Bloquear acesso a outros Proxys(ip:porta)

Xelito
(usa Ubuntu)

Enviado em 19/03/2010 - 18:58h

Boa noite.
Uso proxy transparente e iptables rodando no servidor, todo computadores estão com proxys colocado manualmente, mas se alguem colocar outro proxy, como: 200.30.189.194:8080, o usuario navega em tudo, e como esta outro proxy nao consigo ver a conexão dele entao nao tem como eu descobrir.
Como faço pra bloquear esses proxys?
bloquear ip por ip?

obrigado.
abçs

renato_pacheco
(usa Debian)

Enviado em 20/03/2010 - 08:48h

Pra evitar isso, o certo é vc determinar políticas d acesso ao firewall, deixando forward e input como drop e output como accept:

iptables -P FORWARD DROP
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT

Depois vc vai liberando o q deseja. Assim é mais fácil d controlar isso. Senão vc teria q bloquear forward d porta 8080. O ruim disso é q o proxy pode ser usado em diversas portas e isso seria [*****] d controlar.

Xelito
(usa Ubuntu)

Enviado em 23/03/2010 - 21:06h

Meu firewall ja tem essas opções
iptables -P FORWARD DROP
iptables -P INPUT DROP

mas agora como que vou fazer para que proxys, que podem ser inseridos nos browser, nao funcionem sendo que esses podem rodar em portas como 8080 ou mesmo do proxy que uso que é 3128

uma das alternativas é bloquear a alteração do proxy pelo registro, é o que vou fazer, mas para proxys inseridos em browser tem solucao?

renato_pacheco
(usa Debian)

Enviado em 24/03/2010 - 00:08h

Tem. Como vc bloqueou o forward e o input por padrão, nenhum pacote passa ou é aceito pelo servidor d firewall desde q vc declare o caminho dele a percorrer. Dae é só fazer o redirecionamento desejado.

Xelito
(usa Ubuntu)

Enviado em 04/05/2010 - 21:43h

Mas como vou fazer para que proxys que sao inseridos nos browser nao funcionem? bloquear por ip de browser ia ser uma lista enorme, que nunca iria ter fim, sendo que cada proxy usa uma porta. Da uma olhada no meu firewall:
#!/bin/bash
#
echo "firewall-Inicializacao"
echo "Setando variaveis"
ipt=/sbin/iptables
if_int=eth1
if_ext=eth0
rede_lab=10.0.0.0/255.0.0.0
rede_wi=10.192.168.0/255.255.0.0
io=localhost
#
echo "Carregando os modulos"
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_tables
#
echo "Limpando regras"
$ipt -t nat -F
$ipt -t nat -X
$ipt -t nat -Z
$ipt -F
$ipt -X
$ipt -Z
#
echo "Aplicando politica padrão"
$ipt -P INPUT DROP
$ipt -P FORWARD DROP
#
echo "Liberando localhost"
$ipt -A INPUT -s $io -j ACCEPT
$ipt -A FORWARD -s $io -j ACCEPT
#
echo "Liberando hosts atraves de regras especificas"
#Liberando Forwad para rede interna
$ipt -A FORWARD -s $rede_lab -j ACCEPT
$ipt -A FORWARD -s $rede_wi -j ACCEPT
$ipt -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A FORWARD -p icmp -j ACCEPT
#
echo "liberando Input"
$ipt -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$ipt -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
$ipt -A INPUT -p udp -m tcp --dport 20 -j ACCEPT
$ipt -A INPUT -p tcp -m tcp --dport 3389 -j ACCEPT
$ipt -A INPUT -p tcp -m tcp --dport 5000 -j ACCEPT
$ipt -A INPUT -p tcp -m tcp --dport 3000 -j ACCEPT
$ipt -A INPUT -s $rede_lab -p tcp -m tcp --dport 22 -j DROP
$ipt -A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
$ipt -A INPUT -p udp -m udp --dport 53 -j ACCEPT
$ipt -A INPUT -s 200.203.249.10 -p tcp -m tcp --dport 80 -j ACCEPT
$ipt -A INPUT -s $rede_lab -p tcp -m tcp --dport 3128 -j ACCEPT
$ipt -A INPUT -s $rede_lab -p icmp -j ACCEPT
$ipt -A INPUT -s $rede_wi -p tcp -m tcp --dport 3128 -j ACCEPT
$ipt -A INPUT -s $rede_wi -p icmp -j ACCEPT
echo "MSN Bloqueo"
$ipt -I FORWARD -s $rede_wi -p tcp --dport 1863 -j REJECT
$ipt -I FORWARD -s $rede_wi -p tcp --dport 44000 -j REJECT
$ipt -I FORWARD -s $rede_wi -p tcp --dport 44001 -j REJECT
$ipt -A OUTPUT -p tcp --dport 44000 -j DROP
$ipt -A OUTPUT -p tcp --dport 44001 -j DROP
$ipt -I FORWARD -s $rede_wi -p tcp --dport 44001 -j REJECT
$ipt -I FORWARD -s $rede_lab -p tcp --dport 1863 -j REJECT
$ipt -I FORWARD -s $rede_lab -p tcp --dport 7171 -j REJECT
$ipt -I FORWARD -s $rede_lab -p tcp --dport 7171 -j DROP

echo "Redirecinando portas para squid"
$ipt -t nat -A PREROUTING -s $rede_lab -p tcp --dport 80 -j REDIRECT --to-port 3128
$ipt -t nat -A PREROUTING -s $rede_wi -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Liberando mascaramento de rede"
$ipt -t nat -A POSTROUTING -o eth0 -j MASQUERADE

O que fazer numa situacao dessa?

renato_pacheco
(usa Debian)

Enviado em 05/05/2010 - 15:15h

Vc não entendeu. Se a política é DROP pra FORWARD e INPUT, o pacote só sai se seguir a regra de liberação imposta por vc. Então esses proxies q as pessoas colocam no navegador não sairiam da sua rede.

panzzer
(usa Ubuntu)

Enviado em 05/05/2010 - 15:17h

é bem conclusivo...

dastyler
(usa Fedora)

Enviado em 05/05/2010 - 15:34h

tIve de forçar o direcionamento para a porta do squid de toda requisição na porta 80. Fiz pelo mac address das placas (pois uso DHCP).
E fiz apenas para os users mais problematicos. Exemplo:

/sbin/iptables -t nat -A PREROUTING -m mac --mac-source '12:34:56:78:90:12' -p tcp --dport 80 -j REDIRECT --to-port 3128

Na regra acima não testei sem o parametro -p, mas deve funcionar.

[]´s