Problema sério - Proxy Interno + Proxy VPN

[MarcioRM]

Fala galera

Faz tempo que não posto nada, mas voltando a ativa...

Estou com o seguinte problema aqui na empresa, preparei um proxy/firewall com iptables/Layer7+squid(transparente), até aí tudo bem, tudo certinho, só que tenho um problema, este mesmo servidor fecha uma VPN (CIPE) e ao fechar esta VPN são definidas várias rotas com as redes dos nossos projetos para manutenção remota(ssh/ftp...) entre essas rotas tem a rede do outro lado, que tem um proxy, e o que acontece é que as pessoas estão setando esse proxy para navegar para fugir do que tem na nossa rede aqui.

Um detalhe muito importante é que eu não posso simplesmente reitirar a rota para essa rede, pois esse mesmo pessoal precisa ter acesso a documentações que estão nesta outra rede. :-P

Já tentei utilizar ProxyPass do apache, mas sem sucesso, se alguém tiver uma dica pra isso também será bem vinda, o importante é resolver. :-)

Minha rede: 192.168.149.0/24
Rede que tem o proxy: 172.26.0.0/16
Endereço do proxy: http://172.26.1.254:3128

Gostaria da ajuda de vcs para resolver esse problema, já consegui bloquear a utilização deste proxy, mas não posso deixar assim.

Agradeço desde já qualquer ajuda.

10x

[MarcioRM]

Será que tem como eu bloquear a navegação por esse proxy liberando somente para um específico IP ?

Help !!!

[viny_carvalho]

Saudações Amigo,

Desculpe mas não ficou bem claro qual é o seu problema...O que os seus usuarios nao estão conseguindo fazer?

Abraço

[MarcioRM]

Opa !!!

O problema é o que eles estão conseguindo fazer hehehhe

Como eu disse acima, preparei um proxy/firewall que tá tudo certinho.

Este proxy fecha uma VPN com nossa matriz e essa VPN fornece um servidor proxy, que se os usuários da minha rede utilizarem, não passa pelo meu, e esse proxy fornecido pelo VPN não tem controle nenhum.
O que me foi exigido é que eu de um jeito de fazer o pessoal que trabalha aqui, só acessar o que interessa utilizando esse proxy, que são documentações em nossa matriz.

Eu já consegui bloquear para que usem o proxy fornecido pela VPN, mas preciso achar um jeito de fazer o pessoal acessar as documentações :S que precisa desse proxy para chegar nelas.

Resumindamente eu preciso que o pessoal aqui navegue na internet utilizando meu proxy transparente, e tenha acesso as documentções, e essas só podem ser acessadas usando o proxy fornecido pela VPN, que deve ser bloqueado :S

E tá fo...

[viny_carvalho]

Ta, me manda as redes, a rede do teu proxy, a rede interna e a rede onde está o proxy das vpns...soh pra mim ter uma ideia melhor do cenario....

[MarcioRM]

Blz

Rede local: 192.168.149.0/24
Gateway: 192.168.149.2
Proxy rede local: 192.168.149.2 (transparente)

VPN: 172.26.0.0/16
Proxy: 172.26.1.254:3128

Utilizando o proxy (172.26.1.254:3128) permitir que acesse somente o IP 172.26.1.67, o restante, bloquear.

Valeu pela atenção !!!

[viny_carvalho]

Tchê, nós temos algumas opções:

Primeira:

Bloqueia o acesso ao IP: 172.26.1.254 pela porta 3128, assim eles vao poder acessar a vpn, mas quando tentarem usar o proxy eles nao vao conseguir chegar no Server VPN do proxy.

Segunda:

Você pode pedir pra setarem uma acl no Proxy VPN para que ele negue qualquer tentativa de navegação que venha da tua rede interna.

Terceira:

Você pode setar um NAT no Proxy VPN para que toda toda vez que a rede fizer uma tentativa de navegação pelo IP 172.26.1.254 na porta 3128 ele redirecione para o teu server de proxy.

Qualquer coisa, prende o grito.

Abraço

[MarcioRM]

Opa,

Gostei dessa última opção, assim posso resolver isso internamente, e não preciso esperar.

Você pode me ajudar com esta regra ? Pois ainda estou começando a me aventurar nesse "tal de iptables"

Valeu !!!

[viny_carvalho]

Essa regra vc vai ter que colocar no servidor VPN.

iptables -t nat -A PREROUTING -s $REDE_LOCAL -p tcp -d $PROXY_VPN --dport 3128 -j DNAT --to-destination $SERVIDOR_PROXY_LOCAL:3128

Abraço

[MarcioRM]

Perfeito !

Mas fiz diferente, coloquei aqui no meu firewall/proxy mesmo e funcionou, pois dá na mesma.

Só para não precisar pedir para o alemão que cuida de nossa VPN.

Valeu Viny !!! :lol: