+ Responder ao Tópico



  1. #1

    Padrão Proxy + Iptables + VPN - Problema no Acesso a VPN

    Bom dia a todos, estou com a seguinte situação:

    Squid funcionando perfeitamente juntamente com o Iptables, bloqueando sites, msn, skype, etc...

    No Squid tenho configurado a autenticação!

    O problema é que é necessário os usuário se conectarem a uma VPN, e quando se conecta na VPN a navegação está liberada, simplesmente os usuário removem o proxy do browser e navegam tranquilamente, como faço para resolver esta situação, sendo que na VPN quero bloquear a navegação via HTTP, SKYPE, MSN, etc...

    P.S

    A principio não temos acesso a regras/politicas criadas na rede que nos conectamos (no caso a VPN) gostaria de contornar esse problema localmente, sem precisar recorrer a recursos a serem configuradas na rede que é acessada via VPN)

    Desde já agradeço;

  2. #2

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Amigo, você está falando que os usuários da VPN estão conseguindo tirar o proxy do navegar e navegar tranquilamente? Você deve ter criado uma regra de MASQUERADE para a rede da VPN, esse detalhe está na regra do seu firewall, a rede da VPN está liberada, reveja sua regra, deixe os ips da VPN passarem pelo mesmo filtro que você aplica para a rede local.



  3. #3

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Olá, bom dia, muito obrigado pelo retorno a minha questão, entendi o que você esta dizendo, vou criar uma regra conforme você citou!

  4. #4

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Isso, faça isso e retorne aí pra saber se você conseguiu resolver, mas pelo que você relatou, é pra ser a sua regra.
    Abraço



  5. #5

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Olá, creio que já identifiquei o problema. Na rede em questão ( com servidor proxy + iptables) os usuários que conectam em um VPN através de um software cliente chamado a "Aker" cada usuário independente se conecta a VPN, são simples "hosts em transito" não é um VPN entre duas redes...
    - No meu firewall tudo o que precisar sair tenho que mascarar, como no caso as portas da VPN:,

    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p tcp --dport 1011 -j MASQUERADE
    iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -p udp --dport 1011 -j MASQUERADE

    Então quando os hosts se conectam na VPN não tenho mais como bloquear via IPTABLES, o bloqueio teria que ser feito na rede da VPN.... (pois toda conexão está acontecendo através do sofware cliente (aker) pela porta 1011 que esta liberada...


    Eu creio que esse é o caso, você conseguiu entender ?

    Desde já agradeço,

    Att,

    Ronan

  6. #6

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Olá, boa tarde.
    Entendi sim, como sua regre de MASQUERADE vem antes do REDIRECT 80->3128, ele realmente não vai ter como fazer esse filtro.
    A questão aí é de topologia.

    Mas eu entendi sim.



  7. #7

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Ok, mas não tenho proxy transparente, e mesmo se tivesse, creio que não funcionaria, pois a partir da hora que o usuário se conecta na VPN via "aker " ele começa a utilizar a rede da VPN, e não adianta nada eu criar regras de firewall "nessa ponta" pois a porta da VPN 1011 esta liberada e é através dessa porta que a conexão acontece, ignorando todas as regras do meu firewall (fiz alguns testes neste sentido... agora se eu estiver errado, favor me corrija)

    Desde já agradeço,

    Ronan

  8. #8

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Concordo contigo!
    É isso mesmo.

    Mas é interessante os usuários que se conectam na VPN passam a ter o acesso liberado, tinha pensado na questão do gateway, mas você tem uma regra pra rede VPN e eles passar a sair pela VPN.

    Não estou vendo uma solução para você fazer um controle aí que não seja com regras na outra ponta da VPN.



  9. #9

    Padrão Re: Proxy + Iptables + VPN - Problema no Acesso a VPN

    Valeu amigo pela atenção e pelo agilidade nas respostas, vou falar com o cliente sobre a solução a ser tomada!

    Att,

    Ronan