Visite também:
Br-Linux ·
VivaOLinux ·
LinuxSecurity ·
Dicas-L ·
NoticiasLinux ·
SoftwareLivre.org ·
[mais]
|
|
||||||
| Fóruns | Wiki | Classificados | Reviews | Jogos | Grupos Sociais | RSS Feeds | FAQ | Termos de Uso | Contato | Sobre |
| Registrar | Fotos | Blogs | Calendário | Marcar Fóruns Como Lidos |
Squid X Sites de Bancos
 |
|
|
LinkBack | Ferramentas do Tópico |
08-12-2005, 14:28
|
#1 (permalink) |
 
Registrado em: Apr 2003
Posts: 540
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0    |
Squid X Sites de Bancos
Pessoal, tenho um servidor rodando squid e nele configurei algumas ACLs, que são da seguinte forma:
Os sites de interesse da firma estão liberados para todos na rede, demais sites somente para pessoas que tem senha. Até ai tudo bem, está funcionando corretamente. Minha dúvida é a seguinte: O site do banco do brasil está na lista dos que estão liberados a todos (ou seja, os usuários que ñ possuem senha devem ter acesso também a este site), mas logo depois que entram na tela principal e são redirecionados pra alguma url do próprio site do banco mas que rodam em https o squid volta pedindo senha, e os usuários que não tem senha ñ conseguem usar os serviços do site. Alguém sabe porque isso está acontecendo?
__________________
Gustavo Marcon (gustavomar_27@hotmail.com) |
|
|
08-12-2005, 15:19
|
#2 (permalink) |
Registrado em: Nov 2003
Idade: 24
Posts: 1,012
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Squid X Sites de Bancos
Isso e falta de configuracao, voce pode criar uma acl pra porta tipo segura 443 e deixar passar ou pro dominio do site que voce quer
__________________
.:::felco<br />http://www.userbars.com/galerie/imag...entooLinux.png<br />http://www.userbars.com/galerie/imag...refoxlover.png<br />http://www.userbars.com/galerie/imag...es/3/8/wow.gif<br />wiki.underlinux.com.br |
|
|
|
09-12-2005, 15:18
|
#5 (permalink) |
|
Registrado em: Nov 2003
Idade: 24
Posts: 1,012
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Squid X Sites de Bancos
Código:
acl SSL port 443 http_access deny CONNECT !SSL Veja bem, antes de mexer no seu Squid voce deve verificar se ha necessidade de tratar esse tipo de trafego no Proxy... Do meu ponto de vista cachear conexoes seguras nao e muito bom ja que normalmente se trata de sites de Bancos ou sistemas em tempo real. Na minha opniao voce deveria liberar o acesso dessa porta(443) no seu firewall e permitir que o acesso seja livre nessa porta. Ha menos que voce tenha um motivo para bloquear.
__________________
.:::felco<br />http://www.userbars.com/galerie/imag...entooLinux.png<br />http://www.userbars.com/galerie/imag...refoxlover.png<br />http://www.userbars.com/galerie/imag...es/3/8/wow.gif<br />wiki.underlinux.com.br |
|
|
|
09-12-2005, 15:22
|
#6 (permalink) |
|
Registrado em: Nov 2003
Idade: 24
Posts: 1,012
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Squid X Sites de Bancos
HUmmmmmmmm
Entendo... antes de mais nada, voce esta redirecionando o trafego, via iptables, da porta 443 para a porta 3128 do Squid? Quais porta voce redireciona para o Squid? Qual o tipo de auth que voce esta usando? Distribuicao e versao?
__________________
.:::felco<br />http://www.userbars.com/galerie/imag...entooLinux.png<br />http://www.userbars.com/galerie/imag...refoxlover.png<br />http://www.userbars.com/galerie/imag...es/3/8/wow.gif<br />wiki.underlinux.com.br |
|
|
|
09-12-2005, 15:38
|
#7 (permalink) |
|
Registrado em: Apr 2003
Posts: 540
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Squid X Sites de Bancos
to usando slackware 9.1, fazendo autenticação ncsa_auth, na máquina do gerente to fazendo nat geral, pra todas portas, e mesmo assim pede senha, nas outras máquinas não faço nat, só permito navegação pelo proxy, por isso penso que a melhor solução seria pelo squid mesmo...
__________________
Gustavo Marcon (gustavomar_27@hotmail.com) |
|
|
|
09-12-2005, 15:45
|
#8 (permalink) |
|
Registrado em: Nov 2003
Idade: 24
Posts: 1,012
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Squid X Sites de Bancos
Entao voce deve ter regras de MASQ ou SNAT para portas? E uma para o IP do Squid? Voce esta com todas as maquinas com proxy configurado no browser? Manda o seu ruleset
__________________
.:::felco<br />http://www.userbars.com/galerie/imag...entooLinux.png<br />http://www.userbars.com/galerie/imag...refoxlover.png<br />http://www.userbars.com/galerie/imag...es/3/8/wow.gif<br />wiki.underlinux.com.br |
|
|
|
09-12-2005, 16:25
|
#9 (permalink) |
|
Registrado em: Apr 2003
Posts: 540
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
Squid X Sites de Bancos
Esse é meu arquivo de firewall/redir:
Código:
#!/bin/bash /etc/rc.d/rc.squid start #libera acesso somente a ip/mac específicos /usr/sbin/iptables -t filter -A FORWARD -d 0/0 -s 10.1.1.10 -m mac --mac-source 00-11-D8-5B-B9-EF -j ACCEPT /usr/sbin/iptables -t filter -A FORWARD -d 10.1.1.10 -s 0/0 -j ACCEPT /usr/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.10 -o eth1 -j MASQUERADE /usr/sbin/iptables -t filter -A INPUT -s 10.1.1.10 -d 0/0 -m mac --mac-source 00-11-D8-5B-B9-EF -j ACCEPT /usr/sbin/iptables -t filter -A OUTPUT -s 10.1.1.10 -d 0/0 -j ACCEPT /usr/sbin/iptables -t filter -A FORWARD -d 0/0 -s 10.1.1.20 -m mac --mac-source 00-07-95-08-32-EB -j ACCEPT /usr/sbin/iptables -t filter -A FORWARD -d 10.1.1.20 -s 0/0 -j ACCEPT /usr/sbin/iptables -t nat -A POSTROUTING -s 10.1.1.20 -o eth1 -j MASQUERADE /usr/sbin/iptables -t filter -A INPUT -s 10.1.1.20 -d 0/0 -m mac --mac-source 00-07-95-08-32-EB -j ACCEPT /usr/sbin/iptables -t filter -A OUTPUT -s 10.1.1.20 -d 0/0 -j ACCEPT /usr/sbin/iptables -t filter -A FORWARD -j DROP #/usr/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE #faz proxy transparente /usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128 #redireciona portas /usr/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 5900 -j DNAT --to-dest 10.1.1.10 #ativa o repasse de pacotes echo 1 > /proc/sys/net/ipv4/ip_forward #iptables -A FORWARD -s 10.1.1.20 -j ACCEPT #iptables -A FORWARD -s 10.1.1.0/24 -j DROP echo 1 > /proc/sys/net/ipv4/ip_forward #/etc/rc.d/rc.squid start /noip/noip-2.1.1/binaries/noip2-Linux &
__________________
Gustavo Marcon (gustavomar_27@hotmail.com) |
|
|
|
13-12-2005, 19:44
|
#10 (permalink) |
Registrado em: May 2005
Posts: 46
Agradeceu: 0
Agradecido 0 vez(es) em 0 Posts
Reputação: 0 |
siga o felco
Na minha opinião vc deveria seguir a dica do felco.
Deixa o navegador configurado pra 3128 somente o http proxy e o restante deixa vazio. Qto aos forwards, faça os por ip já que nao quer liberar pra todos. Abraços, Fabio Laé |
|
|
|
| Ferramentas do Tópico | |
|
|
Tópicos Similares
|
||||
| Tópico | Tópico Iniciado Por | Fórum | Respostas | Última Mensagem |
| Squid x Sites WWW-1 da IBM | prs_linux | Proxy/NAT/Firewall | 0 | 27-01-2006 14:02 |
| [SQUID] Bloquear todos sites menos bancos | jayson | Proxy/NAT/Firewall | 3 | 08-10-2005 10:32 |
| Como fazerProgramas de Bancos passar pelo squid? | viny_carvalho | Proxy/NAT/Firewall | 7 | 13-07-2005 09:42 |
| Squid - Não bloqueia Sites. | borin | Proxy/NAT/Firewall | 8 | 15-12-2004 07:25 |
| squid nao faz restricao de sites.. | bouncer | Proxy/NAT/Firewall | 1 | 29-02-2004 14:10 |
Horários baseados na GMT -3. Agora são 00:36.
Powered by vBulletin®
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
Copyright ©2000 - 2008, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0 ©2008, Crawlability, Inc.
| Divulgue |
|
