_regex “/etc/squid/restrinciones/porno”
     acl sites url_regex https://meebo

     acl all src 0.0.0.0/0.0.0.0
     #acl red_local src 192.168.0.0/24
     #acl plus src “/etc/squid/plus.lst”
     #acl sites url_regex “/etc/squid/sites.lst”
     #acl files url_regex -i .exe .flv .mp4 .mp3 .avi .wma .mov .acc .wav .asf .mpeg .3gp .swf
     acl localhost src 127.0.0.1/255.255.255.255

     ### HTTP_ACCES####

     http_access allow unidad_informatica
     http_access deny pornografia
     http_access deny extensiones
     ########################################

     http_access allow gfinanzas-alto
     http_access allow gcredito-alto
     http_access allow presidencia-alto
     http_access allow gpromocion-alto
     http_access allow gagricola-alto
     http_access allow consultoria-alto
     http_access allow audinterna-alto
     http_access deny chatmsn
     http_access deny restrincion-paginas

     ###########################################

     http_access allow gfinanzas-medio restrincion-media
     http_access allow gcredito-medio restrincion-media
     http_access allow presidencia-medio restrincion-media
     http_access allow gpromocion-medio restrincion-media
     http_access allow gagricola-medio restrincion-media
     http_access allow consultoria-medio restrincion-media
     http_access allow audinterna-medio restrincion-media

     ###############################################################

     http_access allow gfinanzas-bajo
     http_access allow gcredito-bajo
     http_access allow presidencia-bajo
     http_access allow gpromocion-bajo
     http_access allow gagricola-bajo
     http_access allow consultoria-bajo
     http_access allow audinterna-bajo

     ##########################################
     #http_access deny red_local !plus sites
     #http_access deny red_local !plus files
     #http_access allow red_local
     http_access allow localhost
     http_access deny all

     ESPERO Y ME PUEDAS AYUDAR , DE VERDAD NO HALLO QUE MAS MOVERLE PARA QUE ME CORRA, GRACIAS DE ANTEMANO

183. yovany
     March 11th, 2010 at 1:42 pm

     Hola Jose.

     Mira de primera vista te puedo señalar estos detalles

     iptables -t nat -A PROSTROUTING -s 192.168.0.0/24 -o eth1 -j MASQUERADE
     y debe decir POSTROUTING

     iptables -t nat -A PREROUTING -s 192.168.0.0/24 -d ! 192.168.0.0/24 -p tcp -dport 80 -j REDIRECT -to-port 3128
     y aqui debe ser asi –dport 80 -j REDIRECT –to-port 3128

     Pruebalo y nos cuentas como te fue.

     Saludos.

184. JOSE SALAS
     March 11th, 2010 at 2:14 pm

     Gracias yovany, ya hice los cambios reinicie el equipo y nada compadre, de verdad que no se que hacerle, las maquinas me navegan en einternet siempre y cuando les coloque en el navegador el proxy, pero no es la idea, viejito hechame una mano solo me falta es eso , gracias y disculpa la molestia, tengo ya una semana pegado leyendo por internet hasta que consegi tu manual y todo me esta funcionando solo me falta ese detalle para ponerlo transparente, una pregunta al reiniciar el proxy se actualiza las iptables o ay que correr algo adicional ?

185. JOSE SALAS
     March 15th, 2010 at 9:19 am

     yovany disculpa la molestia hermano pero hecheme la mano con este error de verdad no logro hacer el proxy tranparente

186. yovany
     March 15th, 2010 at 11:03 am

     Hola Jose.

     Perdona por no responder antes, si haces cambios a la iptables tienes que volver a cargar la configuración, ejecutando el script de la siguiente forma no es necesario que reinicies la maquina.

     sudo /etc/init.d/iptables.cf

     Suponiendo que esta en esa ruta y tiene ese nombre, y permisos de ejecución.

     Para dar los permisos solo haces un chmod

     sudo chmod +x /etc/init.d/iptables.cf

     Y para verificar si cargo bien las iptables

     sudo iptables -nL

     importante respetar mayusculas

     Si los archivos están bien debe de funcionar.

     Prueba y nos cuentas como te fue.

     Saludos

187. JOSE SALAS
     March 15th, 2010 at 2:32 pm

     Hola yovany gracias por responder, viejito de verdad ya hice lo que me indicastes pero nada,

     aqui te coloco lo que me sale aparentemente esta todo bien pero no entiendo porque no lo toma transparente

     disculpa tanta molestia, gracias
     root@fundesta:/etc/init.d# sudo iptables -nL
     Chain INPUT (policy ACCEPT)
     target prot opt source destination
     ACCEPT all — 192.168.0.0/24 0.0.0.0/0

     Chain FORWARD (policy ACCEPT)
     target prot opt source destination
     ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 tcp dpt:993
     ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 tcp dpt:110
     ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 tcp dpt:465
     ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 tcp dpt:25
     ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 tcp dpt:80
     ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 tcp dpt:443
     ACCEPT tcp — 192.168.0.0/24 0.0.0.0/0 tcp dpt:53
     ACCEPT udp — 192.168.0.0/24 0.0.0.0/0 udp dpt:53

     Chain OUTPUT (policy ACCEPT)
     target prot opt source destination

188. JOSE SALAS
     March 15th, 2010 at 2:40 pm

     mientras que si le coloco en el explorador de las maquinas cliente la direccion del proxy si navega , de verdad no entiendo que mas hacerle, si puedes hechame la mano

189. gali
     March 19th, 2010 at 10:30 am

     Hola yovanny…

     En primer lugar gracias por tu tutorial.

     En mi trabajo me han puesto la gran responsabilidad de implementar la seguridad en nuestra red, y lo que he visto con
     con tu tutorial es realmente lo quiero implementar, ahora la forma de permitir los accesos a internet me gustaria hacerlo
     diferente:

     por tipos de usuario o tres grupos y a esos asignarles reglas definidas y que estos tenga distitos niveles de accesso.

     -administradores: (sin ningunas restricciones)
     -consultores: (nivel medio, o sea que no puedan entrar a todas, pero que pueda descargar etc)
     -usuario: (restringido, entrara solamente a paginas especificas)

     y que estos usuarios se autentifiquen con una graves para conextarse a internet.

     mi pregunta es como logro hacerlo?

     saludos espero que me puedad ayudar, como a los demas…

190. yovany
     March 20th, 2010 at 7:11 pm

     Hola Gali.

     Eso lo hace el squid, primero debes de crear tres archivos (administradores.lst, consultores.lst, usuarios.lst) pondrás aquí las ips correspondientes a sus equipos después le denegaras o permitirás el acceso como lo indica el manual, no lo pongo aquí por que es muy extenso y pues si ya esta escrito es mas fácil que le des una leída, y si tienes dudas con gusto lo revisamos.

     Saludos.

191. jose salas
     March 22nd, 2010 at 8:33 am

     Gracias por no responderme las ultimas inquietudes yovany, disculpa la molestia gracias, pense contar con su ayuda

192. yovany
     March 22nd, 2010 at 9:34 am

     Hola Jose.

     Claro que respondí tu pregunta, y lo hice a tu correo personal, si quieres te reenvió el correo, re cuerda que aquí no hay nada ninguna obligación de que te haga tu chamba, tarea, proyecto o se lo que estas haciendo, todo lo hacemos de buena onda y no se vale que tires mala vibra.

     Saludos checa tu correo y vemos que onda.

     Checalo, saludos.

193. jose salas
     March 22nd, 2010 at 10:40 am

     Giovany de verdad te ofrezco disculpas, yo se que no es obligación y todo lo que tu haces es echarnos una mano a los que nos estamos iniciando y lo haces con toda la buena intención, lo que pasa es que no me llego nada al correo, pero al contrario tu manual esta muy completo y me a ayudado de mucho solo que debo tener algun error y no logro detectarlo saludos, gracias y nuevamente te pido disculpas, si puedes me reenvias el correo te lo agradeceria altamente

194. gali
     March 24th, 2010 at 7:44 pm

     Muchisimas gracias Yovanny, por responderme, tengo otra inquietud. lo que sucede es que en mi empresa la mayor parte de los usuarios tienen asignadas laptops no son equipos terminales (pc), o sea el problema es que ellos se llevan los equipos a sus casas por ponerte ejemplo. la idea es que entiendo no le veo mucha utilidad que squid valides los accesos por ips, como me especificas, sino me gustaria sin importar cuantas veces se conecten, que squid los valides segun el tipo de usuario que se este conectando por el nevegador. por ejemplo, que un usuario se conecte a la red, ok por ejemplo puede compartir archivos en la red interna sin ningun problema, ver equipos que esten en el grupo de trabajo actual; pues el dhcp le ha asignado un ip dinamico, sin embargo no tiene acceso a internet ahora si quiere conectarse a internet tiene que solicitarmelo, segun sea su perfil pues le entregare los datos de acceso, en este caso si es mi jefe, yo le entregaria los siguientes datos:

     para el navegador:

     Ip del Proxy: 192.168.1.0
     puerto: 8080

     y este le enviara un ventana de validacion:

     Nombre de Usuario: Administrator
     Password: admin_#$100

     ahi entonces el squid le permitira accesos a internet sin ningun restricciones.

     lo mismo sucedera para consultores o usuarios, pero con niveles de accesos diferentes…

     esto me evitaria, estar configrando los equipos cada vez que un equipo quiera conectarse en este caso asignandoles ip manaualmente…

     por favor, si tienes correo de hotmail, para agregarte en mi msn…

     Saludos Cordiales,
     GRM

195. yovany
     March 25th, 2010 at 5:06 pm

     Hola Gali.

     Mas sencillo para que no tengas que andar dando usuarios y contraseñas utiliza la asignación de ips por mac en la configuración del dhcp y maneja las listas de ips con permisos, y con el squid transparente no tienes que configuar ninguna maquina.

     Saludos.

196. Alex
     April 26th, 2010 at 9:58 pm

     Muy buen tutorial amigo. Gracias por esta gran información. Por cierto es necesario tener ubuntu server, o en su defecto se puede hacer con ubunto 9.10.

     Saludos

197. yovany
     April 28th, 2010 at 9:47 am

     Hola Alex.

     En teoría debería de jalar en cualquier distro, pero en lo pernsonal te recomiendo que sea el ubuntu server.

     Gracias por el comentario.

198. Alex
     May 8th, 2010 at 11:30 am

     Gracias Yovany este fin de semana intentare hacerlo. Saludos