Integração Squid3 x AD 2008 Transparente.

rorodrigo
(usa Debian)

Enviado em 27/07/2014 - 09:23h

Bom dia Pessoal,

Estou usando o Squid integrado com o AD e autenticação sem a necessidade do usuário colocar login e senha, entretanto, precisarei configurar o Squid como proxy transparente, pois alguns usuários vão utilizar notebook agora, e se proxy estiver setado manualmente nas configurações do navegador eles não vão conseguir acessar a internet de casa.
Minha dúvida é a seguinte... Existe alguma forma de configurar o squid como proxy transparente utilizando autenticação no AD ? Isso resolveria este problema.

Desde já agradeço a comunidade.

l0g1in
(usa FreeBSD)

Enviado em 27/07/2014 - 11:54h

Bom a meu ver não acho necessário mexer na autenticação do proxy, e sim nas ordens das ACLs, liberando o Facebook para os usuários que você deseja que acesse a rede social ou outro site, exemplo antes da ACL que você está bloqueando o facebook, você cria uma com acesso total ao site, por dstdomain ou proxy_auth ou por IP/MAC, você terá menos trabalho do que reconfigurar novamente, pois essa coisas de acesso a rede social é completo, uma hora o diretor fala "Ah libera pra fulano" depois "Ah bloqueia tudo" vira uma bola de neve. Bom também dei minha opinião sem conhecer como está sua configuração, mais partindo a de que sua configuração esteja bloqueando por ACLs e http_reply_access.


Abraços[];

odinhatesawk
(usa Gentoo)

Enviado em 27/07/2014 - 11:59h

Cara, não tem que mexer na configuração do Squid, só tens de garantir que todas as conexões dentro da empresa vão passar por ele.
Como tens AD, certeza que tens DHCP aí.
Faça com que as configurações de proxy não sejam setadas, mas sim que as conexões passem todas pelo Squid por padrão.
Aí resolve o problema.

rorodrigo
(usa Debian)

Enviado em 27/07/2014 - 12:03h

Primeiramente obrigado pela sua contribuição. Na verdade todas as conexões já estão passando pelo proxy, pois o gateway de todas as estações estão apontando para ele, a verdade é que quando redireciona o fluxo para a porta do squid, ele bloqueia tudo... estive lendo algumas informações na Web e vi que o proxy transparente não funciona bem com autenticação no AD, gostaria de saber se existe uma solução pra isso.

Sds,

Rodrigo

odinhatesawk
(usa Gentoo)

Enviado em 27/07/2014 - 12:08h

Internet > Firewall > Switch > Parque
......................|.|..|
......................|AD..|
......................|....|
......................|.Firewall
....................Squid

Netflow:
PK > SW > FW > SQ > FW > NET (acesso permitido)
PK > SW > FW > SQ > drop! (acesso negado)

De qualquer maneira, não precisa mexer no Squid.
A configuração deve ser feita no firewall de maneira com que as conexões sempre sejam tratadas pelo Squid quando forem requisições direcionadas a internet.
Aí você não tem de mexer em configuração alguma dos notebooks.

odinhatesawk
(usa Gentoo)

Enviado em 27/07/2014 - 12:09h

Então tuas regras de squid que estão cagadas.
Posta elas aí.

rorodrigo
(usa Debian)

Enviado em 27/07/2014 - 12:10h

Primeiramente obrigado pela sua contribuição. Na verdade eu já realizo o controle de acesso a redes sociais através do IPTables com o IP Address amarrado ao MAC, Minha dúvida é como deixar o proxy transparente utilizando a autenticação do AD, eu já utlizo essa configuração, entretanto preciso configurar manualmente nas configurações do navegador, porém alguns usuários vão utilizar notebook e fazer home office, se estiver com essas configurações não vai funfar.

Abs,

Rodrigo Carvalho

rorodrigo
(usa Debian)

Enviado em 27/07/2014 - 12:18h

#/bin/bash

# Interfaces

LINK01="eth0"
INTERNA="eth1"

# Rede Interna

REINT="10.10.0.0/24"

# IP das interfaces

IPEXT="192.168.1.254/24"
IPINT="10.10.0.1/24"

# Portas liberadas

PORTAS_TCP="22,80,445,443,1400,1450,1500,3001"
PORTAS_UDP="53"

######################## Zerando as regras ###########################################
iptables -F
iptables -Z
iptables -X
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat
iptables -t nat -F
iptables -t mangle -F
echo "Limpando as regras ...................................[ OK ]"

####################### Ativa modulos no kernel #######################################
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
modprobe ipt_LOG
modprobe ipt_REJECT
modprobe ipt_MASQUERADE
modprobe ip_tables
modprobe iptable_filter
modprobe nf_conntrack_ipv4
echo "Modulos Ativados .....................................[ OK ]"

## CRIA IDA E VOLTA DO ACESSO NAS CHAINS INPUT, OUTPUT E FORWARD ##########
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

###################### ATRIBUINDO SEGURANCA ##################################
#### Protecao para SYN Flood ########################################################
echo 1 > /proc/sys/net/ipv4/tcp_syncookies

# Rejeitar requisicao de ICMP Echo destinado a Broadcasts e Multicasts
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

#### Protecao Contra IP Spoofing ######################################################
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter

#### Ativando protecao contra responses bogus ############################################
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

#### Permite o redirecionamento seguro dos pacotes#########################################
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

#### Protege contra port scanners avancadas ######################## ######################
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT

#### Protege contra ping da morte ######################################################
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

#### Protege contra os ataques do tipo "Syn-flood, DoS, etc" ##################################
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT

#### Logar os pacotes mortos por inatividade ##############################################
iptables -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG

# Protege contra pacotes que podem procurar e obter informacoes da rede interna
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

#### Protecoes contra ataques #########################################################
iptables -A INPUT -m state --state INVALID -j DROP

# Bloqueia qualquer tentativa de conexao de fora para dentro por TCP############################
iptables -A INPUT -i $LINK01 -p tcp --syn -j DROP

#### Mesmo assim fechar todas as portas abaixo de 32000 ###################################
iptables -A INPUT -i $LINK01 -p tcp --dport :32000 -j DROP

#### Protecoes contra ataques #########################################################
iptables -A INPUT -m state --state INVALID -j DROP

######################## FIM DA SEGURANCA #####################################
######################## liberando encaminhamento de pacotes; ###########################
echo 1 > /proc/sys/net/ipv4/ip_forward

################### REGRA COMPARTILHAMENTO DOS LINKS ######################
########### INTERNET NOS LINKS EXTERNO PARA REDE INTERNA ###################
iptables -t nat -A POSTROUTING -o $LINK01 -j MASQUERADE

################# Liberando o Trafego na Interface loopback ###############################
iptables -A INPUT -i lo -j ACCEPT

########### Regras FORWARD PORTAS LIBERARDAS PARA REDE INTERNA #############

echo "Compartilhamento de Internet Ativados ................[ OK ]"

################### REGRAS DE LIBERACAO DE PORTAS ############################
########## REGRAS DE LIBERACAO DE PORTAS TCP##################################
iptables -A INPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
iptables -A OUTPUT -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT
iptables -A FORWARD -p tcp -m multiport --dports $PORTAS_TCP -j ACCEPT

################### REGRAS DE LIBERACAO DE PORTAS UDP ########################
iptables -A INPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
iptables -A OUTPUT -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
iptables -A FORWARD -p udp -m multiport --dports $PORTAS_UDP -j ACCEPT
################## FIM LIBERACAO DE PORTAS ###################################

################## REDIRECT PARA A PORTA DO SQUID ############################
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 1500

################## Manter Conexar estabelecidas #######################################
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

################ REGRA QUE BLOQUEIA TUDO O QUE NAO ESTA ACIMA #############
echo "Bloqueando tudo que restou.."
iptables -A INPUT -p tcp -j DROP
iptables -A INPUT -p udp -j DROP
iptables -A FORWARD -i $LINK01 -p tcp -j DROP
iptables -A FORWARD -i $LINK01 -p udp -j DROP


#################################################################################
echo "Firewall iniciando!"

odinhatesawk
(usa Gentoo)

Enviado em 27/07/2014 - 12:56h

Rodrigo, tem MUITA coisa errada aí...

primeiro que metade do teu firewall é inútil pra um firewall.
São regras de firewall instalado em desktop para uso de internet, não em um firewall empresarial que não vai acessar nada!
Segundo que tem uma regra de redirect ali que é uma [*****] falha de segurança.
Terceiro que tu disse que faz liberação de acesso de rede social atrelado à MAC... outra falha de segurança!
Quarto que tu disse que mesmo com proxy transparente você tem que configurar manualmente nas estações.
Oi? Tu não tem AD, cacete? Quem tá distribuindo o DHCP da tua rede?
Ele deveria distribuir TAMBÉM as configurações de proxy se necessário!

Como é a estrutura física da tua rede?