Funcionarios Burlando a autenticação

pok182
(usa Ubuntu)

Enviado em 13/07/2010 - 15:48h

ok irado, eu uso o "vi", porem oque eu nao entendi foi em qual lugar do meu firewall eu devo colocar essa regra:
$IPT -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset

e esse $IPT eu coloco o ip da rede ou deixo assim, desse jeito?

removido
(usa Nenhuma)

Enviado em 13/07/2010 - 16:16h

no lugar do $IPT você colocar o iptables.

a diferença é que ao inves de digitar somente "iptables -t..." , ai ta usando uma variável apontando o caminho do iptables, ex:

# IPT=/sbin/iptables
# $IPT -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset

é a mesma coisa que:

# iptables -t filter -A OUTPUT -p tcp -m multiport --dport http,https -m owner ! --uid-owner squid -j REJECT --reject-with tcp-reset

e pode colocar em qualquer lugar após as regras de zerar o firewall

# Zerando o Firewall (Flush)
iptables -t nat -F POSTROUTING
iptables -t nat -F PREROUTING
iptables -t nat -F OUTPUT
iptables -F
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

# A PARTIR DAQUI PRA BAIXO

pok182
(usa Ubuntu)

Enviado em 13/07/2010 - 16:20h

deu esse erro ao reiniciar o firewall:
iptables v1.4.4: owner: Bad value for "--uid-owner" option: "squid"
Try `iptables -h' or 'iptables --help' for more information.

pok182
(usa Ubuntu)

Enviado em 13/07/2010 - 16:34h

pelo que eu entendi, oque esta instalado nas estaçoes é 1 programa pois ele acessa local, tirei 1 ss de uma maquina que burla o acesso, olhem:
http://img39.imageshack.us/img39/2554/imagemzh.jpg - link arrumado

removido
(usa Nenhuma)

Enviado em 13/07/2010 - 16:34h

é porque não existe nenhum usuario chamado squid na sua máquina.

"Ops! Este link parece estar corrompido."

pok182
(usa Ubuntu)

Enviado em 13/07/2010 - 16:40h

como faço p essa regra funcionar?
aa o link ja esta OK

removido
(usa Nenhuma)

Enviado em 13/07/2010 - 16:45h

testa ai trocando o "--uid-owner squid" por "--uid-owner outrousuario". em outrousuario vc coloca o nome do usuario que vc usa.

pok182
(usa Ubuntu)

Enviado em 13/07/2010 - 16:52h

meu usuario de acesso ao squid é renan.cpd e o erro q deu foi:

iptables v1.4.4: owner: Bad value for "--uid-owner" option: "renan.cpd"
Try `iptables -h' or 'iptables --help' for more information.

pok182
(usa Ubuntu)

Enviado em 13/07/2010 - 16:53h

Pessoal, pelo que eu entendi, os usuarios estao utilizando um programa que se chama TOR, olhem essa reportagem:
http://g1.globo.com/Noticias/Tecnologia/0,,MUL1295095-6174,00.html

sera que tem como bloquear isso?

irado
(usa XUbuntu)

Enviado em 13/07/2010 - 17:02h

bão.. antigamente o usuário do squid era o squid; nas versões mais novas, já não existe mais tal usuário, tudo passou a ficar sob propriedade do 'nobody' então, onde (na regra) está squid troque por nobody.

quanto ao TOR, andei procurando e existem algumas receitas aqui:

http://www.google.com.br/search?sourceid=chrome&ie=UTF-8&q=how+to+deny+tor+iptables

divirta-se ;)

pok182
(usa Ubuntu)

Enviado em 14/07/2010 - 08:42h

Pessoal, achei 1 site que pede p fazer 1 script para bloquear o TOR
o site é esse:
http://forums.opensuse.org/archives/sls-archives/archives-linux-tweaks/archives-tips-tricks-tweaks/3...

e o script é essE:
#!/bin/bash

# A simple bash script to block IP traffic from TOR exit nodes.
# written by Andrew Vetlugin (antrew at gmail com)

wget='/usr/bin/wget'
iptables='/sbin/iptables'
url='https://torstat.xenobite.eu/export/tor_exitnodes.csv'

iptables_target='DROP'
#iptables_target='REJECT'

# Quick guide:

# 1. add a separate chain for a list of TOR exit nodes
# (this should be done by hand once)
# iptables -N TOR_EXIT

# 2. add a rule to INPUT chain
# Note: if you want to be able to connect to any TOR exit node yourself
# (e.g., if $url is a exit node you should be able to fetch a list of exit
# nodes from it) then you should add this rule AFTER accepting established
# and related connections)
# iptables -A INPUT -j TOR_EXIT

# 3. add this script to crontab (I think 10-20 minutes interval should be OK)

# flush chain
$iptables -F TOR_EXIT

# add TOR exit nodes to TOR_EXIT chain with $iptables_target rule
for node in `$wget -q --no-check-certificate -O - $url | sort | uniq`; do
$iptables -A TOR_EXIT -s $node -j $iptables_target
done

# return to parent chain if the source is not TOR exit node
$iptables -A TOR_EXIT -j RETURN

Para fazer esse scritp eu faço assim?

#touch tor.sh
#vi tor.sh

dai eu colo o script e saio do vi

#tor.sh

é isso?
alguem pode me ajudar?

pok182
(usa Ubuntu)

Enviado em 14/07/2010 - 09:06h

ha pessoal, achei isso aqui tambem
http://www1.aker.com.br/108/10802002.asp?ttCD_CHAVE=435

olhem oque fala:

Introdução

O aplicativo “Tor” altera a configuração do Proxy do browser para o IP de loopback 127.0.0.1 na porta 8118. O Software se conecta em vários servidores do tipo Proxy disponível na Internet utilizando a porta 443(conexão SSL) para enviar os dados.

Solução

Não é viável bloquear a utilização do aplicativo “Tor” pelo IP de destino da conexão 443/TCP, pois em apenas 20 minutos de análise do tráfego o endereço de destino mudou mais de 30 vezes.

Para bloquear o software é necessário fechar todo o acesso da rede protegida para a internet na porta TCP 443 e abrir apenas para os endereços confiáveis. Segue abaixo, a regra de demonstração no Aker Firewall para o bloqueio do “Tor”: