+ Responder ao Tópico



  1. #1

    Padrão Contornar Proxy Transparente

    O que é que eu poderia fazer, para que uma determinada maquina da rede ao navegar, não passe pelo proxy transparente?

    Grato.

  2. #2
    adepto_virtual
    Visitante

    Padrão Contornar Proxy Transparente

    Simples... Faça uma regra no iptables dizendo para "PULAR" o proxy..


    Por exemplo...

    iptables -t nat -I PREROUTING -s www.uol.com.br -d 10.10.4.10 -j DNAT --to 10.10.4.10

    Onde:

    -s www.uol.com.br é o site em expecifico que você deseja pular.
    Se quizer que TODOS OS PACOTES para certo ip sejam "pulados" não inclua essa regra.

    -d 10.10.4.10 O ip interno da sua rede, que DEVE SER SUBSTITUIDO PELO IP DA MAQUINA QUE DESEJA PULAR O PROXY.

    ...

    Caso deseje que TODOS OS PACOTES DESSE IP PULEM O PROXY, use essa regra:

    iptables -t nat -I PREROUTING -d 10.10.4.10 -j DNAT 10.10.4.10

    Abraço



  3. #3

    Padrão Contornar Proxy Transparente

    Citação Postado originalmente por adepto_virtual
    Simples... Faça uma regra no iptables dizendo para "PULAR" o proxy..


    Por exemplo...

    iptables -t nat -I PREROUTING -s www.uol.com.br -d 10.10.4.10 -j DNAT --to 10.10.4.10

    Onde:

    -s www.uol.com.br é o site em expecifico que você deseja pular.
    Se quizer que TODOS OS PACOTES para certo ip sejam "pulados" não inclua essa regra.

    -d 10.10.4.10 O ip interno da sua rede, que DEVE SER SUBSTITUIDO PELO IP DA MAQUINA QUE DESEJA PULAR O PROXY.

    ...

    Caso deseje que TODOS OS PACOTES DESSE IP PULEM O PROXY, use essa regra:

    iptables -t nat -I PREROUTING -d 10.10.4.10 -j DNAT 10.10.4.10

    Abraço
    Olá adepto_virtual,

    Era isto mesmo que eu estava querendo, só que eu estava achando que não daria certo.

    Outra dúvida: Esta regras deve ficar acima ou abaixo da regra do proxy transparente?

    Vou tentar e dou um retorno.

    Muito obrigado pela sua atenção.

  4. #4



  5. #5

    Padrão Re: antes

    Citação Postado originalmente por edmafer
    acima
    Entendido! Eu não lembrava se gente primeiro libera e depois bloqueia ou bloqueia e depois libera.

    Obrigado.

  6. #6

    Padrão Segurança

    Opa só colocando uma virgulizinha coloque a navegação especifica na porta 80, porque se essa maquina que esta navegando na net sem log pega um back door, ou qualquer coisa ela estará direto na net.

    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 80 -j DNAT --to 200.0.0.1 #HTTP
    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 443 -j DNAT --to 200.0.0.1 #HTTPS

    Assim vc garante que o que ele ta somente enviando pacotes de http e https para a net direto !



  7. #7

    Padrão Re: Segurança

    Citação Postado originalmente por wps
    Opa só colocando uma virgulizinha coloque a navegação especifica na porta 80, porque se essa maquina que esta navegando na net sem log pega um back door, ou qualquer coisa ela estará direto na net.

    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 80 -j DNAT --to 200.0.0.1 #HTTP
    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 443 -j DNAT --to 200.0.0.1 #HTTPS

    Assim vc garante que o que ele ta somente enviando pacotes de http e https para a net direto !
    Beleza!

    Aqui no seu exemplo -s 10.10.4.10 é a estação? e --to 200.0.0.1 é o servidor (roteador)?

    Esta regras deve ficar acima ou abaixo deste regras:

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Aguardo retorno e obrigado pela sua atenção.

  8. #8
    felco
    Visitante

    Padrão Re: Segurança

    Citação Postado originalmente por aprendiz_ce
    Citação Postado originalmente por wps
    Opa só colocando uma virgulizinha coloque a navegação especifica na porta 80, porque se essa maquina que esta navegando na net sem log pega um back door, ou qualquer coisa ela estará direto na net.

    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 80 -j DNAT --to 200.0.0.1 #HTTP
    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 443 -j DNAT --to 200.0.0.1 #HTTPS

    Assim vc garante que o que ele ta somente enviando pacotes de http e https para a net direto !
    Beleza!

    Aqui no seu exemplo -s 10.10.4.10 é a estação? e --to 200.0.0.1 é o servidor (roteador)?

    Esta regras deve ficar acima ou abaixo deste regras:

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Aguardo retorno e obrigado pela sua atenção.
    elas devem ficar acima dessa regra de REDIRECT



  9. #9

    Padrão Contornar Proxy Transparente

    Para você saber a ordem que você vai colocar regras no seu firewall, basta você seguir o conceito de que quando uma requisição é encaixada em uma regra do firewall, todas as outras regras são ignoradas. Por isso, se você quiser bloquear algo, convém colocar a regra acima das outras, para que assim a requisição bata com uma regra de primeiro, sem haver o risco de permitir algo antes.


    Abraços!

  10. #10

    Padrão Re: Segurança

    Citação Postado originalmente por felco
    Citação Postado originalmente por aprendiz_ce
    Citação Postado originalmente por wps
    Opa só colocando uma virgulizinha coloque a navegação especifica na porta 80, porque se essa maquina que esta navegando na net sem log pega um back door, ou qualquer coisa ela estará direto na net.

    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 80 -j DNAT --to 200.0.0.1 #HTTP
    iptables -t nat -I PREROUTING -p tcp -s 10.10.4.10 --dport 443 -j DNAT --to 200.0.0.1 #HTTPS

    Assim vc garante que o que ele ta somente enviando pacotes de http e https para a net direto !
    Beleza!

    Aqui no seu exemplo -s 10.10.4.10 é a estação? e --to 200.0.0.1 é o servidor (roteador)?

    Esta regras deve ficar acima ou abaixo deste regras:

    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    Aguardo retorno e obrigado pela sua atenção.
    elas devem ficar acima dessa regra de REDIRECT
    Beleza! Obrigado e um forte abraço.



  11. #11

    Padrão Contornar Proxy Transparente

    Citação Postado originalmente por xstefanox
    Para você saber a ordem que você vai colocar regras no seu firewall, basta você seguir o conceito de que quando uma requisição é encaixada em uma regra do firewall, todas as outras regras são ignoradas. Por isso, se você quiser bloquear algo, convém colocar a regra acima das outras, para que assim a requisição bata com uma regra de primeiro, sem haver o risco de permitir algo antes.


    Abraços!
    Entendido! Toda vez que vou mexer com IPTABLES, me confundo com a ordem dos "fatores", que deste caso faz a diferença.

    Obrigado e um forte abraço.

  12. #12

    Padrão SIM

    COMO NOSSO QUERIDO MODERADOR FALOU ele fecha na primera regra que encaixar se nao encaixar em nenhuma ele entra na police !!

    EXEMPLO:
    pacote destinado a porta 53 tcp
    IPTABLES -P INPUT ACCEPT -->POLYCE ACCEPT !!! --> BURACO !!! FALHA
    IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT --nao casou
    IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT --nao casou
    CHEGOU NO FINAL NAO CASOU COM NENHUMA MAS ENTRA

    pacote destinado a porta 53 tcp
    IPTABLES -P INPUT DROP -->POLYCE DROP !!! OK
    IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT --nao casou
    IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT --nao casou
    CHEGOU NO FINAL NAO CASOU COM NENHUMA DROPA O PACOTE !!



  13. #13

    Padrão Re: SIM

    Citação Postado originalmente por wps
    COMO NOSSO QUERIDO MODERADOR FALOU ele fecha na primera regra que encaixar se nao encaixar em nenhuma ele entra na police !!

    EXEMPLO:
    pacote destinado a porta 53 tcp
    IPTABLES -P INPUT ACCEPT -->POLYCE ACCEPT !!! --> BURACO !!! FALHA
    IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT --nao casou
    IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT --nao casou
    CHEGOU NO FINAL NAO CASOU COM NENHUMA MAS ENTRA

    pacote destinado a porta 53 tcp
    IPTABLES -P INPUT DROP -->POLYCE DROP !!! OK
    IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT --nao casou
    IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT --nao casou
    CHEGOU NO FINAL NAO CASOU COM NENHUMA DROPA O PACOTE !!
    Beleza! E obrigado pela sua atenção.