Duvida de conceito/implementacao

02-12-2005, 11:26

Olá
Sou iniciante e tenho uma duvida de conceito/implementacao..

Configurei meu squid (Autenticado), defini meus niveis de acesso etc etc.. enfim to rodando do jeito que eu quero...
Bom agora preciso LIBERAR email (pop,smtp) gvt, msn, etc etc.. na verdade preciso liberar quase tudo..

Atraves do firewall(iptables) terei que necessariamente habilitar o nat? ou existe outra maneira de compartilhar internet(pelo iptables)?
Estou perguntando porque se o usuario desmarcar o proxy no IE ele vai navegar normalmente não e? como evitar isso?

Desculpe se a pergunta é cretina... (srsrs)

**xstefanox** · 02-12-2005, 11:46

Olha, o que você pode fazer é bloquear a porta 80 na chain FORWARD, assim os usuários que desmarcarem as opções do navegador não irão conseguir navegar. O único inconveniente disso é que você terá que configurar as aplicações que se conectam pela porta 80 à utilizarem o seu proxy HTTP.

Eu sinceramente não faço a menor idéia de como está montado o seu firewall, mas sim, você terá que utilizar NAT, a partir do momento que o Squid não suporta todos os protocolos que você utiliza na sua rede, como SMTP e POP.

Abraços!

**PiTsA** · 02-12-2005, 11:48

assim.. eu fiz isso e funciona legal...

faça o mascaramento com o NAT no iptables...

dae vc faz um redirecionamento de porta como se o SQUID fosse um proxy transparente....redireciona a porata 80 para a porta 8080(ou a q vc usou no squid) ...

se o usuario desmarcar a opção de proxy, o iptables ira redirecionar as requisições a porta 80 para a porta 8080 do squid e o squid irá bloquear, pois o usuario não estará autenticado... pode fazer que funciona blz..

o que seria interessante vc fazer seria bloquear portas de possiveis proxys externos... pois a pessoa podera configurar o navegador para utilizar um proxy anonimo .... nesta pagina vc econtra as provaveis portas:

http://www.proxy4free.com/

alem de bloquear proxys webs pelo squid....

whinston · 02-12-2005, 12:16

Postado originalmente por PiTsA

assim.. eu fiz isso e funciona legal...

faça o mascaramento com o NAT no iptables...

dae vc faz um redirecionamento de porta como se o SQUID fosse um proxy transparente....redireciona a porata 80 para a porta 8080(ou a q vc usou no squid) ...

se o usuario desmarcar a opção de proxy, o iptables ira redirecionar as requisições a porta 80 para a porta 8080 do squid e o squid irá bloquear, pois o usuario não estará autenticado... pode fazer que funciona blz..

o que seria interessante vc fazer seria bloquear portas de possiveis proxys externos... pois a pessoa podera configurar o navegador para utilizar um proxy anonimo .... nesta pagina vc econtra as provaveis portas:

http://www.proxy4free.com/

alem de bloquear proxys webs pelo squid....

vc pode colocar aquelas 4 linhas de proxy transparente num proxy autenticado.

ae qdo vc for colocar as ACL pra valer, coloque assim:
- libera pra IPs sem autenticacao
- libera pra usuarios autenticados
- bloqueia

antes de começar a pensar no que fazer tecnicamente, defina um política de quem pode fz o que na internet.

eu prefiro bloquear tudo e ir liberando conforme for precisando, mas isto é bem chato, pq a cada novo recurso que o usuário precisar, vc terá que ver a porta (etc) e liberar.

não recomendo que vc use tudo aberto (forward all) pq do jeito que temos spywares hoje em dia, sua rede vai começar a ter lentidão e problemas muito em breve

Duvida de conceito/implementacao

Ferramentas de Tópicos