Pular para o conteúdo
Squid/Iptables em Firewall

Squid sem proxy transparente [RESOLVIDO]

Responder tópico
  • Denunciar
  • Indicar

1. Squid sem proxy transparente [RESOLVIDO]

Enviado em 21/10/2010 - 15:54h

Boa Tarde Galera,

Configurei o Squid autenticado, esta funcionando tudo ok, o unico problema que quando o usuario tira a configuração proxy do browser e adiciona na sua placa de rede ip + gatware + dns ... a internet passa pelo squid tendo acesso total ... teria como bloquear a internet usando somente a configuração do proxy autenticado.

Utilizo Ubuntu server 10.04 como servidor de internet
eth0 - conexao ppoe
eth1 - ip da rede local

Obrigado.

Responder tópico

2. Squid sem proxy transparente

Melhor resposta

Enviado em 21/10/2010 - 19:46h

Colega, boa noite!

Caso não tenha um script de firewall use este abaixo é bem simples, mas vai
fazer o que você quer.

Salve ele com o nome de firewall dentro do diretório /etc/init.d e permita execução com chmod +x /etc/init.d/firewall

Depois configure ele para carregar na inicialização do sistema com update-rc.d firewall defaults


#!/bin/bash

#carrega modúlos
modprobe ip_tables
modprobe iptable_nat

#ativa compartilhamento de internet
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

#bloqueio acesso http e https fora do proxy
iptables -A FORWARD -p tcp -m multiport --dports 80,443 -j DROP

#libera localhost e lan
iptables -A INPUT -p tcp --syn -s 127.0.0.1 -j ACCEPT
iptables -A INPUT -p tcp --syn -s xxx.xxx.x.x/255.255.255.0 -j ACCEPT

#desativa ping
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

#bloqueio demais situações
iptables -A INPUT -p tcp --syn -j DROP

3. Re: Squid sem proxy transparente [RESOLVIDO]

Enviado em 21/10/2010 - 16:04h

Basta bloquear as portas 80 e 443 (http e https) e deixar liberado a 3128 (proxy)

4. Squid

Enviado em 21/10/2010 - 16:24h

Dentro de /etc/init.d/firewall

adicione essa regra

# habilita proxy transparente
$IPTABLES -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

ele vai redirecionar todas as portas da 80 para 3128, significa que quando o usuario desativar o proxy a porta 80 não funcionará mais..

5. Re: Squid sem proxy transparente [RESOLVIDO]

Enviado em 21/10/2010 - 16:33h

Fabio, leia o título.

6. Squid

Enviado em 21/10/2010 - 16:45h

ta se refererindo a minha pergunta Cesar ?? cara na verdade to procurando ajuda, se eu participo dessa comunidade, gostaria de compartilhar, pois o site nao possuir nem titulo referente esse assunto..

7. Squid sem proxy transparente

Enviado em 21/10/2010 - 16:50h

Obrigado cesarasilva, mas desculpa a ignorancia,
como ficaria essa regra que me falou.

[2] Enviado em 21/10/2010 - 16:04h:
Basta bloquear as portas 80 e 443 (http e https) e deixar liberado a 3128 (proxy)

8. Re: Squid sem proxy transparente [RESOLVIDO]

Enviado em 21/10/2010 - 17:28h

Ola amigo, se voce precisa autenticar os usuarios antes de
navegar na NET, não vai conseguir fazer isto se o squid estiver como transparent. o proxy_auth funciona somente se
vc especificar o proxy manualmente no nagevador, ou, vc pode
criar um script, proxy.pac , procure aqui no vol e vai achar
varios artigos sobr isto.

9. Re: Squid sem proxy transparente [RESOLVIDO]

Enviado em 21/10/2010 - 17:40h

uma correção anterior,
proxy_auth , esta errado, a linha abaixo é
que autentica os usuarios :

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/passwd

ou, pode tentar usar o NATACL, mas esse, eu ainda não
testei se realmente funciona !!

10. Re: Squid sem proxy transparente [RESOLVIDO]

Enviado em 21/10/2010 - 19:01h

João, você não já tem um script de Firewall?

Se não tiver, http://blog.cesar.augustus.nom.br/instalando-o-firewall-no-linux.html

Se tiver, faz o seguinte:

-Se as políticas padrão for DROP, remova ou comente as regras parecidas como essas abaixo:
iptables -A FORWARD -o eth0 -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -A FORWARD -i eth0 -p tcp -m multiport --sports 80,443 -j ACCEPT

-Se as políticas padrão for ACCEPT, adicione essas regras abaixo:
iptables -A FORWARD -o eth0 -p tcp -m multiport --dports 80,443 -j DROP
iptables -A FORWARD -i eth0 -p tcp -m multiport --sports 80,443 -j DROP

11. Squid sem proxy transparente

Enviado em 21/10/2010 - 20:24h

Se vc tiver um AD, podi criar uma GPO para que os usuario não consiga alterar as confs do browser.

ate mais

12. Re: Squid sem proxy transparente [RESOLVIDO]

Enviado em 22/10/2010 - 00:45h

Boa noite galera, estou muito contente com a participação de todos no forum, as resposta me ajudaram muito, apliquei as configurações n firewall conforme instrução e td está como queria ..... obrigado pela ajuda... abraços Joao Rafael

Responder tópico

Responder tópico

Entre na sua conta para responder.

Fazer login para responder