1) coloca 1 regra no firewall pra nao aceitar conexao na porta do proxy que não seja da sua LAN
2) coloca 1 ACL no proxy pra fz a mesma coisa, só aceitar conexão vinda dos Ips da LAN
Versão Imprimível
1) coloca 1 regra no firewall pra nao aceitar conexao na porta do proxy que não seja da sua LAN
2) coloca 1 ACL no proxy pra fz a mesma coisa, só aceitar conexão vinda dos Ips da LAN
Complementando, a regra no firewall seria a seguinte:Citação:
Postado originalmente por whinston
supondo que a sua rede seja 192.168.1.0
iptables -t nat -A PREROUTING -s ! 192.168.1.0/24 -j REJECT (ou DROP)
iptables -A FORWARD -s ! 192.168.1.0/24 -j REJECT
iptables -A INPUT -s ! 192.168.1.0/24 -j REJECT
Talvez eu esteja sendo um pouco redundante (mas uma linha a mais não custa nada).
Teu firewal não aceitará nenhuma conexão mais com máquinas de fora da sua rede.
Mas se lembre que é importante liberar algumas portas, como por exemplo DNS (53), eu particularmente defino somente a ip's específicos.
Para definir as portas você deve usar
-p tcp (ou udp) --dport 53
e para a volta da requisição
-p tcp (ou udp) --sport 53
não esqueça que na volta você inverte o -s e o -d.
Assim verifique os seus serviços que necessitam de portas abertas, abras mas especifique qual ip determinado terá acesso a estas portas.
Para mais informações
http://focalinux.cipsga.org.br/guia/...w-iptables.htm
[]'s
Caro,
No caso nem precisa colocar regras de iptables, basta deixar a regra all bloqueada e a porta do squid apenas para rede internet.
Porta do squid
# http_port IP_DO_PROXY:PORTA_PROXY
http_port 192.168.0.1:3128
acl all src 0.0.0.0/0.0.0.0
acl rede src 192.168.0.0/24
http_access allow rede
http_access deny all
Bastaria isso.
falou,
Olá, também passei por isso. Meu squid também bloqueava o acesso, mas o relatório do sarg era puro 'lixo', por causa desses ips.
Fiz um mini tutorial esses tempos, pra bloquear isso. E o pessoal ainda contribuiu com algumas dicas legais.
Dá uma olhada:
Bloqueando o uso do squid por spammers
https://under-linux.org/noticia5361.html
[]