+ Responder ao Tópico



  1. #1
    rogerius
    Olá, estou meio que engatinhando ainda, será que alguem me da uma luz..

    Meu squid (transparente) bloqueia tudo tudo, só libero alguns sites .. até ai tudo bem...
    Porém se algum usuário configurar no nageador algum proxy externo, ele nagega normalmente.
    Sei que preciso bloquear as saidas sem afetar os emails, porem como fazer isso?. Meu firewall é este, sei que esta super simples..

    Obrigado

    #! /bin/sh
    #Desabilita forwarding
    echo 0 > /proc/sys/net/ipv4/ip_forward

    #Ativa modulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_LOG
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE

    #zera regras
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    #Regras Padrao
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    #Habilitar Masquerading
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

    iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
    iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP

    #Direciona requisiçoes recebidas na porta 80 para o Squid
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    #Habilita forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward

  2. #2
    mhp
    Bloqueie no forwarding as portas conhecidas de proxies, como 1080, 3128, 8080 e 8081, e fique de olho, porque com certeza os espertinhos vão descobrir alguma outra porta menos conhecida, aí você bloqueia ela também.



  3. Eu faço da seguinte forma para bloquear isso:

    $IPT -t nat -A POSTROUTING -s 192.168.0.1 -d 0/0 -p tcp --dport 3128 -j SNAT --to 200...
    $IPT -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp -m multiport --dport 20,21,25,110,3456,5017 -j SNAT --to 200...

    Eu nao faço o mascaramento da interface toda e sim das redes e portas que eu queira permitir acesso.






Tópicos Similares

  1. Bloquear MAC para não se conectar
    Por lsoliveira no fórum Redes
    Respostas: 7
    Último Post: 03-02-2007, 21:49
  2. nao usar proxy do MK
    Por douglassantos no fórum Redes
    Respostas: 14
    Último Post: 09-01-2007, 17:12
  3. Bloquear máquina para naum usar DHCP
    Por juliocm no fórum Servidores de Rede
    Respostas: 1
    Último Post: 01-12-2006, 08:39
  4. Nao usar proxy squid
    Por netricardo no fórum Servidores de Rede
    Respostas: 0
    Último Post: 11-02-2005, 08:54
  5. Não Usar proxy para endereço localmente
    Por Notielc no fórum Servidores de Rede
    Respostas: 4
    Último Post: 27-09-2004, 08:49

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L