+ Responder ao Tópico



  1. #1
    slackrio
    Visitante

    Padrão Regra de Firewall com proxy separado do firewall

    Pessoal tenho a seguinte situacao:

    Internet --> Switch ---> Firewall -----> Switch rede interna
    ---> Proxy -----> Switch rede Interna

    Ou seja o firewall e o servidor proxy estao ligados a um switch e depois eles estao ligados a outro switch que vai para a rede interna..

    o que acontece e que o pessoal navega pelo o proxy
    mais tb esta navegando sem o proxy.

    ja coloquei iptables -A INPUT -i eth1 -s 192.168.100.10 -j ACCEPT
    a mascarei somente para o ip do proxy 192.168.100.10 e a regra de redirecionamento
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10

    e no proxy coloquei tudo que vier na porta 80 redirecionan na porta 3128 ate ai tudo bem

    a duvida e como fazer as maquinas somente navegar pelo o proxy e barrar quando nao estiver com o proxy ?

    grato

  2. #2

    Padrão

    Bom dia Flamenguista.

    Eu não entendi muito bem sua estrutura, seria igual a figura em anexo?

    Você está fazendo proxy transparente?
    Como estão configuradas as estações? Estão configuradas pra acessar via proxy?

    Mas se você está falando que está navegando com e sem proxy, teria que ver suas regras do firewall. Você está mascarando a porta 80? Assim o pessoal consegue navegar sem o proxy também.

    Se você tiver uma regra:
    iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -p tcp --dport 80 -j MASQUERADE
    ou
    iptables -t nat -A POSTROUTING -s 192.168.100.0/24 -o eth0 -j MASQUERADE

    Ele vai navegar sem o proxy, na regra acima estou suponde que sua interface externa seja eth0 e sua rede interna 192.168.100.0.

    Verifique suas regras, qualquer coisa avisa.

    Abraço
    Imagens Anexas Imagens Anexas  



  3. #3
    matchboxx
    Visitante

    Padrão

    Bom dia amigo..

    faça o seguinte

    iptables -A FORWARD -i "interface lan" -o "interface DSL" -j DROP
    Isto bloqueara o acesso de todas as maquinas a internet.Feito esta regra coloque a proxima regra que liberará apenas o servidor proxy para navegar.
    iptables -A FORWARD -s "ip do servidor proxy" -i "interface lan" -o "interface DSL" -j ACCEPT


    Assim apenas as maquinas que estiverem utilizando proxy conseguirao navegar na internet.

    Abraços

  4. #4
    Moderador Avatar de Bruno
    Ingresso
    Nov 2002
    Localização
    Guarapuava-PR
    Posts
    3.925
    Posts de Blog
    1

    Padrão

    Citação Postado originalmente por slackrio Ver Post
    e no proxy coloquei tudo que vier na porta 80 redirecionan na porta 3128 ate ai tudo bem
    grato
    amigo vc vc colocou esta regra como eles estão navegando sem passar pelo proxy ??

    não tem como



    posta a ragra ai apra ver se esta correta

    caso seja esta aki
    ptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10

    ela esta errada


    teria que ser

    ptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.100.10:3128


    falta a porta do squid