+ Responder ao Tópico



  1. #1

    Padrão Como evitar web proxy e alteração de proxys??

    Alô galera.

    Tenho aqui na universidade um servidor rodando, com um firewall com iptables e redirecionando a porta 80 para a porta 3128 do squid, para controle de acessos a sites, onde há um proxy transparente.

    Tudo funciona legal, os sites são bloqueados blz. O problema é que sempre tem um espertinho que sabe de algum web-proxy, ou algum endereço de proxy via IP ou domínio para configurar o navegador de internet, e aí consegue acessar sites como orkut e msn.

    A pergunta é: Como evitar esse tipo de acesso? Porque ficar procurando endereços de web-proxys no google para acrescentar na black_list é serviço de presidiário.

    Valeu

  2. #2

    Padrão

    tambem estou em busca deste mesmo dilema...

  3. #3

    Padrão

    Você já tentou bloquear o restante do tráfego que não "cai" na regra de forward do squid??

    Antes de fazer isso mapeia o trafego que é utilizado e que não é atravez do redirect pra 3128, como por exemplo https, ftp, ssh e etc...

  4. #4

    Padrão

    Depende das maquinas clientes que voce tem, existe maneiras de realizar um enforce das politicas que voce tem na sua rede.

    A outra maneira é realmente esta de bloquear qualquer acesso que nao passe pelo seu proxy.

  5. #5

    Padrão

    bem, o que você pode fazer é colocar sua politica output drop, e so libera as portas necessarias.. a maioria dos proxys rodam em portas diferentes a 80.

  6. #6

    Padrão

    Ok.

    Mas como eu realizo esse bloqueio de tudo que não passe no proxy?? Qual a regra no iptables?

    Valeu

  7. #7

    Padrão

    após a regra de redirecionamento pra 3128 você coloca uma de DROP
    Se tiver dúvidas: Guia Foca GNU/Linux - Firewall iptables

    Qualquer coisa posta ai...

  8. #8

    Padrão

    Galera.
    Seria esta a regra?:

    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 80 -j DROP

    Valeu

  9. #9

    Padrão

    Citação Postado originalmente por Terry Ver Post
    Galera.
    Seria esta a regra?:

    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o ppp+ -p tcp --dport 80 -j DROP

    Valeu
    Nesse caso você vai estar negando os pacotes com origem da rede internar que possuem a porta 80 como porta de destino. Ou seja, a navegação sem proxy. No seu caso, você está querendo bloquear o tráfego de navegação com proxy que utilizam várias portas: 8080, 3128, etc...
    Acho melhor você não restringir uma porta, utilize uma regra que engloba todas as portas...

    Qualquer dúvida posta ai...

  10. #10

    Padrão

    Galera.

    Com a ajuda de um colega que conheci aqui no under-linux consegui resolver o problema. Na verdade ele resolveu.
    A regra no iptables, logo após a regra de redirecionamento de porta para o squid é a seguinte:

    iptables -t nat -A POSTROUTING -s $REDE_INTERNA -p tcp --dport 80 -j MASQUERADE

    onde, $REDE_INTERNA é o endereço de rede, por exemplo, 192.168.0.0/24

    neste caso só serão aceitos pacotes com destino a porta 80, se por acaso precisar liberar os e-mails, utiliza-se a mesma regra apenas mudando a porta 80 pela 25 e 110.

    Valeu

  11. #11

    Padrão FAcil :)

    iptables -I FORWARD -s <redeloca> -p tcp --dport 80 -j DROP
    iptables -I FORWARD -s <redeloca> -p tcp --dport 81 -j DROP
    iptables -I FORWARD -s <redeloca> -p tcp --dport 8080 -j DROP
    iptables -I FORWARD -s <redeloca> -p tcp --dport 8081 -j DROP
    iptables -I FORWARD -s <redeloca> -p tcp --dport 3128 -j DROP
    iptables -I FORWARD -s <redeloca> -p tcp --dport 3127 -j DROP


    NENHUM PROBLEMA AO SEU PROXY SERA ADICIONADO UMA VEZ QUE A REGRA DE PREROUTING DO IPTABLES PRECISA DE UMA REGRA DE INPUT E NÃO DE FORWARD

    Da uma olhadinha nos comando abaixo também vc pode criar uma lista de portas de proxy "dinâmica"

    $wget Open Proxy List
    $cat proxylist.htm | grep -i "href='/proxy-[0-9]" | awk {' print $8'} | awk -F "'" {'print $1'}


    Abraço