impedir espertinhos ?

11-06-2005, 20:35

Minha rede interna está liberado tudo.

Porém a porta 80 faz redirect para o proxy.

Mas se o usuário colocar outro host no proxy e outra porta ?

Ele vai navegar por outro proxy !

Tem como eu impedir isso mas liberando todo tráfego para rede interna ?

**roggy** · 11-06-2005, 20:49

Mas se o usuário colocar outro host no proxy e outra porta ?
Ele vai navegar por outro proxy !

Só navegara por outro se tiver outro proxy na rede.
Vc disse que todo trafego pra 80 redireciona pro proxy... se estiver direcionando pro squid vc ja tem o proxy transparente na sua rede. Dê uma olhada.

Falow!! :good:

11-06-2005, 21:20

é com autentificação.

Não é transparente, eu coloco nas estações windows o IP do servidor e PORTA.

Mas se tiver um usuário espertinho e colocar outro IP, e porta ?

Vai navegar sem passar pelo proxy.

__FERNANDO__ · 13-06-2005, 09:04

Bom dia!

É como o amigo acima informou, não tem como o cara navegar por outro proxy...a não ser que vc tenha mais de um proxy em sua rede.

Se o usuário colocar outro ip e/ou porta teoricamente não vai navegar não, pois o outro ip e porta não existirá, entende ? Não terá outro proxy no IP que ele passar, como disse, a não ser que tenha mais de um proxy na sua rede.

[]'s

jedi · 13-06-2005, 09:32

Como vai ter dois proxy na mesma rede?
Se tiver tudo liberado ele pode navegar pelo gateway,
TEm certeza aque seu iptables está redirecionado a porta 80?

**jadirorza** · 13-06-2005, 10:04

As maquinas não tão com dns externo configurado???

13-06-2005, 10:08

Você não tem como impedir o usuário de alterar o servidor proxy no navegador dele, supondo que seja um S.O. em que o seu usuário possa alterar o seu ambiente ao seu gosto. A única maneira que eu vejo para impedir o acesso indevido a internet é liberando apenas os serviços que o usuário precise, como SMTP(25), POP3(110), HTTP(80,443), normalmente é somente esses que é necessário em uma empresa.

IPCliente: 192.168.0.11
Regras:

iptables -A FORWARD -s 192.168.0.11 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -s 192.168.0.11 -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d 192.168.0.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 192.168.0.11 -d 192.168.0.1 -p tcp -j DROP
iptables -A FORWARD -s 192.168.0.11 -p tcp -j DROP

Com as regras acima o UDP e o ICMP continua funcionando, o TCP funciona para o que está liberado, acessa o SMTP e POP3 em qualquer lugar e somente o seu servidor Squid, supondo que o seu servidor seja o 192.168.0.1 .

A resposta anterior não é correta, não importa se tem ou não 2 servidores proxy na mesma rede, o usuário um pouco mais esperto pode muito bem usar 1 dos milhares de servidores SOCKS mal configurados para ele acessar indevidamente a internet ou mesmo outro servidor Squid também mal configurado, com um pouco de ajuda do astalavista.box.sk você consegue fazer tudo isso.

13-06-2005, 11:18

é iss ai, só desta maneira mesmo.

valeu !!! :good: :good: :good:

spalmeira · 13-06-2005, 15:07

Exemplo:
Servidor, Desktop Gerente e Desktop usuário.
Vamos supor que o usuário tem acesso ao micro do gerente onde tudo é liberado e instale um software que torne o micro do gerente um gateway para o micro do usuário que só tem acesso aos e-mail?
Funcionaria?

**CFRInformatica** · 13-06-2005, 15:19

Só navega pelo gateway se tiver nat configurado. Se não tiver o kra só navega pelo seu proxy.

13-06-2005, 17:27

o negócio é fechar todas as portas, e liberar o que precisa.
Ao contrário não tem como pq tem proxy na internet pra qualquer porta .

impedir espertinhos ?

Ferramentas de Tópicos