Proxy autenticado + Firewall

[gilmarcabral]

Ola a todos.
Aki eu uso proxy com autenticação + iptables, mas porem eu notei que tem algum usuarios que estão burlando o squid autenticado simplesmente colocando outro proxy no navegador.
Exemplo o meu proxy e 192.168.1.1 na porta 3128 ai o usuario vai no navegador e coloca 165.128.XXX.XXX na porta 3128 e simplesmente ele começa a navegar na net sem pedir usuario senha, simplesmente ele utiliza outro proxy que e valido na net para conectar.
Eu consegui bloquer isto somente de uma maneira, retirando a regra de mascaramento da inferface que esta conectada na net, segue abaixo a regra que retirei, mas porem ai os clientes de e-mail outlloock e cliente de ftp que prescisão conectar no provedor que esta fora da empresa onde trabalho, para de funcionar, sei que que o cliente utiliza a porta 25 e 110 e o ftp 21.
ja tentei liberar estas portas e ndaa, se eu tentar bloquear o uso de proxy externos simplesmente os clintes de e-mail e ftp parão de funcionar.
Alguem sabe como resolver este problema.
Desde ja agradeço

$IPTABLES -t nat -A POSTROUTING -o eth0 -s $REDE -j MASQUERADE

[terencerocha]

iptables -A FORWARD -o in_externat --dport 3128 -j DROP

[xstefanox]

Olha, a solução que eu implemento para resolver esse problema é editar a regra de MASQUERADE para limitar o seu uso apenas às portas que devem ser utilizadas (No caso 20,21,22,25,53,80,110,143,443...), então no final das contas, a regra fica assim:

Código :

# iptables -t nat -A POSTROUTING -o $INT_SAIDA -m multiport --dports 20,21,22,25,53,80,110,143,443 -j MASQUERADE

Abraços!