- Bloquear proxy externo
+ Responder ao Tópico
-
Bloquear proxy externo
Ola pessoal,
Eu estou com o seguinte problema, os usuarios da minha rede passam por um proxy transparente Squid com algumas regras, porem eles estao configurando os navegadores para utilizar um proxy externo como faco para barrar o acesso atraves de qualquer proxy que nao seja o meu?
tambem estou utilizando o iptables.
Obrigado
-
Bloquear proxy externo
utilize a política drop em sua rede, e libere somente o necessário.
-
Bloquear proxy externo
Eu estou utilizando as seguintes regras:
modprobe ip_tables
modprobe iptable_nat
# Protege contra os "Ping of Death"
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
# Protege contra os ataques do tipo "Syn-flood, DoS, etc"
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
# Protege contra port scanners avançados (Ex.: nmap)
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
# Protege contra pacotes que podem procurar e obter informações da rede interna
#iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# Protecoes contra ataques
iptables -A INPUT -m state --state INVALID -j DROP
# Proteção contra ICMP Broadcasting
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Protege contra synflood
echo "1" > /proc/sys/net/ipv4/tcp_syncookies
# Desabilita o suporte a source routed packets
# Esta recurso funciona como um NAT ao contrário, que em certas circunstancias pode
# permitir que alguém de fora envie pacotes para micros dentro da rede local.
echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route
# Abre para a interface de loopback.
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
# Libera a porta 22 SSH
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
# Libera a porta 3128
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
# Compartilha Internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp --syn -j DROP
touch /var/lock/subsys/firewall
pq eu nao consigo barrar um proxy externo?
eu jah tentei adicionar essa regra, mas fez parar a internet
iptables -A INPUT -j DROP