USUÁRIOS BURLANDO O PROXY

[thiagohrp]

:-o AQUI ONDE EU TRABALHO TEMOS UM PROXY SQUED TRANPARENTE E UM FIREWALL IPTABLES, UM DOS USUÁRIOS DESCOBRIU UM LISTA DE PROXY LIVRE DA INTERNET E ELE CONFIGUROU O COMPUTADOR PARA ACESSAR A NET VIA UM PROXY ESPECÍFICO, ELE NÃO É MAIS BLOQUEADO EM NADA PELO PROXY INTERNO, NÃO TENHO IDÉIA DE COMO BLOQUEAR, A UNICA COISA QUE TENTEI FAZER FOI NO FIREWALL DROP PACOTES PARA A PORTA 3128 MAS NÃO DEU CERTO.POR QUE ISSO ACONTECE JA QUE TODO MEU TRAFEGO DA PORTA 80 PASSA TEÓRICAMENTE PELO MEU SQUID.
ALGUÉM PODE HELP-ME?

[chacara]

Dansguardian + URLBlacklist.com já ajudam bastante.
O que você pode fazer a principio e mudar a porta do squid para uma que não seja a padrão 3128 e bloquear as portas comuns para acesso a proxy.

[djhulk]

recomendo a vc analizar o trafego... talvez nao seja a porta 3128 q estejam usando... pode ser 8080, 80 8000, entre outras... se eles estiverem usando tunneling.. .dai vai ter q usar uns metodos mais drásticos!!

tenta usa sempre pelomenos....
iptables -P FORWARD DROP

[Badfile]

Colega Thiago,

aqui resolvi isso com uma acl para bloquear proxys externos (públicos), mas é possível que alguém tenha instalado um proxy na própria máquina. Aí, como disse djhulk, métodos mais drásticos. O RH taí pra isso, também.
Vou encurtar e sugerir a você que dê uma boa lida no tópico todo, pois tem muita coisa interessante lá:

under-linux.org/forum8-topic,22129.0.html
under-linux.org/topic,19640.15.html

creio que te ajudará muito.

boa sorte!

[514ck]

:mrgreen:

Caro Thiago

Eu tive esse a sujestão do colega djhulk , pode resolvar o seu problema mas caso não resolva vc pode tomar medias um pouco mais drásticas como por exemplo:

Redirecionamento de portas, mas, ao invés de usar o ip da máquina como referência eu usei o mac dela com a regra:

iptables -t nat -A PREROUTING -m mac --mac-source 00:40:339:FA:81 -p tcp --dport 80 -j REDIRECT --to-port 3128 #MAQUINA 3 SALA_HARDWARE

depois eu bloqueio a cedeia FORWARD daquele mac com a regra:

iptables -A FORWARD -p tcp -m mac --mac-source 00:40:339:FA:81 -j DROP #MAQUINA 3 SALA_HARDWARE

funciona bem, pq como a cadeia FORWARD tá fechada não vai passar nada que não seja pela porta do proxy e caso vc deixe o navegador sem proxy ele será redirecionado para o proxy e não adianta o cara mudar o ip da máquina pra se beneficiar de uma eventual lista de ips que estão liberados pelo proxy pq vc pode fazer essa lista com mac´s ao invés de ips.

espero ter ajudado.

[Tatanka]

Eu concordo com o pessoal ai acima.. Tb tinha um carinha esperto na minha rede fazendo isso, então uma solução muito simples que tive foi, bloquear todos os usuarios de pingar em sites externos.. Somente o servidor Linux pinga pra fora e os que estão dentro da rede so pinga na rede e no servidor.. Dai acabou os meus problemas..

[djhulk]

caro thiago, os colegas 514ck, Badfile, chacara e Tatanka, deixaram as dicas, agora vai la e manda ve, depois posta o resultado :wink:

minha deixa...
sugiro a vc começar re-estruturando o firewall.

adios..
:-P

[Super_Diaulas]

cara tenho uma solução melhor...se informe.

Procure pelo guia foca linux e por uma documentação com o nome mais ou menos assim:
"Montando um Squid Ninja", ele é um how-to mas explica bastante coisa....
use as dicas qu a galera passou... você pode bloquear via acl, via iptables, via porrada
use como quiser
se quiser pegar o engraçadinho na hora, consulte o log do squid
geralmente em /var/log/squid/access.log

[CEP]

Pessoal estou com esse problema na minha rede. Uso FreeBSD e ip dedicado. De uma semana pra ca percebi varios IP externos.... da uma olhada...

203.230.212.5 - http://ad.yieldmanager.com/iframe3?
192.168.14.2 - http://www.youtube.com/img/star_sm_bg.gif
211.53.157.145 - http://www.w3.org/TR/html4/loose.dtd
203.230.212.5 - http://www.w3.org/TR/html4/loose.dtd
211.233.62.140 - http://ad.marketingsector.com/imp?
211.53.219.155 - http://ad.yieldmanager.com/imp?
192.168.14.2 - http://sjl-static13.sjl.youtube.com/...TbaBApM4/2.jpg
192.168.48.2 - http://www.scriptbrasil.com.br/sistemas/online/js.php?
192.168.14.2 - http://sjl-static13.sjl.youtube.com/...xG81zgP4/2.jpg
192.168.48.2 - http://www.caminhandocomosol.com.br/algif.gif
192.168.14.2 - http://sjl-static7.sjl.youtube.com/vi/ZDepABf9JOg/2.jpg
210.92.61.60 - http://www.globe7.com/gg1.php?
210.217.94.11 - http://www.w3.org/TR/html4/loose.dtd
192.168.14.2 - http://sjl-static11.sjl.youtube.com/...5LOd_Zus/2.jpg
210.114.174.71 - http://ad.yieldmanager.com/iframe3?
192.168.14.2 - http://sjl-static1.sjl.youtube.com/vi/Yd99gyE4jCk/2.jpg
221.157.125.40 - http://ad.marketingsector.com/iframe3?
192.168.14.2 - http://sjl-static7.sjl.youtube.com/vi/6B26asyGKDo/2.jpg
211.35.176.197 - http://ad.yieldmanager.com/iframe3?
192.168.14.2 - http://sjl-static16.sjl.youtube.com/...F1yMv8nY/2.jpg
125.77.88.182 - http://ad.yieldmanager.com/imp?
211.179.125.51 - http://www.w3.org/TR/html4/loose.dtd
219.157.127.203 - http://stat.displayadsmedia.com/ref.aspx?
125.77.88.182 - http://ad.yieldmanager.com/imp?

Os IPs 192.168.XX.2 são meus clientes. Ja esses outros nao são...acredito que tenha algum engaçadinho usando um proxy publico e nao esteja passando pelo meu squid. Como faço para bloquear isso? Utilizo FreeBSD + Squid + IPFW. Grato.

[netosdr]

no squid crie a acl que permite somente sua rede

acl all src 0.0.0.0
acl rede_local src 192.168.0.0/16
...
http_access allow rede_local
http_access deny all

[Super_Diaulas]

onde você percebeu estes ips externos?

[mastellaro]

Gente, somos gerentes de rede ( pelo menos eu sou ), vamos facilitar a nossa vida.... Temos duas opçoes:

Primeira: Nao podemos perder tempo com usuário fujão, o negócio é conversar com o kra... e passar a fita pra ele, se ele continuar entrando em site fora do conteúdo de trabalho, o negócio é tocar a bola pra direção.

Segunda: Já que vc usa proxy transparente, é só fazer um Deny all no seu squid e criar uma lista de sites permitidos. Aí vc faz tb uma lista de ips com acesso total, pois tem o chefe ( q nunca precisa ter todos sites abertos, mas é chefe né gente ). Seus problemas acabaram, o interessante é q vc passar a ter 100% de controle de acesso dos usuarios, e o cara vai ter q te pedir pra liberar os sites q ele quer... aí vc decide se libera ou nao....é barabada.

Espero ter ajudado.

fui

[CEP]

Amigo Super_Diaulas;
Percebi esses ip nos logs do squid... tail -f /usr/squid/log/access.log..... Estou tentando implantar no meu squid.conf uma ACL que proiba todo esses sites que burlam proxy...Ate mesmo vi aki no forum um camarada que postou uma lista imensa desses sites...se alguem souber onde está essa lista, posta ai.....grato.

[mastellaro]

Amigo Super_Diaulas;
Percebi esses ip nos logs do squid... tail -f /usr/squid/log/access.log..... Estou tentando implantar no meu squid.conf uma ACL que proiba todo esses sites que burlam proxy...Ate mesmo vi aki no forum um camarada que postou uma lista imensa desses sites...se alguem souber onde está essa lista, posta ai.....grato.

Gente... por mais q vcs coloquem sites nas regras de bloqueio nunca vao conseguir bloquear tudo... sempre vai ter site q alguem vai burlar.... vamos facilitar nossa vida.... Deny all no squid e libera o essencial ( sites de banco, sites q os funcionarios precisam, sites de pesquisa ). Eu coloquei essa regra aqui na minha empresa, coloquei regras para usuarios bloqueados, onde esses só acessam o conteúdo q eu defini com permitido, e ainda bloquei download de extensoes. A internet é perigosa, e todos usuários sao "dedo nervoso" nao podem ver nada que clicam. Portanto, nao seja bonzinho, seja profissional, faça o que é melhor para o grupo.

[Badfile]

pessoal
demorei mas postei as listas como havia prometido a apenas dois meses atrás.
o endereço está disponível para resolver essas questões
segue aí:

http://paginas.terra.com.br/informatica/linuxusers/

espero ajudar

[Super_Diaulas]

se a galera usa proxy externo.......meu não tem lista que bloqueia!!!

a cada dia surge 10 novos.........bloqueia tudo e libera o q é necessário

[Badfile]

Colega Diaulas,
concordo que é o mais correto, particularmente quando você trabalha dentro da empresa.
Tenho roteadores de internet em clientes a 60km daqui. Mesmo com acesso remoto, nem sempre estamos disponíveis.
Então, a lista faz parte da solução possível.
Falando nisso, quem tiver listas mais atualizadas, agradecemos ;-)

[Super_Diaulas]

bom......... então vc precisa se multiplicar

[djhulk]

Concordo com Super_Diaulas, A cada dia vao aparecer novos sites de free proxy, esses q permitem voce "passar" pelo proxy "sem ser visto", isso é qnem site de putaria... tem muuuitos na internet... ( :-o ). Se voce trabalha numa instituicao de ensino, nao vai dar certo bloquear tudo e ir liberando o vc considera bom na internet. Nossas escolhas se resumiram a 2.

Converse com a direcao da empresa e explique as 2 possibilidades que sao, bloquear tudo e ir liberando o que é essencial para grupos de usuários na rede OU continue bloqueando os sites na sua lista... ambas as possibilidades vao dar trabalho, mãs no final compensa. Agora basta voce escolher oque mais se encaixa na sua condição.

qnem meu avô dizia, DROPA TUDO! (auhauhauhauha) :mrgreen:

:-D

[mastellaro]

multiplicar por mil entao......mas vcs é quem sabem.... eu ja falei sobre o Deny all