Proxy + Iptables + VPN - Problema no Acesso a VPN

Bom dia a todos, estou com a seguinte situação:

Squid funcionando perfeitamente juntamente com o Iptables, bloqueando sites, msn, skype, etc...

No Squid tenho configurado a autenticação!

O problema é que é necessário os usuário se conectarem a uma VPN, e quando se conecta na VPN a navegação está liberada, simplesmente os usuário removem o proxy do browser e navegam tranquilamente, como faço para resolver esta situação, sendo que na VPN quero bloquear a navegação via HTTP, SKYPE, MSN, etc...

P.S

A principio não temos acesso a regras/politicas criadas na rede que nos conectamos (no caso a VPN) gostaria de contornar esse problema localmente, sem precisar recorrer a recursos a serem configuradas na rede que é acessada via VPN)

Desde já agradeço;

Amigo, você está falando que os usuários da VPN estão conseguindo tirar o proxy do navegar e navegar tranquilamente? Você deve ter criado uma regra de MASQUERADE para a rede da VPN, esse detalhe está na regra do seu firewall, a rede da VPN está liberada, reveja sua regra, deixe os ips da VPN passarem pelo mesmo filtro que você aplica para a rede local.

Olá, bom dia, muito obrigado pelo retorno a minha questão, entendi o que você esta dizendo, vou criar uma regra conforme você citou!

Isso, faça isso e retorne aí pra saber se você conseguiu resolver, mas pelo que você relatou, é pra ser a sua regra.
Abraço

Olá, creio que já identifiquei o problema. Na rede em questão ( com servidor proxy + iptables) os usuários que conectam em um VPN através de um software cliente chamado a "Aker" cada usuário independente se conecta a VPN, são simples "hosts em transito" não é um VPN entre duas redes...
- No meu firewall tudo o que precisar sair tenho que mascarar, como no caso as portas da VPN:,

iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 1011 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p udp --dport 1011 -j MASQUERADE

Então quando os hosts se conectam na VPN não tenho mais como bloquear via IPTABLES, o bloqueio teria que ser feito na rede da VPN.... (pois toda conexão está acontecendo através do sofware cliente (aker) pela porta 1011 que esta liberada...


Eu creio que esse é o caso, você conseguiu entender ?

Desde já agradeço,

Att,

Ronan

Olá, boa tarde.
Entendi sim, como sua regre de MASQUERADE vem antes do REDIRECT 80->3128, ele realmente não vai ter como fazer esse filtro.
A questão aí é de topologia.

Mas eu entendi sim.

Ok, mas não tenho proxy transparente, e mesmo se tivesse, creio que não funcionaria, pois a partir da hora que o usuário se conecta na VPN via "aker " ele começa a utilizar a rede da VPN, e não adianta nada eu criar regras de firewall "nessa ponta" pois a porta da VPN 1011 esta liberada e é através dessa porta que a conexão acontece, ignorando todas as regras do meu firewall (fiz alguns testes neste sentido... agora se eu estiver errado, favor me corrija)

Desde já agradeço,

Ronan

Concordo contigo!
É isso mesmo.

Mas é interessante os usuários que se conectam na VPN passam a ter o acesso liberado, tinha pensado na questão do gateway, mas você tem uma regra pra rede VPN e eles passar a sair pela VPN.

Não estou vendo uma solução para você fazer um controle aí que não seja com regras na outra ponta da VPN.

Valeu amigo pela atenção e pelo agilidade nas respostas, vou falar com o cliente sobre a solução a ser tomada!

Att,

Ronan