Bloquear saídas para não usar proxys externos
Olá, estou meio que engatinhando ainda, será que alguem me da uma luz..
Meu squid (transparente) bloqueia tudo tudo, só libero alguns sites .. até ai tudo bem...
Porém se algum usuário configurar no nageador algum proxy externo, ele nagega normalmente.
Sei que preciso bloquear as saidas sem afetar os emails, porem como fazer isso?. Meu firewall é este, sei que esta super simples..
Obrigado
#! /bin/sh
#Desabilita forwarding
echo 0 > /proc/sys/net/ipv4/ip_forward
#Ativa modulos
modprobe ip_tables
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
#zera regras
iptables -F
iptables -X
iptables -F -t nat
iptables -X -t nat
iptables -F -t mangle
iptables -X -t mangle
#Regras Padrao
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
#Habilitar Masquerading
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE
iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP
#Direciona requisiçoes recebidas na porta 80 para o Squid
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
#Habilita forwarding
echo 1 > /proc/sys/net/ipv4/ip_forward
Re: Bloquear saídas para não usar proxys externos
Bloqueie no forwarding as portas conhecidas de proxies, como 1080, 3128, 8080 e 8081, e fique de olho, porque com certeza os espertinhos vão descobrir alguma outra porta menos conhecida, aí você bloqueia ela também.
Re: Bloquear saídas para não usar proxys externos
Eu faço da seguinte forma para bloquear isso:
$IPT -t nat -A POSTROUTING -s 192.168.0.1 -d 0/0 -p tcp --dport 3128 -j SNAT --to 200...
$IPT -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp -m multiport --dport 20,21,25,110,3456,5017 -j SNAT --to 200...
Eu nao faço o mascaramento da interface toda e sim das redes e portas que eu queira permitir acesso.