Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128
Ola turma!
É o seguinte. Uso proxy transparente... mesmo depois de redirecionar a porta para 3128... as estações continua passando pelo proxy. O usuário desabilita o proxy nas estações rwindows e acessam normalmente.
Da uma força quem ja passou por esse problema. Vai as regras bem simples que estou usando no servidor.
# LIMPANDO AS TABELAS
iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
#LIBERA LOOPBACK
iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
# COMPARTILHA
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward
# CONFIGURAçÃO CONECTIVIDADE SOCIAL
# iptables -A FORWARD -s 192.168.12.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
# iptables -A FORWARD -s 200.201.174.0/24 -p tcp -d 192.168.12.0/24 --dport 80 -j ACCEPT
#iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128
#LIBERA PORTAS INTERNET,SSH, ETC
iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT
# PARA NAO FUGIREM DO PROXY
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
#PORTAS PARA SAMBA
iptables -A INPUT -i eth1 -m multiport -p tcp --dport 53,135,139,445 -j ACCEPT
iptables -A INPUT -i eth1 -m multiport -p udp --dport 53,137,138 -j ACCEPT
iptables -A INPUT -p tcp --syn -s 192.168.12.0/24 -j ACCEPT
# PRIORIZAR TRAFEGO HTTP, HTTPS
iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 16
iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 443 -j TOS --set-tos 16
# PARA NAO FUGIREM DO PROXY
iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128
# BLOQUEANDO SCANERS POSTMAP ATAQUES DOS E PING OF DEATH
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP
Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128
brother naum entendi seu questionamento
vc tem proxy transparente, com isto vc naum precisa configura o navegador do usuario para acessar via proxy, pois o proxy transparente é justamente para fazer isto, para que vc naum se ecomode com configurações nas estações.
é claro que se vc tiver tirado a configuração do navegador vai continuar a navegar, devido o proxy transparente,
leandro
[email protected]
Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128
Este proxy esta autenticando. Tenho esse controle no kurumin e ninguem passa pelo proxy mesmo tirando as configurações do navegador. Aqui instalei um server Debian com algumas configurações diferentes,,, ele até funfo negando acesso depois parou. Inclusive quando tiro as configurações do navegador a acl que bloqueia alguns sites funciona mesmo assim.
Mesmo assim valeu pela ajuda. Alguém mais pode dar uma força ?
Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128
Amigo, quando você configura um proxy, ele pode ser configurado de 2 formas, ou ele vai ser um proxy transparente (sem autenticação, sem configuração nos computadores locais) ou ele vai ser um proxy autenticado (onde vc vai ter que configurar os computadores locais para eles acessarem a internet). Ou seja, você não pode ter os 2 ao mesmo tempo, ou ele vai ser autenticado, ou ele vai ser transparente.
Espero ter ajudado a esclarecer as suas idéias.
Abraço
Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128
Volto a dizer que o meu proxy é transparente e autenticado. E agora esta funcionando como eu queria. Ou seja se o usuario tirar as configurações do proxy, mesmo assim ele não acessa.
Aqui a regra do firewall que devia tudo para o proxy:
# PARA NAO FUGIREM DO PROXY
iptables -t nat -A PREROUTING -i eth1 -m multiport -p tcp --dport 80,8080 -j REDIRECT --to-port 3128
Agora o meu squid.conf - Inclusive com autenticação.
http_port 3128
visible_hostname ServerInternet
cache_mem 128 MB
maximum_object_size_in_memory 512 KB
maximum_object_size 800 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 20% 2280
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#Libera LOCAL
acl proibidos dstdomain "/etc/squid/siteproibido"
acl ipliberado src "/etc/squid/ipliberados"
acl redelocal src 192.168.12.0/24
acl SSL_ports port 443 563
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https, snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 1025-65535 #unregistred ports
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #fielmaker
acl Safe_ports port 777 #multing http
acl Safe_ports port 901 #Swat
acl purge method PURGE
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access deny proibidos
http_access deny redelocal !ipliberado
#Autenticacao de Usuarios
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
acl autenticados proxy_auth REQUIRED
http_access allow autenticados
http_access allow localhost
# http_access allow redelocal
http_access deny all
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on