+ Responder ao Tópico



  1. 03-10-2006, 23:47 #1
    rogerius
    Visitante

    Padrão Bloquear saídas para não usar proxys externos

    Olá, estou meio que engatinhando ainda, será que alguem me da uma luz..

    Meu squid (transparente) bloqueia tudo tudo, só libero alguns sites .. até ai tudo bem...
    Porém se algum usuário configurar no nageador algum proxy externo, ele nagega normalmente.
    Sei que preciso bloquear as saidas sem afetar os emails, porem como fazer isso?. Meu firewall é este, sei que esta super simples..

    Obrigado

    #! /bin/sh
    #Desabilita forwarding
    echo 0 > /proc/sys/net/ipv4/ip_forward

    #Ativa modulos
    modprobe ip_tables
    modprobe iptable_nat
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    modprobe ipt_LOG
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE

    #zera regras
    iptables -F
    iptables -X
    iptables -F -t nat
    iptables -X -t nat
    iptables -F -t mangle
    iptables -X -t mangle

    #Regras Padrao
    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT

    #Habilitar Masquerading
    iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE

    iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j DROP
    iptables -A INPUT -d orkut.com -p tcp --dport 443 -j DROP

    #Direciona requisiçoes recebidas na porta 80 para o Squid
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    #Habilita forwarding
    echo 1 > /proc/sys/net/ipv4/ip_forward
    Citação Citação
  2. 04-10-2006, 10:24 #2
    mhp
    Visitante

    Padrão Re: Bloquear saídas para não usar proxys externos

    Bloqueie no forwarding as portas conhecidas de proxies, como 1080, 3128, 8080 e 8081, e fique de olho, porque com certeza os espertinhos vão descobrir alguma outra porta menos conhecida, aí você bloqueia ela também.
    Citação Citação
  3. 04-10-2006, 14:05 #3
    doliveira
    doliveira está desconectado
    Avatar de doliveira
    Ingresso
    Jun 2003
    Posts
    316

    Padrão Re: Bloquear saídas para não usar proxys externos

    Eu faço da seguinte forma para bloquear isso:

    $IPT -t nat -A POSTROUTING -s 192.168.0.1 -d 0/0 -p tcp --dport 3128 -j SNAT --to 200...
    $IPT -t nat -A POSTROUTING -s 192.168.0.0/24 -d 0/0 -p tcp -m multiport --dport 20,21,25,110,3456,5017 -j SNAT --to 200...

    Eu nao faço o mascaramento da interface toda e sim das redes e portas que eu queira permitir acesso.
    Citação Citação



« Tópico Anterior | Próximo Tópico »