Como impedir de configurar o proxy

ghoostuser
(usa Arch Linux)

Enviado em 30/11/2011 - 02:31h

Pessoal, tenho instalado o squid, fiz as configurações no squid.conf, coloquei alguns sites para bloqueio, bloqueia normalmente.
Mas o problema é: se a pessoa tiver o minimo de conhecimento ela vai no navegador e desmarca o PROXY e navega normal.

O que eu quero é barrar isso, se a pessoa mudar ou não o proxy no navegador, ela não conseguir navegar nos sites que esta listado no squid para ser bloqueados.


Me ajudem favor.
Grato :D

eritonalmeida
(usa Debian)

Enviado em 30/11/2011 - 10:03h

é só fechar as portas com iptables, deixa passar somente os ips liberados.Se a pessoa desabilitar o proxy vai ficar sem navegar.

jptudobem
(usa Debian)

Enviado em 30/11/2011 - 11:51h

Imagino que você esteja usando Proxy autenticado correto?

Uma coisa que costumo fazer é trancar as configurações do Firefox, ou seja, eu determino aquelas que não ficarão habilitadas para alterações. Mas como?

Crie um arquivo chamado mozilla.txt com as informações:

//

lockPref(“app.update.enabled”, false);

lockPref(“network.proxy.http”, “10.0.0.1”);

lockPref(“network.proxy.http_port”, 3128);

lockPref(“network.proxy.type”, 1);

lockPref(“network.proxy.no_proxies_on”, “localhost, 127.0.0.1”);

lockPref(“network.proxy.share_proxy_settings”, true);

lockPref(“browser.startup.homepage”, “http://www.vivaolinux.com.br”); 

- "lockPref(“network.proxy.http”, “10.0.0.1”);"
Altere o "10.0.0.1" para o endereço do seu servidor Proxy.

- "lockPref(“network.proxy.http_port”, 3128);"
Altere para a porta do seu Proxy.

- "lockPref(“network.proxy.no_proxies_on”, “localhost, 127.0.0.1”);"
Esta linha especifica os endereços que não passarão pelo Proxy, no exemplo: localhost e 127.0.0.1.

- "lockPref(“browser.startup.homepage”, “http://www.vivaolinux.com.br”);"
A página inicial ao abrir o navegador.

Depois de ter criado o mozilla.txt, é hora de converter ele para o formato .cfg (encriptado) do Firefox.

Baixe o script que faz essa conversão ...

# wget http://www.alain.knaff.lu/howto/MozillaCustomization/moz-byteshift.pl 

... execute o comando:

 # ./moz-bytesshift.pl -s 13 <mozilla.txt >mozilla.cfg 

Faça a cópia do mozilla.cfg para o diretório da instalação do Firefox: /usr/lib/firefox* (Este diretório vai depender da versão instalada).

Por fim, edite o arquivo all.js contido no subdiretório greprefs do diretório de instalação do Firefox e acrescente ao final as seguintes linhas:

pref(“general.config.obscure_value”,0);

pref(“general.config.filename”,”mozilla.cfg”); 

Agora é ser feliz.

É possivel bloquear qualquer opção das configurações do Firefox. Para saber mais, acesse pelo navegador o endereço: about:config.


Essa tática é válida, obviamente, apenas para os usuários do Firefox.
Os usuário não devem ter acesso ao diretório de instalação do Firefox.

jptudobem
(usa Debian)

Enviado em 30/11/2011 - 12:20h

Pesquisando um pouco, caso tenha máquina usando Internet Explorer, siga o tutorial:

http://www.guiadoleigo.com.br/desativando-opcoes-da-internet-no-ie

valdinei.campos
(usa CentOS)

Enviado em 30/11/2011 - 23:44h

bloqueia via iptables a navegaçao e libera apenas via proxy, ou seja barra o trafego http via iptables e faz um MASQUERADE para o servidor de proxy

removido
(usa Nenhuma)

Enviado em 30/11/2011 - 23:57h

Fala cara.

Tem várias opções para resolver o problema.

1º Como o pessoal falou, forçar que os usuários passem pelo proxy para poder navegar (Iptables).

2º Caso seja Windows e com internet explorer, você pode bloquear as alterações pelo gpedit.msc. O que não daria certo com outro navegador, mas você poderia fazer o que o amigo jptudobem disse, caso seja o firefox.

Outra opção para complementar a 1º seria utilizar o WPAD para que as configurações de proxy sejam detectadas de forma automática. Veja este link:

http://www.vivaolinux.com.br/dica/Configurando-WPAD

Qualquer coisa posta aí.

ghoostuser
(usa Arch Linux)

Enviado em 02/12/2011 - 07:41h

Como eu barro o proxy pelo iptables? (desculpe, sou leigo :D)

Se for isso aqui, eu ja fiz:
iptables -t nat -A PREROUTING -i wlan0 -p tcp --dport 80 -j REDIRECT --to-port 3128

coloquei no arquivo de boot também.



Tem outro probleminha, depois que instalei o squid, qdo vou executar o comando: apt-get update no terminal, não consegue atualizar minha source.list, fica travado.

pode me ajudar o por que disso?

grato :d

elias_savi
(usa openSUSE)

Enviado em 02/12/2011 - 10:26h

Você pode utilizar a seguinte regra de iptables para redirecionar a porta 80(http) para a porta 3328(squid)


iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128


*(eth1) é a placa de rede interna


Mas isso não bloqueia a porta 443(https) (*não é possivel redirecionar a 443)

Você pode utilizar a seguinte regra de iptables para bloquear a passagem direta(FORWARD) na porta 80(http) e 443(https):


iptables -A FORWARD -p tcp --dport 80 -j DROP

iptables -A FORWARD -p tcp --dport 443 -j DROP


Você deve liberar apenas a entrada (INPUT) e a saída (OUTPUT):

iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT


Fazendo isso, quando a pessoa desmarcar a opção de proxy ela não vai conseguir navegar, pois a passagem está bloqueada. Só vai conseguir se estiver configurado no proxy.

*Isto se na sua rede todo o trafego passa pelo servidor de firewall.

Você precisa de um script de firewall, se você não tem e não sabe como fazer, tem um tutorial no http://www.hardware.com.br/dicas/escrevendo-script-firewall.html e varios aqui no VOL.


Aqui eu não bloqueio a porta 80, mas redireciono para uma página html que informa para a pessoa configurar o proxy. Mas para isso precisa também de um servidor de site (apache).
Regra:

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j DNAT --to-destination 192.168.0.1