Liberar por aplicativo no iptables [RESOLVIDO]

madsea
(usa Ubuntu)

Enviado em 22/01/2009 - 12:24h

Olá pessoal.

Estou montando um servidor ubuntu aqui na empresa com squid e nat/iptables. Uso o squid com autenticacao (isso e importante por conta do controle de acesso do usuario, o que significa que nao poderei usar proxy transparente aqui). Para evitar que os usuários acessem a web retirando as configuracoes de proxy do navegador bloqueei a porta 80 no iptables adcionando a linha "iptables -A FORWARD -p tcp --dport 80 -j REJECT" antes das linhas de compartilhamento da conexao. O problema e que tenho uma aplicacao nos clientes que utiliza a porta 80 e que nao tem a opcao de configuracao via proxy e quando bloquei a porta 80 ela obviamente parou de funcionar. Sera que tem alguma forma de liberar especificamente essa aplicacao no iptables (de preferencia pelo nome dela). Se alguem tiver alguma dica eu agradeco. Valeu.

felipecfm
(usa Debian)

Enviado em 22/01/2009 - 15:04h

Cara,

Ate agora eu to pensando em alguma saida pra vc, e naum estou achando solução....
Vc naum quer que os usuarios utilizem uma porta, mas precisa dessa porta.....

Bom, vamos começar, afinal, é tentando que a gente chega lá.....

Qual o S.O. usado nas maquinas dos usuarios? WinXP? provavelmente estará marcado o proxy nas configurações de lan?
Vc naum usa proxy transparente, logo, apenas a porta configurada no seu squid (acredito q a 3128) é q vai fornecer internet...... logo vc poderá dar um forward na sua porta 80.

Ja tentou assim?

se vc preferir, vc pode usar as diretivas de grupo do Winxp pra remover akela aba "conexão" do internet explorer, depois que vc deixar marcado que ele usara apenas a porta 3128 pra usar internet.......ai vc poderá bloquear a 3128 pra internet, e usar a 80 pra esse aplicativo ai.

madsea
(usa Ubuntu)

Enviado em 22/01/2009 - 16:08h

felipecm, ta dificil mesmo. O S.O da maioria das maquinas dos usuarios é xp. Se eu der um forward accept na porta 80 o usuário que souber como desabilitar as configuracoes de proxy do navegador vai conseguir acessar tudo sem controle algum, por isso q usei o reject.
Em relacao as diretivas de grupo realmente é uma opcao, mas se eu conseguisse uma outra forma seria melhor, primeiro porque sao muitas máquinas para configurar, segundo porque ainda tem umas perdidas com windows 9x, que não tem essas diretivas, e poderiam ficar livres se o usuario desabilitasse o proxy. Pensei agora no seguinte, apenas algumas máquinas precisam usar a aplicação. Eu poderia usar ip fixo nessas máquinas e liberar no iptables a porta 80 apenas para esses ips. o iptables faz isso?

madsea
(usa Ubuntu)

Enviado em 22/01/2009 - 17:23h

funcionou. adicionei a linha
iptables -A FORWARD -p tcp -s [ip liberado] --dport 80 -j ACCEPT
antes da linha que bloqueia a porta 80 para todos os micros. Valeu