Pessoal tenho o Squid instalado e rodando normal, mais o problema é que todas as minhas estações tem IE configurado para passar pelo proxy. Mas se um espertinho for lá e tirar o ip do proxy do IE ele navega normalmente. como Barro Isso.?
Pessoal tenho o Squid instalado e rodando normal, mais o problema é que todas as minhas estações tem IE configurado para passar pelo proxy. Mas se um espertinho for lá e tirar o ip do proxy do IE ele navega normalmente. como Barro Isso.?
faca um proxy transparente e acaba com a brincadeira hehe pesquise no forum sobre proxy transparente vc vai encontrar muita coisa...
iptables -t nat -A PREROUTING -i eth1(sua interface da rede interna) -p tcp --dport 80 -j DROP
vai resolver
Só que se você tem autenticacao dos usuarios pelo internet explorer.. aí nao vai mais funcionar..
Valeu
Budah
Utilizo o freebsd ???Postado originalmente por arium
e o FreeBSD não tem firewall nativo ??
mtec
Eu uso proxy transparente com iptables e funciona legal, ai não precisa nem configurar nada no internet explorer.
A regra que uso no iptables é:
iptables -t nat -A PREROUTING -s REDE_INTERNA -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
Daniel_Martins vc está certo, mas esqueceu de dizer que no squid.conf tem q ser adcionadas essas regrinhas:
#vi /etc/squid/squid.conf
#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
sem o #, é claro.....
dããã....hehehehe
espero ter ajudado
cara...
é só bloquear a porta 80... como citado acima..
mas no FreeBSD nao sei como faz isso..valew
Este comando funciona legal comigo tbem, pois, tive o mesmo problema...Postado originalmente por daniel_martins
O unico incoveniente é que alguns programas naum vão rodar, por exemplo a atualização de antivirus automatica (depende do antivirus) pode ser barrada por essa regra, aí vc tem que criar outra regra para liberar a atualização
Bloqueie a porta 80 e 443 no forward, não precisando fazer proxy transparente e nem bloquear o nat da porta 80 e 443.
Ideal é usar a politica padrão do forward como drop, e depois liberando o que precisa.
e so compilar com esta opcoes
options MAC
options MROUTING
options IPFIREWALL
options IPFIREWALL_VERBOSE
options IPFIREWALL_FORWARD
options IPFIREWALL_VERBOSE_LIMIT=100
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPDIVERT
options IPFILTER
options IPFILTER_LOG
#options IPFILTER_DEFAULT_BLOCK
options IPSTEALTH
options PFIL_HOOKS
options TCPDEBUG
options RANDOM_IP_ID
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
options TCP_DROP_SYNFIN
options DUMMYNET
options BRIDGE
options ZERO_COPY_SOCKETS
options ALTQ
options ALTQ_CBQ # Class Bases Queuing (CBQ)
options ALTQ_RED # Random Early Detection (RED)
options ALTQ_RIO # RED In/Out
options ALTQ_HFSC # Hierarchical Packet Scheduler (HFSC)
options ALTQ_PRIQ # Priority Queuing (PRIQ)
options ALTQ_NOPCC # Required for SMP build
options IPFIREWALL
device pf
device pflog
device pfsync
# old ip6fw firewall
#options IPV6FIREWALL
#options IPV6FIREWALL_VERBOSE
#options IPV6FIREWALL_VERBOSE_LIMIT=100
#options IPV6FIREWALL_DEFAULT_TO_ACCEPT
# used on majority BSD MW routers
# narrows monotonic interval to cca 2ms for 64Kbit/s pipe
option HZ=1000
# dummynet
options DUMMYNET
depois usa pf pra fazer proxy transparent
rdr on $int_if proto tcp from any to any port 80 -> 127.0.0.1 port 3128 # Transparent Proxy