-
Duvidas sobre uma regra
Ola pessoal, estou começando agora a lidar com iptables, estava querendo arrumar um jeito de forçar a galera aki do trampo a usarem o proxy... li sobre proxy transparente e pretendia usar, mas meu chefe deu piti quando soube q não ia mais ser autenticado... ai pensei em bloquear a porta 80, assim forçando a utilizarem o proxy pra poder acessar a internet, mas ai veio a duvida, como tenho uma pagina hospedado no mesmo servido firewall/proxy, bloquear a porta 80 poderia atrapalhar ao acesso a minha pagina,(se não estou errado, se estou falando merda, por favor me avisem! eu quero aprender!). Ai pensei em apenas bloquear todas as requisições a porta 80 proveniente da minha rede interna, assim não atrapalharia com as requisições externas a mesma. Mas ai que está, como nunca implementei nada mesmo em iptables, tenho medo de que minha logica esteja furada, como eu acho q esteja... Ela faz algum sentindo ?? Sabem se assim eu conseguiria forçar a galera a ter q usar o proxy para navegar ??
Até onde entendi, a regra teria que ficar assim
iptables -A INPUT -p tcp -s 192.168.0.0/24 --sport 80 -j REJECT
Quem puder dar uma luz e umas dicas, aceito... to lendo tudo quanto é documentação, howto e exemplos que posso a respeito... mas ainda não to entendendo muito bem a logica da coisa... Como por exemplo, sei q em iptables primeiro libera e depois bloqueia. Caso a regra acima esteja correta, ao meu ver para ela funcionar corretamente eu teria que colocar ela antes de liberar a 80 ??
Bom, estou contando com vcs...
Abraços
-
Duvidas sobre uma regra
Você pode fazer o seguinte redirecionar todas as requisições que venham da sua rede interna procurando a porta 80 para a porta 80 do seu firewall, desta forma qualquer um que removesse as confirurações de proxy no navegador cairia automaticamente no seu site na porta 80 do servidor "firewall" para isso faça todos os usuarios navegarem pela porta 3128 com as configurações de proxy, segue as regras a serem usadas no iptables.
"iptables -t nat -A PREROUTING -i ethx -p tcp --dport 80 -J REDIRECT --to 192.168.0.254 --to-port 80"
"iptables -t nat -A PREROUTING -i ethx -p udp --dport 80 -J REDIRECT --to 192.168.0.254 --to-port 80"
Sendo que ethx é a interface que responde pela sua rede interna e "192.168.0.254" é o ip desta interface.
Falow Xerife espero que funcione qq duvida poste ai no forum
-
Duvidas sobre uma regra
Mal a demora, ontem mesmo consegui fazer o que eu queria.
Usei está regra, assim consigo obrigar a todos a usarem o maldito proxy e meu chefe fica contente com os relatorios vendo o nome de todo mundo lá :(
iptables -I FORWARD -p tcp -s 192.168.0.0/24 -p tcp --sport 80 -j REJECT
Essa regra so deixa a galera aqui navegar se usarem o proxy :wink:
Só que ela não deixa abrir a pagina da empresa aqui na rede local, embora não veja necessidade disso, sei q vai ter encheção de saco logo mais :(
Outra coisa que está pegando... as politicas das chains aqui estão as mais toscas, tipo "HJ É FESTA LÁ NO MEU APÊ!!". Todas com politica ACCEPT. Fui jogar a politica da chain INPUT para DROP e perdi minha conexão remota com o servidor, mesmo tendo a porta 22 liberada na primeira linha de regras. Alguma luz ??
Valeu pelas dicas charadaa. Mas ae fica minha duvida, minha maquina firewall é a mesma maquina na qual compartilho internet e tenho outros serviços rodando, vai funcionar assim mesmo essas regras ??
-
Duvidas sobre uma regra
Drozzini sugiro a leitura do guia foca avançado seçao iptables para aprender sobre o dito. É muito bom e esclarecedor.
Agora uma dica: o que eu faço nas redes que administro é usar o samba pra autenticar e proxy transparente. Assim, só as pessoas autorizadas podem usar as maquinas e ainda por cima nao podem remover configuracoes de proxy.. Outra coisa, nao eh muito bom deixar só uma maquina responsavel por roteamento, firewall, apache e todos os outros servicos. É mais dificil administrar e vc fica mais vulnerável. O ideal é deixar uma só como roteador/firewall e outra para os outros servicos...
Espero ter ajudado!
FAlow
-
Duvidas sobre uma regra
Olá! Bom dispatcher logico que eu gostaria de ter maquinas separadas, mas não posso dizer que na empresa que eu trabalho tenha uma infro razoavel... pra ficar razoavel tem muito o que melhorar, apesar de ser pequena, são coisa de 20 usuarios mais ou menos... então não fica tão complicado. Os usuários aqui são autenticados no dominio Ruindows. E meu chefe torceu o nariz pro proxy transparente pq não tinha o nome dos usuários nos relatorios!!! Chefe já viu né... por mim proxy transparente ia ser bem mais facil e funciona que é uma maravilha. E valeu pela dica do guia foca...
Já aproveitando, eu não consigo acessar o WebMin pela porta 10000 usando o proxy, alguma dica ??
Valeu,
Abraços