+ Responder ao Tópico



  1. #1

    Padrão Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128

    Ola turma!

    É o seguinte. Uso proxy transparente... mesmo depois de redirecionar a porta para 3128... as estações continua passando pelo proxy. O usuário desabilita o proxy nas estações rwindows e acessam normalmente.

    Da uma força quem ja passou por esse problema. Vai as regras bem simples que estou usando no servidor.

    # LIMPANDO AS TABELAS
    iptables -F
    iptables -X
    iptables -t nat -F
    iptables -t nat -X

    #LIBERA LOOPBACK
    iptables -A OUTPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT


    # COMPARTILHA
    iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward

    # CONFIGURAçÃO CONECTIVIDADE SOCIAL
    # iptables -A FORWARD -s 192.168.12.0/24 -p tcp -d 200.201.174.0/24 --dport 80 -j ACCEPT
    # iptables -A FORWARD -s 200.201.174.0/24 -p tcp -d 192.168.12.0/24 --dport 80 -j ACCEPT
    #iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128

    #LIBERA PORTAS INTERNET,SSH, ETC
    iptables -A INPUT -p tcp --destination-port 20 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 21 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 80 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 8080 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 3128 -j ACCEPT

    # PARA NAO FUGIREM DO PROXY
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


    #PORTAS PARA SAMBA
    iptables -A INPUT -i eth1 -m multiport -p tcp --dport 53,135,139,445 -j ACCEPT
    iptables -A INPUT -i eth1 -m multiport -p udp --dport 53,137,138 -j ACCEPT

    iptables -A INPUT -p tcp --syn -s 192.168.12.0/24 -j ACCEPT



    # PRIORIZAR TRAFEGO HTTP, HTTPS
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 80 -j TOS --set-tos 16
    iptables -t mangle -A OUTPUT -o eth0 -p tcp --dport 443 -j TOS --set-tos 16


    # PARA NAO FUGIREM DO PROXY
    iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

    # BLOQUEANDO SCANERS POSTMAP ATAQUES DOS E PING OF DEATH

    iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT


    iptables -A INPUT -p tcp --syn -j DROP

  2. #2
    supremainfo
    Visitante

    Padrão Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128

    brother naum entendi seu questionamento

    vc tem proxy transparente, com isto vc naum precisa configura o navegador do usuario para acessar via proxy, pois o proxy transparente é justamente para fazer isto, para que vc naum se ecomode com configurações nas estações.


    é claro que se vc tiver tirado a configuração do navegador vai continuar a navegar, devido o proxy transparente,

    leandro

    [email protected]

  3. #3

    Padrão Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128

    Este proxy esta autenticando. Tenho esse controle no kurumin e ninguem passa pelo proxy mesmo tirando as configurações do navegador. Aqui instalei um server Debian com algumas configurações diferentes,,, ele até funfo negando acesso depois parou. Inclusive quando tiro as configurações do navegador a acl que bloqueia alguns sites funciona mesmo assim.

    Mesmo assim valeu pela ajuda. Alguém mais pode dar uma força ?

  4. #4

    Padrão Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128

    Amigo, quando você configura um proxy, ele pode ser configurado de 2 formas, ou ele vai ser um proxy transparente (sem autenticação, sem configuração nos computadores locais) ou ele vai ser um proxy autenticado (onde vc vai ter que configurar os computadores locais para eles acessarem a internet). Ou seja, você não pode ter os 2 ao mesmo tempo, ou ele vai ser autenticado, ou ele vai ser transparente.

    Espero ter ajudado a esclarecer as suas idéias.

    Abraço

  5. #5

    Padrão Re: Squid deixa passar direto, mesmo depois de redirecionar a porta 80 p 3128

    Volto a dizer que o meu proxy é transparente e autenticado. E agora esta funcionando como eu queria. Ou seja se o usuario tirar as configurações do proxy, mesmo assim ele não acessa.

    Aqui a regra do firewall que devia tudo para o proxy:
    # PARA NAO FUGIREM DO PROXY
    iptables -t nat -A PREROUTING -i eth1 -m multiport -p tcp --dport 80,8080 -j REDIRECT --to-port 3128

    Agora o meu squid.conf - Inclusive com autenticação.

    http_port 3128
    visible_hostname ServerInternet
    cache_mem 128 MB
    maximum_object_size_in_memory 512 KB
    maximum_object_size 800 MB
    minimum_object_size 0 KB
    cache_swap_low 90
    cache_swap_high 95
    cache_dir ufs /var/spool/squid 2048 16 256
    cache_access_log /var/log/squid/access.log
    refresh_pattern ^ftp: 15 20% 2280
    refresh_pattern ^gopher: 15 20% 2280

    acl all src 0.0.0.0/0.0.0.0
    acl manager proto cache_object
    acl localhost src 127.0.0.1/255.255.255.255
    #Libera LOCAL

    acl proibidos dstdomain "/etc/squid/siteproibido"
    acl ipliberado src "/etc/squid/ipliberados"
    acl redelocal src 192.168.12.0/24

    acl SSL_ports port 443 563
    acl Safe_ports port 80 #http
    acl Safe_ports port 21 #ftp
    acl Safe_ports port 443 563 #https, snews
    acl Safe_ports port 70 #gopher
    acl Safe_ports port 210 #wais
    acl Safe_ports port 1025-65535 #unregistred ports
    acl Safe_ports port 280 #http-mgmt
    acl Safe_ports port 488 #gss-http
    acl Safe_ports port 591 #fielmaker
    acl Safe_ports port 777 #multing http
    acl Safe_ports port 901 #Swat
    acl purge method PURGE
    acl CONNECT method CONNECT

    http_access allow manager localhost
    http_access deny manager
    http_access allow purge localhost
    http_access deny purge
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports

    http_access deny proibidos
    http_access deny redelocal !ipliberado


    #Autenticacao de Usuarios
    auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
    acl autenticados proxy_auth REQUIRED

    http_access allow autenticados
    http_access allow localhost
    # http_access allow redelocal
    http_access deny all

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on