Proxy + Iptables + VPN - Problema no Acesso a VPN
Bom dia a todos, estou com a seguinte situação:
Squid funcionando perfeitamente juntamente com o Iptables, bloqueando sites, msn, skype, etc...
No Squid tenho configurado a autenticação!
O problema é que é necessário os usuário se conectarem a uma VPN, e quando se conecta na VPN a navegação está liberada, simplesmente os usuário removem o proxy do browser e navegam tranquilamente, como faço para resolver esta situação, sendo que na VPN quero bloquear a navegação via HTTP, SKYPE, MSN, etc...
P.S
A principio não temos acesso a regras/politicas criadas na rede que nos conectamos (no caso a VPN) gostaria de contornar esse problema localmente, sem precisar recorrer a recursos a serem configuradas na rede que é acessada via VPN)
Desde já agradeço;
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Amigo, você está falando que os usuários da VPN estão conseguindo tirar o proxy do navegar e navegar tranquilamente? Você deve ter criado uma regra de MASQUERADE para a rede da VPN, esse detalhe está na regra do seu firewall, a rede da VPN está liberada, reveja sua regra, deixe os ips da VPN passarem pelo mesmo filtro que você aplica para a rede local.
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Olá, bom dia, muito obrigado pelo retorno a minha questão, entendi o que você esta dizendo, vou criar uma regra conforme você citou!
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Isso, faça isso e retorne aí pra saber se você conseguiu resolver, mas pelo que você relatou, é pra ser a sua regra.
Abraço
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Olá, creio que já identifiquei o problema. Na rede em questão ( com servidor proxy + iptables) os usuários que conectam em um VPN através de um software cliente chamado a "Aker" cada usuário independente se conecta a VPN, são simples "hosts em transito" não é um VPN entre duas redes...
- No meu firewall tudo o que precisar sair tenho que mascarar, como no caso as portas da VPN:,
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 1011 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p udp --dport 1011 -j MASQUERADE
Então quando os hosts se conectam na VPN não tenho mais como bloquear via IPTABLES, o bloqueio teria que ser feito na rede da VPN.... (pois toda conexão está acontecendo através do sofware cliente (aker) pela porta 1011 que esta liberada...
Eu creio que esse é o caso, você conseguiu entender ?
Desde já agradeço,
Att,
Ronan
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Olá, boa tarde.
Entendi sim, como sua regre de MASQUERADE vem antes do REDIRECT 80->3128, ele realmente não vai ter como fazer esse filtro.
A questão aí é de topologia.
Mas eu entendi sim.
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Ok, mas não tenho proxy transparente, e mesmo se tivesse, creio que não funcionaria, pois a partir da hora que o usuário se conecta na VPN via "aker " ele começa a utilizar a rede da VPN, e não adianta nada eu criar regras de firewall "nessa ponta" pois a porta da VPN 1011 esta liberada e é através dessa porta que a conexão acontece, ignorando todas as regras do meu firewall (fiz alguns testes neste sentido... agora se eu estiver errado, favor me corrija)
Desde já agradeço,
Ronan
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Concordo contigo!
É isso mesmo.
Mas é interessante os usuários que se conectam na VPN passam a ter o acesso liberado, tinha pensado na questão do gateway, mas você tem uma regra pra rede VPN e eles passar a sair pela VPN.
Não estou vendo uma solução para você fazer um controle aí que não seja com regras na outra ponta da VPN.
Re: Proxy + Iptables + VPN - Problema no Acesso a VPN
Valeu amigo pela atenção e pelo agilidade nas respostas, vou falar com o cliente sobre a solução a ser tomada!
Att,
Ronan