+ Responder ao Tópico



  1. #1

    Padrão Mitos e verdade sobre proxy transparente

    Pessoal boa tarde andei lendo em alguns tópicos no fórum e em vários deles dizia-se que https não funciona com proxy transparente mas implantei proxy transparente e firewall iptables em 2 clientes e https tá passando legal, agora a pergunta: gostaria de saber mesmo se https funciona ou não funciona com proxy transparente.

    Uma outra pergunta meu firewall tá todo fechado como pode skype funcionar só liberei portas importantes 25,110,53,3389,1723,47,3128 epor aí vai o que teria que fazer mais para barrar o skype?

  2. #2

    Padrão

    Realmente, HTTPS não funciona com proxy transparente. Não funciona porque o proxy transparente por si só edita o cabeçalho TCP/IP do pacote, o quê corrompe o pacote final, que é checado com o certificado. Se ele passa, ele passa porque você tem um NAT liberando tal tráfego.

    O Skype por si só utiliza tunelamento por certas portas pertecentes à outros serviços, como a 80. O método mais seguro para bloquear tal tráfego, na minha opinião, seria utilizar layer-7.

    Abraços!



  3. #3

    Padrão

    exatamente como o xstefanox falou...

    eu vejo muito o pessoal confundir SQUID com iptables... tem gente que acha que o squid soh de estar RODANDO na maquina ele ja controla TUDO... e nao é bem assim..

    o que acontece é que quando vc faz a regra no seu firewall para desviar o trafego da porta 80 para o proxy.. vc apenas DESVIA A PORTA 80 !!! o https é porta 443 e nao é desviado e nem passa pelo squid !!!

    outra coisa que vejo, pessoal faz proxy transparente... e no squid.conf libera um MONTEEEEEEEEEEEE de portas... sem necessidade... !! porque apenas ira pasar o trafego da porta 80 no squid !! (no caso de suar proxy transparente)..

  4. #4

    Padrão

    Xstefanox, então o que vc quis dizer é: se usasse apenas o proxy sem nat, com certeza, eu teria problemas com https, mas pelo fato de natear o tráfego eu consigo trafegar https. Realmente além do proxy eu tenho uma regra de NAT sim por isso que tá passando então! Agora entendi direitinho. Mas vc acha esse esquema uma boa? Bem eu to achando que tem site de banco https que precisa passar e outros sites seguros por aí.

    Agora layer 7 precisa-se integrar ao kernel rcompilar ou basta um apt-get install layer 7?

    Em relação a confundir proxy com iptables isso tem mesmo mas não é meu caso eu sei cada um desempenha um papel diferente mas com objetivos iguais segurança. E alias eu vejo cada nego perguntando aqui no fórum cada coisa absurda e tb tb já ouvi respostas mais absurdas ainda.



  5. #5

    Padrão

    Citação Postado originalmente por vioflas Ver Post
    Xstefanox, então o que vc quis dizer é: se usasse apenas o proxy sem nat, com certeza, eu teria problemas com https, mas pelo fato de natear o tráfego eu consigo trafegar https. Realmente além do proxy eu tenho uma regra de NAT sim por isso que tá passando então! Agora entendi direitinho. Mas vc acha esse esquema uma boa? Bem eu to achando que tem site de banco https que precisa passar e outros sites seguros por aí.

    Agora layer 7 precisa-se integrar ao kernel rcompilar ou basta um apt-get install layer 7?

    Em relação a confundir proxy com iptables isso tem mesmo mas não é meu caso eu sei cada um desempenha um papel diferente mas com objetivos iguais segurança. E alias eu vejo cada nego perguntando aqui no fórum cada coisa absurda e tb tb já ouvi respostas mais absurdas ainda.
    Creio que você tenha que recompilar seu kernel para suportar o layer 7 ...

    No google vc acha muita coisa ...

    Instalando o layer 7 - Pesquisa Google

    qual sua distro e versão do kernel ... ???

    Falow ...
    Última edição por rootmaster; 06-02-2007 às 16:03.

  6. #6

    Padrão

    irei pesquisar sim mas a minha distro é Debian Sarge 3.1, em um lugar o kernel é 2.4 e na outra 2.6.



  7. #7

    Padrão

    layer7 e uma mao na roda!
    eu uso ele com outros pom alem do skype ele barra gizmo bla bla bla msn msn file transfertem muito recursos.

  8. #8

    Padrão

    Digamos que o proxy serve sim para segurança das máquinas, mas sobretudo para economizar sua banda (pois o Squid especificamente também serve de cache).

    Como mencionaram acima, o layer-7 é um módulo do iptables para bloquear tráfego utilizando a camada 7 da tabela OSI, que seria aplicação e foi desenvolvido para cuidar de tráfego que não passa por portas convencionais e tunelamentos, recomendando fazer um QoS na porta antes de bloquear (para evitar dores de cabeça com falsos-positivos), mas eu o considero bem estável para bloquear.

    Para você instalá-lo, em suma você tem que recompilar o kernel e o iptables com suporte à ele. Você pode dar uma olhada neste tópico que tem um cara com o mesmo sistema seu querendo instalar. Poderia ser de alguma utilidade para você. Fora que ele menciona um tutorial interessante que saiu no VOL.

    Abraços!



  9. #9

    Padrão

    Pô mano valeu pela idéia vo dar uma olhada nessa parada aí sim, hoje rcompilar o kernel pra mim vai ser um desafio 1º vou recompilar em casa depois no cliente.