PROXY AUTENTICADO

1. PROXY AUTENTICADO

Fernanda Montovani Albuquerk
fernanda_mon

(usa Debian)

Enviado em 13/10/2017 - 09:35h

Bom dia Pessoas,
tenho uma duvida, para configurar uma rede com proxy autenticado, no transparente utilizamos a seguinte regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1.3128

Mas no autenticado como faço para impedir que o usuario tire a configuração do proxy e navegue,
existe algo no iptables para impedir isso?


  


2. Re: PROXY AUTENTICADO

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 13/10/2017 - 10:24h

É bem simples. Basta impedir que o usuário acesse a porta 80 e 443 pelo firewall. Basicamente é:


iptables -A FORWARD -m state --state NEW,ESTABLISHED -p tcp -m multiport --dports 80,443,8080 -j DROP
iptables -A FORWARD -m state --state RELATED -p tcp -m multiport --sports 80,443,8080 -j DROP


Considerando q a sua política seja de lista negra. Como eu não sei como a sua rede tá disposta, talvez as regras acima não funcionem, mas começa por ae.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh


3. PROXY AUTENTICADO

Fernanda Montovani Albuquerk
fernanda_mon

(usa Debian)

Enviado em 13/10/2017 - 10:37h

Entendi,

mas se eu for muito radical assim, não vai bloquear varias aplicações com sped, sicalc,conectividade, skype e etc?

e os bancos, se o squid controlar o https, vai gerar muitos erros nos certificados, estou correta?

vocês tem algum material que eu possa estudar essas regras?



4. Re: PROXY AUTENTICADO

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 13/10/2017 - 11:14h

fernanda_mon escreveu:

Entendi,

mas se eu for muito radical assim, não vai bloquear varias aplicações com sped, sicalc,conectividade, skype e etc?

e os bancos, se o squid controlar o https, vai gerar muitos erros nos certificados, estou correta?

vocês tem algum material que eu possa estudar essas regras?


Sim, isso pode acontecer. Por isso é recomendado q vc realize exceções em seu firewall. No meu ambiente tb fazemos isso quando um sistema em específico não se dá muito bem com o proxy. A exceção vc pode por assim:


iptables -I FORWARD -m state --state NEW,ESTABLISHED -d IP_LIBERADO -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -s IP_LIBERADO -p tcp -m multiport --dports 80,443 -j ACCEPT


Ae vc pode criar um script para facilitar esse processo (q não vem ao caso). Eu não conheço um bom material de iptables em português, mas em inglês tem o próprio manual do iptables, q eu acho bem bacana:

man iptables

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh






Patrocínio

Site hospedado pelo provedor HostGator.
Linux banner
Linux banner
Linux banner

Destaques

Artigos

Dicas

Viva o Android

Tópicos

Top 10 do mês

Scripts