Usuários saindo pela internet sem o proxy

lukasbittencourt
(usa Debian)

Enviado em 25/08/2016 - 14:04h

Boa tarde,

Estou com uma situação a onde os nossos usuários estão saindo pela internet sem o nosso proxy.

Gostaria de forçar eles sairem pelo proxy e apenas liberando alguns usuários a terem acesso full a internet através do meu firewall (Sonicwall)

Segue a configuração de IPTABLES criada


Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp dpt:19305
ACCEPT tcp -- anywhere anywhere tcp dpt:19309
ACCEPT udp -- anywhere anywhere udp dpt:19305
ACCEPT udp -- anywhere anywhere udp dpt:19309
REJECT tcp -- anywhere anywhere tcp dpt:www reject-with icmp-port-unreachable
REJECT tcp -- anywhere anywhere tcp dpt:http-alt reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Teria mais alguma regra para adicionar?

renato_pacheco
(usa Debian)

Enviado em 25/08/2016 - 14:43h

É pq vc tá deixando livre a porta 80 e 443. Minha sugestão é que troque a política de acesso da chain FORWARD para DROP:

iptables -P FORWARD DROP

 

E depois vais liberando apenas o q desejas. Vais ter um pouco de trabalho, mas é mais seguro. Ex. de liberação:

iptables -A FORWARD -m state --state NEW -m multiport -p tcp --dports 80,443 -s IP_DO_USUARIO -j ACCEPT

... <-- coloque suas regras nesse meio aqui

iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

 

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

diogospace
(usa Debian)

Enviado em 08/09/2016 - 16:30h

Opa amigo, na verdade vc precisa redirecionar a saida da porta 80 para a porta do proxy 3128, assim

### Regras PREROUTING

iptables -t nat -A PREROUTING -i $INT -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128 

renato_pacheco
(usa Debian)

Enviado em 08/09/2016 - 17:22h

Isso depende, amigo. Só se ele quiser q o proxy seja transparente, caso contrário, ele não pode fazer isso, teria q seguir meu exemplo.

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh