+ Responder ao Tópico



  1. 26-10-2005, 17:19 #1
    massaharu
    Visitante

    Padrão Bloquear proxy externo

    Ola pessoal,
    Eu estou com o seguinte problema, os usuarios da minha rede passam por um proxy transparente Squid com algumas regras, porem eles estao configurando os navegadores para utilizar um proxy externo como faco para barrar o acesso atraves de qualquer proxy que nao seja o meu?
    tambem estou utilizando o iptables.
    Obrigado
    Citação Citação
  2. 26-10-2005, 17:57 #2
    cag
    Visitante

    Padrão Bloquear proxy externo

    utilize a política drop em sua rede, e libere somente o necessário.
    Citação Citação
  3. 31-10-2005, 16:42 #3
    massaharu
    Visitante

    Padrão Bloquear proxy externo

    Eu estou utilizando as seguintes regras:

    modprobe ip_tables
    modprobe iptable_nat

    # Protege contra os "Ping of Death"
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    # Protege contra os ataques do tipo "Syn-flood, DoS, etc"
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

    # Protege contra port scanners avançados (Ex.: nmap)
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

    # Protege contra pacotes que podem procurar e obter informações da rede interna
    #iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Protecoes contra ataques
    iptables -A INPUT -m state --state INVALID -j DROP

    # Proteção contra ICMP Broadcasting
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

    # Protege contra synflood
    echo "1" > /proc/sys/net/ipv4/tcp_syncookies

    # Desabilita o suporte a source routed packets
    # Esta recurso funciona como um NAT ao contrário, que em certas circunstancias pode
    # permitir que alguém de fora envie pacotes para micros dentro da rede local.
    echo "0" > /proc/sys/net/ipv4/conf/eth0/accept_source_route
    echo "0" > /proc/sys/net/ipv4/conf/eth1/accept_source_route

    # Abre para a interface de loopback.
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A OUTPUT -o lo -j ACCEPT

    # Libera a porta 22 SSH
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT

    # Libera a porta 3128
    iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT

    # Compartilha Internet
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    iptables -A INPUT -p tcp --syn -j DROP

    touch /var/lock/subsys/firewall

    pq eu nao consigo barrar um proxy externo?
    eu jah tentei adicionar essa regra, mas fez parar a internet
    iptables -A INPUT -j DROP
    Citação Citação



« Tópico Anterior | Próximo Tópico »