01 02

Brecha no Squid

1. Brecha no Squid

yathal
(usa Debian)

Enviado em 02/10/2012 - 17:15h

Boa Tarde pessoal, tenho um Debian com Squid rodando em uma rede e não tenho muita experiência com linux e gostaria que alguém me ajudasse.
Reparei a seguinte brecha no meu squid/iptables: eu fiz o bloqueio do facebook por iptables, ok, bloqueia mesmo que a pessoa tente acessar usando https.
Porém é um proxy autenticado, e no navegador firefox, se eu não configuro proxy e tento acessar pela porta https, abre qualquer site.

Alguém pode me ajudar a corrigir?

0 0

Quote

2. Re: Brecha no Squid

phrich
(usa Slackware)

Enviado em 02/10/2012 - 17:41h

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

0 0

Quote

3. Re: Brecha no Squid

Carlos_Cunha
(usa Linux Mint)

Enviado em 02/10/2012 - 20:15h

Eh amigo se desse uma procura veria que tem varios informações sobre https e proxy transparente, o squid não funfa de boa com essa combinação, tem varios artigos sobre isso, mas ate agora não vi nenhum que faça bloquear https em proxy transparente.

0 0

Quote

4. Re: Brecha no Squid

johnnyb
(usa Fedora)

Enviado em 02/10/2012 - 21:11h

amigo feche a porta

0 0

Quote

5. Re: Brecha no Squid

yathal
(usa Debian)

Enviado em 03/10/2012 - 08:11h

meu proxy não é transparente, eu tenho que configurar em todos os navegadores.
Amigo, para fechar a porta não causaria problemas em sites q precisam mesmo do 443?
Eu li nos tópicos que em proxy não transparente, é possível usar o squid para HTTPS e filtrar o conteúdo.

1 0

Quote

6. Re: Brecha no Squid

saitam
(usa Slackware)

Enviado em 03/10/2012 - 09:22h

Para ninguém burlar o proxy autenticado deve ter a seguinte política abaixo.

* Iniciar tudo DROP
* Apenas liberar as portas dos serviços necessárias
* Jamais liberar as portas 80 e 443 na chain FORWARD, isso deve forçar passar no proxy squid

Desse forma, se alguém tentar retirar o IP:PORTA no navegador ficará sem acesso a internet, e também pode tentar https://facebook.com DENIED

Maiores informações:
http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

0 0

Quote

7. Re: Brecha no Squid

yathal
(usa Debian)

Enviado em 03/10/2012 - 14:41h

obrigado, vou dar uma lida e aviso se funcionou.

0 0

Quote

8. Re: Brecha no Squid

johnnyb
(usa Fedora)

Enviado em 07/10/2012 - 19:42h

:D ?eai amigo resolvel o bo

0 0

Quote

9. Re: Brecha no Squid

yathal
(usa Debian)

Enviado em 24/10/2012 - 13:33h

Ainda não consegui amigo, posso postar minhas configurações de Firewall aqui?

0 0

Quote

10. Re: Brecha no Squid

saitam
(usa Slackware)

Enviado em 24/10/2012 - 13:39h

yathal escreveu:

Ainda não consegui amigo, posso postar minhas configurações de Firewall aqui?

pode colocar as regras iptables entre a tag [ code ] código [ / code ]

0 0

Quote

11. Re: Brecha no Squid

yathal
(usa Debian)

Enviado em 24/10/2012 - 13:45h

as regras no iptables -L são



Chain INPUT (policy ACCEPT)

target     prot opt source               destination

fail2ban-ultrasurf  all  --  anywhere             anywhere

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

ACCEPT     all  --  anywhere             anywhere

ACCEPT     all  --  localhost            anywhere

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain

ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

ACCEPT     all  --  anywhere             200.18.118.12

ACCEPT     all  --  anywhere             189.42.17.115

ACCEPT     all  --  anywhere             200.180.118.11

ACCEPT     all  --  anywhere             200.180.118.64

ACCEPT     all  --  anywhere             189.42.17.120

ACCEPT     all  --  anywhere             200.180.118.65

ACCEPT     all  --  anywhere             189.42.17.121

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 5/sec burst 5



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

fail2ban-ultrasurf  all  --  anywhere             anywhere

LOG        all  --  anywhere             65.49.14.0/24       LOG level warning prefix `=UltraSurf='

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp

REJECT     all  --  anywhere             65.54.165.177       reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.19        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.165.136       reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.47        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.77        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.17        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.165.169       reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.10        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             64.4.12.96          reject-with icmp-port-unreachable

ACCEPT     tcp  --  anywhere             anywhere            multiport dports smtp,pop3,submission

REJECT     tcp  --  anywhere             anywhere            multiport dports msnp,afs3-callback reject-with icmp-port-unreachable

REJECT     udp  --  anywhere             anywhere            multiport dports afs3-callback reject-with icmp-port-unreachable



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

REJECT     tcp  --  anywhere             anywhere            multiport dports msnp,afs3-callback reject-with icmp-port-unreachable

REJECT     udp  --  anywhere             anywhere            udp dpt:afs3-callback reject-with icmp-port-unreachable



Chain fail2ban-ultrasurf (2 references)

target     prot opt source               destination

RETURN     all  --  anywhere             anywhere

0 0

Quote

12. Re: Brecha no Squid

saitam
(usa Slackware)

Enviado em 24/10/2012 - 13:57h

yathal escreveu:

as regras no iptables -L são



Chain INPUT (policy ACCEPT)

target     prot opt source               destination

fail2ban-ultrasurf  all  --  anywhere             anywhere

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

ACCEPT     all  --  anywhere             anywhere

ACCEPT     all  --  localhost            anywhere

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:domain

ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh

ACCEPT     all  --  anywhere             200.18.118.12

ACCEPT     all  --  anywhere             189.42.17.115

ACCEPT     all  --  anywhere             200.180.118.11

ACCEPT     all  --  anywhere             200.180.118.64

ACCEPT     all  --  anywhere             189.42.17.120

ACCEPT     all  --  anywhere             200.180.118.65

ACCEPT     all  --  anywhere             189.42.17.121

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:www

ACCEPT     icmp --  anywhere             anywhere            icmp echo-request limit: avg 5/sec burst 5



Chain FORWARD (policy ACCEPT)

target     prot opt source               destination

fail2ban-ultrasurf  all  --  anywhere             anywhere

LOG        all  --  anywhere             65.49.14.0/24       LOG level warning prefix `=UltraSurf='

ACCEPT     all  --  anywhere             anywhere            state RELATED,ESTABLISHED

TCPMSS     tcp  --  anywhere             anywhere            tcp flags:SYN,RST/SYN tcpmss match 1400:1536 TCPMSS clamp to PMTU

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data

ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp

REJECT     all  --  anywhere             65.54.165.177       reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.19        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.165.136       reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.47        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.77        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.17        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.165.169       reject-with icmp-port-unreachable

REJECT     all  --  anywhere             65.54.186.10        reject-with icmp-port-unreachable

REJECT     all  --  anywhere             64.4.12.96          reject-with icmp-port-unreachable

ACCEPT     tcp  --  anywhere             anywhere            multiport dports smtp,pop3,submission

REJECT     tcp  --  anywhere             anywhere            multiport dports msnp,afs3-callback reject-with icmp-port-unreachable

REJECT     udp  --  anywhere             anywhere            multiport dports afs3-callback reject-with icmp-port-unreachable



Chain OUTPUT (policy ACCEPT)

target     prot opt source               destination

REJECT     tcp  --  anywhere             anywhere            multiport dports msnp,afs3-callback reject-with icmp-port-unreachable

REJECT     udp  --  anywhere             anywhere            udp dpt:afs3-callback reject-with icmp-port-unreachable



Chain fail2ban-ultrasurf (2 references)

target     prot opt source               destination

RETURN     all  --  anywhere             anywhere