Mitos e verdade sobre proxy transparente

**vioflas** · 05-02-2007, 13:14

Pessoal boa tarde andei lendo em alguns tópicos no fórum e em vários deles dizia-se que https não funciona com proxy transparente mas implantei proxy transparente e firewall iptables em 2 clientes e https tá passando legal, agora a pergunta: gostaria de saber mesmo se https funciona ou não funciona com proxy transparente.

Uma outra pergunta meu firewall tá todo fechado como pode skype funcionar só liberei portas importantes 25,110,53,3389,1723,47,3128 epor aí vai o que teria que fazer mais para barrar o skype?

**xstefanox** · 05-02-2007, 19:09

Realmente, HTTPS não funciona com proxy transparente. Não funciona porque o proxy transparente por si só edita o cabeçalho TCP/IP do pacote, o quê corrompe o pacote final, que é checado com o certificado. Se ele passa, ele passa porque você tem um NAT liberando tal tráfego.

O Skype por si só utiliza tunelamento por certas portas pertecentes à outros serviços, como a 80. O método mais seguro para bloquear tal tráfego, na minha opinião, seria utilizar layer-7.

Abraços!

**alexandrecorrea** · 06-02-2007, 03:06

exatamente como o xstefanox falou...

eu vejo muito o pessoal confundir SQUID com iptables... tem gente que acha que o squid soh de estar RODANDO na maquina ele ja controla TUDO... e nao é bem assim..

o que acontece é que quando vc faz a regra no seu firewall para desviar o trafego da porta 80 para o proxy.. vc apenas DESVIA A PORTA 80 !!! o https é porta 443 e nao é desviado e nem passa pelo squid !!!

outra coisa que vejo, pessoal faz proxy transparente... e no squid.conf libera um MONTEEEEEEEEEEEE de portas... sem necessidade... !! porque apenas ira pasar o trafego da porta 80 no squid !! (no caso de suar proxy transparente)..

**vioflas** · 06-02-2007, 11:42

Xstefanox, então o que vc quis dizer é: se usasse apenas o proxy sem nat, com certeza, eu teria problemas com https, mas pelo fato de natear o tráfego eu consigo trafegar https. Realmente além do proxy eu tenho uma regra de NAT sim por isso que tá passando então! Agora entendi direitinho. Mas vc acha esse esquema uma boa? Bem eu to achando que tem site de banco https que precisa passar e outros sites seguros por aí.

Agora layer 7 precisa-se integrar ao kernel rcompilar ou basta um apt-get install layer 7?

Em relação a confundir proxy com iptables isso tem mesmo mas não é meu caso eu sei cada um desempenha um papel diferente mas com objetivos iguais segurança. E alias eu vejo cada nego perguntando aqui no fórum cada coisa absurda e tb tb já ouvi respostas mais absurdas ainda.

**rootmaster** · 06-02-2007, 15:55

Postado originalmente por vioflas

Xstefanox, então o que vc quis dizer é: se usasse apenas o proxy sem nat, com certeza, eu teria problemas com https, mas pelo fato de natear o tráfego eu consigo trafegar https. Realmente além do proxy eu tenho uma regra de NAT sim por isso que tá passando então! Agora entendi direitinho. Mas vc acha esse esquema uma boa? Bem eu to achando que tem site de banco https que precisa passar e outros sites seguros por aí.

Agora layer 7 precisa-se integrar ao kernel rcompilar ou basta um apt-get install layer 7?

Em relação a confundir proxy com iptables isso tem mesmo mas não é meu caso eu sei cada um desempenha um papel diferente mas com objetivos iguais segurança. E alias eu vejo cada nego perguntando aqui no fórum cada coisa absurda e tb tb já ouvi respostas mais absurdas ainda.

Creio que você tenha que recompilar seu kernel para suportar o layer 7 ...

No google vc acha muita coisa ...

Instalando o layer 7 - Pesquisa Google

qual sua distro e versão do kernel ... ???

Falow ...

**vioflas** · 06-02-2007, 22:21

irei pesquisar sim mas a minha distro é Debian Sarge 3.1, em um lugar o kernel é 2.4 e na outra 2.6.

**tianguapontocom** · 07-02-2007, 00:15

layer7 e uma mao na roda!
eu uso ele com outros pom alem do skype ele barra gizmo bla bla bla msn msn file transfertem muito recursos.

**xstefanox** · 07-02-2007, 08:43

Digamos que o proxy serve sim para segurança das máquinas, mas sobretudo para economizar sua banda (pois o Squid especificamente também serve de cache).

Como mencionaram acima, o layer-7 é um módulo do iptables para bloquear tráfego utilizando a camada 7 da tabela OSI, que seria aplicação e foi desenvolvido para cuidar de tráfego que não passa por portas convencionais e tunelamentos, recomendando fazer um QoS na porta antes de bloquear (para evitar dores de cabeça com falsos-positivos), mas eu o considero bem estável para bloquear.

Para você instalá-lo, em suma você tem que recompilar o kernel e o iptables com suporte à ele. Você pode dar uma olhada neste tópico que tem um cara com o mesmo sistema seu querendo instalar. Poderia ser de alguma utilidade para você. Fora que ele menciona um tutorial interessante que saiu no VOL.

Abraços!

**vioflas** · 07-02-2007, 15:49

Pô mano valeu pela idéia vo dar uma olhada nessa parada aí sim, hoje rcompilar o kernel pra mim vai ser um desafio 1º vou recompilar em casa depois no cliente.

Mitos e verdade sobre proxy transparente

Ferramentas de Tópicos

Mitos e verdade sobre proxy transparente