Citação:
Postado originalmente por mchiareli
Cara vamos do começo. Num to entendendo nada.
O que está acontecendo ?
Você tem um proxy autenticado + um firewall.
O que esta pegando é que todos estão burlando a autenticação ?
Versão Imprimível
Citação:
Postado originalmente por mchiareli
Cara vamos do começo. Num to entendendo nada.
O que está acontecendo ?
Você tem um proxy autenticado + um firewall.
O que esta pegando é que todos estão burlando a autenticação ?
eh os seguinte, tenho um firewall + nat com iptables e o proxy autenticado com squid.
Se o usuario tiver acesso a internet um script já configura o proxy do IE para o squid, isso funciona normalmente, oque não funciona é o seguinte, se o usuario tirar a opçao do proxy do IE a internet é acessada normalmente não está ocorrendo o bloqueio.....
Esse bloqueio é feito no iptables certo?
ou devo fazer no squid mesmo?
Isso ai é um grande problema que ocorre com o proxy autenticado.
Usuarios burlando o Proxy.
Não fiz até hj um autenticado, sempre fiz transparente.
Tente fazer o seguinte. Num sei se vai dar certo. procure informaçoes até mesmo aqui no forum sobre isso.
Acredito que seu problema realmente seja do fato do drible na autenticação.
"
Transparent Proxy
Esse recurso é muito útil para evitar que seus usuários "burlem" o proxy removendo as configurações do browser. Eles serão obrigados a passar pelo proxy, mesmo que as máquinas não estejam configuradas para tal. Extremamente recomendado, principalmente em casos de bloqueio de sites ou limitação de banda.
Experiências pessoais comprovam que usuários com um pouco mais de conhecimentos irão remover a configuração de proxy assim que o administrador sair da sala, seja por ignorância das funcionalidades, seja por medo de ser auditado ou simplesmente por má conduta.
Para ser possível o uso de proxy transparente com o Squid, o firewall deve ser configurado adequadamente. Se o seu firewall não está listado abaixo, procure na documentação do mesmo qual é a sintaxe equivalente.
Algumas pessoas desejam trabalhar ao mesmo tempo com autenticação e proxy transparente. Isso é possível de ser feito com uma interação entre o firewall e um cgi, ou algo do gênero.
Apesar de não ser do escopo do howto abranger regras de firewall específicas e programação, uma boa olhada no google e um pouco de pesquisa deve resolver o problema. "
Fonte: http://www.linuxman.pro.br/squid/
a regra de redirecionamento do proxy e abaixo dela a de
$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 80 -j DROP
tipo mas eu nao queria isso, eu queria apenas bloquear a net geral...e liberar apenas para ips determinados....
Então eu acho que vc tem que criar as regras no seu iptables liberando host por host. Esses hosts que estiverem liberados passarao pelo proxy e os outros vc fecha no proprio firewall
echo " liberando navegacao a alguns HOST "
$IPTABLES -A FORWARD -s 192.168.0.10 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.11 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.12 -p tcp --dport 80 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.0.13 -p tcp --dport 80 -j ACCEPT
echo " FECHANDO NAVEGACAO A REDE "
$IPTABLES -A FORWARD -s $LAN_RANGE -p tcp --dport 80 -j DROP
echo " REDIRCT for PROXY "
$IPTABLES -t nat -A PREROUTING -s 192.168.0.10 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s 192.168.0.11 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s 192.168.0.12 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT
$IPTABLES -t nat -A PREROUTING -s 192.168.0.13 -p tcp --dport 80 -j REDIRECT --to-port 3128 -j ACCEPT