PROXY AUTENTICADO [RESOLVIDO]

1. PROXY AUTENTICADO [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 13/10/2017 - 09:35h

Bom dia Pessoas,
tenho uma duvida, para configurar uma rede com proxy autenticado, no transparente utilizamos a seguinte regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1.3128

Mas no autenticado como faço para impedir que o usuario tire a configuração do proxy e navegue,
existe algo no iptables para impedir isso?


  


2. MELHOR RESPOSTA

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 13/10/2017 - 11:14h

fernanda_mon escreveu:

Entendi,

mas se eu for muito radical assim, não vai bloquear varias aplicações com sped, sicalc,conectividade, skype e etc?

e os bancos, se o squid controlar o https, vai gerar muitos erros nos certificados, estou correta?

vocês tem algum material que eu possa estudar essas regras?


Sim, isso pode acontecer. Por isso é recomendado q vc realize exceções em seu firewall. No meu ambiente tb fazemos isso quando um sistema em específico não se dá muito bem com o proxy. A exceção vc pode por assim:


iptables -I FORWARD -m state --state NEW,ESTABLISHED -d IP_LIBERADO -p tcp -m multiport --dports 80,443 -j ACCEPT
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -s IP_LIBERADO -p tcp -m multiport --dports 80,443 -j ACCEPT


Ae vc pode criar um script para facilitar esse processo (q não vem ao caso). Eu não conheço um bom material de iptables em português, mas em inglês tem o próprio manual do iptables, q eu acho bem bacana:

man iptables

--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

3. Re: PROXY AUTENTICADO [RESOLVIDO]

Renato Carneiro Pacheco
renato_pacheco

(usa Debian)

Enviado em 13/10/2017 - 10:24h

É bem simples. Basta impedir que o usuário acesse a porta 80 e 443 pelo firewall. Basicamente é:


iptables -A FORWARD -m state --state NEW,ESTABLISHED -p tcp -m multiport --dports 80,443,8080 -j DROP
iptables -A FORWARD -m state --state RELATED -p tcp -m multiport --sports 80,443,8080 -j DROP


Considerando q a sua política seja de lista negra. Como eu não sei como a sua rede tá disposta, talvez as regras acima não funcionem, mas começa por ae.
--
Renato Carneiro Pacheco
Certificado Linux LPIC-1
Especialista em Segurança em Redes de Computadores
Graduado em Redes de Comunicação

http://br.linkedin.com/in/renatocarneirop
http://www.facebook.com/renatocarneirop

"Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh


4. PROXY AUTENTICADO

Perfil removido
removido

(usa Nenhuma)

Enviado em 13/10/2017 - 10:37h

Entendi,

mas se eu for muito radical assim, não vai bloquear varias aplicações com sped, sicalc,conectividade, skype e etc?

e os bancos, se o squid controlar o https, vai gerar muitos erros nos certificados, estou correta?

vocês tem algum material que eu possa estudar essas regras?







Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts