-
Furando o squid
Amigos,
Configurei o squid para proxy transparente e algumas acls que permitem acesso a determinados sites, ou seja a política é bloquear tudo e liberar somente as páginas que os usuários acessam diariamente.
Acontece que descobrimos em algumas maquinas da empresa, usuários navegando através de proxy. (195.175.37.8 porta 8080) configurado nas opções de internet.
Ainda desabilitamos esta opção através de chave do registro do windows (regedit), mais para usuário experto, não teve jeito: O cara desbloqueia e põe o endereço proxy acima.
Eu achava que proxy transparente, independente de o que ele colocasse alí, sempre iria requistar o que o squid estivesse liberando.
Enfim, tem jeito de bloquear isto ? Mesmo que o usuário coloque um endereço open proxy e porta ?
-
Bloqueia a porta 8080....
-
O negócio é assim, assim é o negócio...
Quando nós fazemos o redirecionamento de portas no iptables, nós falamos para o gateway que todas as requisições vindas da rede interna com destino à porta 80 devem ser redirecionadas para a porta 3128. A questão é que o navegador pode ser reconfigurado para utilizar outro proxy e, consequentemente, outra porta qualquer que este proxy venha à utilizar.
Sendo assim, a resposta para a sua pergunta é editar a sua regra de MASQUERADE para que esse filtro seja somente para as portas que a sua rede interna irá utilizar, como a 20, 21, 25, 53, 80, 110, etc etc etc.
Sacou?
-
Caro CunhaJr, seguindo a linha de raciocínio do Xstefanox, aqui na minha rede faço MASQUERADE segundo a regra abaixo:
### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), Gmail(465,955), RECEITANET(3456), CONECTIVIDADE
SOCIAL (2631) TERMINAL SERVER (3389)
iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,995,2083,2631,3456,3389 -j MASQUERADE
iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE
São as portas mais usadas, claro que para sua rede pode ser necessária alguma outra porta, mas aqui funciona legal e impede o uso de proxys externos.
Abraço
-
Gente, obrigado dica. Realmente temos que nos adaptar de acordo com a empresa em que estamos. Aqui a galera tem conhecimento razoável, e vive tentando furar as regras.
Fiz como voces informaram e mesmo colocando um proxy no navegador, agora as regras serão cumpridas.
Usei o formato:
$IPT -t nat -A POSTROUTING -s $IF_net1 -d 0/0 -p tcp --dport 80 -j MASQUERADE
$IPT -t nat -A POSTROUTING -s $IF_net1 -d 0/0 -p udp --dport 80 -j MASQUERADE
$IPT -t nat -A POSTROUTING -s $IF_net1 -d 0/0 -p tcp --dport 3128 -j ACCEPT
Não sabia que podia fazer como o amigo cristianff fez, utilizando a sintaxe
$IPT -t nat -A POSTROUTING -o $IF_eth1 -m multiport -p tcp --dports 80,3128 -j MASQUERADE.
De qualquer maneira, obrigado a todos.