Impedir que "usuários" naveguem fora do proxy

leomorenno
(usa Debian)

Enviado em 31/01/2014 - 11:21h

Bom dia amigos,

Eu configurei meu proxy e está funcionando certinho quando defino as configurações no browser de cada maquina.
A questão é que quando o "usuário" tira a opção de proxy do navegador ele consegue acessar tudo, como posso barrar esse acesso, caso ele tire a opção de proxy do browser ele fique sem internet.

Aguardo uma ajuda de vocês :)

renato_pacheco
(usa Debian)

Enviado em 31/01/2014 - 11:24h

Vc tem q bloquear o acesso direto às portas 80 e 443 no seu firewall.

leomorenno
(usa Debian)

Enviado em 31/01/2014 - 11:28h

e qual o comando?

esse comando eu coloco dentro de qual arquivo?

leomorenno
(usa Debian)

Enviado em 31/01/2014 - 11:34h

eu coloquei o comando:

iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A FORWARD -p tcp --dport 443 -j DROP


dentro do arquivo /etc/rc.local e mesmo assim continua navegando normalmente.

renato_pacheco
(usa Debian)

Enviado em 31/01/2014 - 13:05h

Depende muito das regras q vc tem. Quais são essas regras? Poste aqui.

leomorenno
(usa Debian)

Enviado em 31/01/2014 - 13:42h

squid.conf

acl all src all
acl localhost src 127.0.0.1/32

##

### Meus controles de acesso ###
acl negados url_regex sexy sexo [*****] playboy facebook globo
acl liberados url_regex libsexy computador sexoesaude
acl downloads urlpath_regex \.avi$ \.avi? \.mp3$ \.mp3? \.mp4$ \.mp4?
###

#### Http_access ####
http_access allow liberados
http_access deny negados
http_access deny downloads

#http_access allow usuarios####
http_access allow localhost
http_access allow all

##### Configuracoes Gerais #####
http_port 3128
cache_mem 256 MB
maximum_object_size_in_memory 4 MB
cache_dir ufs /var/spool/squid 3000 16 256
access_log /var/log/squid/access.log squid
cache_mgr leomorreno@gmail.com
visible_hostname proxy
error_directory /usr/share/squid/errors/Portuguese

httpd_accel_port 80
httpd_accel_host virtual
httpd_accel_with_proxy on
httpd_accel_uses_host_header on


-------------------------------------------------
rc.local

#!/bin/sh -e
#
#rc.local
#
# This script is executed at the end of each multiuser runlevel.
# Make sure that the script will "exit 0" on success or any other
# value on error.
#
# In order to enable or disable this script just change the execution
# bits.
#
# By default this script does nothing.

iptables -A FORWARD -p tcp --dport 80 -j DROP
iptables -A FORWARD -p tcp --dport 443 -j DROP


exit 0
~
~

---------------------
e dentro de /etc/init.d/rc.firewall que em um tutorial me mandaram criar não tem mais nada

renato_pacheco
(usa Debian)

Enviado em 31/01/2014 - 13:59h

Poste a saída desse comando para eu analisar:

iptables -nL

 

Mais uma pergunta: o squid tá na msm máquina do firewall?

leomorenno
(usa Debian)

Enviado em 31/01/2014 - 15:39h

root@proxyvisatel-desktop:/home/proxyvisatel#iptables -nL
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 192.168.1.0/24 192.168.1.107 tcp dpt:3128

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

leomorenno
(usa Debian)

Enviado em 31/01/2014 - 15:57h

sim, estão na mesma maquina, a questão é que não sei te dizer se a instalação do firewall está correta.

renato_pacheco
(usa Debian)

Enviado em 31/01/2014 - 15:58h

Cara, vc terá d construir um firewall ae pra barrar diversas coisas. Eu não vou criar um pra vc, mas posso d dar o caminho das pedras:

- Bloqueie, por padrão, as chains FORWARD e INPUT na tabela filter;
- Libere apenas o necessário (consulta DNS, ICMP proxy etc.);
- Quando for liberar as portas 80 e 443, libere apenas para o proxy acessar.

Esse é o básico. Se vc não tem noção d iptables, sugiro procurar sobre o assunto. Aqui no VOL possui diversos artigos relacionados a isto, basta procurar.