+ Responder ao Tópico



  1. #1

    Padrão Furando o squid

    Amigos,
    Configurei o squid para proxy transparente e algumas acls que permitem acesso a determinados sites, ou seja a política é bloquear tudo e liberar somente as páginas que os usuários acessam diariamente.

    Acontece que descobrimos em algumas maquinas da empresa, usuários navegando através de proxy. (195.175.37.8 porta 8080) configurado nas opções de internet.

    Ainda desabilitamos esta opção através de chave do registro do windows (regedit), mais para usuário experto, não teve jeito: O cara desbloqueia e põe o endereço proxy acima.

    Eu achava que proxy transparente, independente de o que ele colocasse alí, sempre iria requistar o que o squid estivesse liberando.

    Enfim, tem jeito de bloquear isto ? Mesmo que o usuário coloque um endereço open proxy e porta ?

  2. #2

  3. #3

    Padrão

    O negócio é assim, assim é o negócio...

    Quando nós fazemos o redirecionamento de portas no iptables, nós falamos para o gateway que todas as requisições vindas da rede interna com destino à porta 80 devem ser redirecionadas para a porta 3128. A questão é que o navegador pode ser reconfigurado para utilizar outro proxy e, consequentemente, outra porta qualquer que este proxy venha à utilizar.

    Sendo assim, a resposta para a sua pergunta é editar a sua regra de MASQUERADE para que esse filtro seja somente para as portas que a sua rede interna irá utilizar, como a 20, 21, 25, 53, 80, 110, etc etc etc.

    Sacou?

  4. #4

    Padrão

    Caro CunhaJr, seguindo a linha de raciocínio do Xstefanox, aqui na minha rede faço MASQUERADE segundo a regra abaixo:

    ### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), Gmail(465,955), RECEITANET(3456), CONECTIVIDADE
    SOCIAL (2631) TERMINAL SERVER (3389)
    iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,995,2083,2631,3456,3389 -j MASQUERADE
    iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE

    São as portas mais usadas, claro que para sua rede pode ser necessária alguma outra porta, mas aqui funciona legal e impede o uso de proxys externos.

    Abraço

  5. #5

    Padrão

    Gente, obrigado dica. Realmente temos que nos adaptar de acordo com a empresa em que estamos. Aqui a galera tem conhecimento razoável, e vive tentando furar as regras.

    Fiz como voces informaram e mesmo colocando um proxy no navegador, agora as regras serão cumpridas.

    Usei o formato:

    $IPT -t nat -A POSTROUTING -s $IF_net1 -d 0/0 -p tcp --dport 80 -j MASQUERADE
    $IPT -t nat -A POSTROUTING -s $IF_net1 -d 0/0 -p udp --dport 80 -j MASQUERADE
    $IPT -t nat -A POSTROUTING -s $IF_net1 -d 0/0 -p tcp --dport 3128 -j ACCEPT

    Não sabia que podia fazer como o amigo cristianff fez, utilizando a sintaxe
    $IPT -t nat -A POSTROUTING -o $IF_eth1 -m multiport -p tcp --dports 80,3128 -j MASQUERADE.

    De qualquer maneira, obrigado a todos.

  6. #6

    Padrão

    Cunha, só uma dúvida.
    Se você está usando proxy, porque está fazendo MASQUERADE para a porta 80?

    Se a galera está acessando via proxy (3128 - padrão), você não deveria fazer NAT da porta 80.

    Falouuuuu

    Abraço

  7. #7

    Padrão

    Citação Postado originalmente por cristianff Ver Post
    Cunha, só uma dúvida.
    Se você está usando proxy, porque está fazendo MASQUERADE para a porta 80?

    Se a galera está acessando via proxy (3128 - padrão), você não deveria fazer NAT da porta 80.

    Falouuuuu

    Abraço
    Cristian, só tem nat para e-mail, TS, DNS, e vpn. O escrito acima foi só exemplo.

    Brigadú

  8. #8

    Padrão

    Beleza Cunha, hehehehehe
    Abraços e tenha um bom dia.

    Se precisar é só gritar.

  9. #9

    Padrão

    É interessante manter um NAT na porta 80 sim, porque tem alguns programas, como o Conectividade Social, que não podem passar pelo proxy, só por NAT diretão.


    Abraços]!