Forçando o uso do proxy com iptables
Dica publicada em Linux / Segurança
Forçando o uso do proxy com iptables
Podemos forçar o usuário sempre a manter as configurações de
proxy num determinado navegador (IE, Firefox, etc) ou outro
cliente que nosso proxy monitore, evitando que algum espertinho
tire as configurações e navegue fora do proxy.
As regras que iremos utilizar devem estar sempre acima de regras que liberam acesso total a Internet no seu script firewall, são elas:
Para HTTP:
As regras que iremos utilizar devem estar sempre acima de regras que liberam acesso total a Internet no seu script firewall, são elas:
Para HTTP:
iptables -A FORWARD -p tcp --dport 80 -j REJECT
iptables -A FORWARD -p tcp --dport 8080 -j REJECT
iptables -A FORWARD -p tcp --dport 8080 -j REJECT
Para FTP:
iptables -A FORWARD -p tcp --dport 21 -j REJECT
Adicionamos estas regras para o firewall rejeitar conexões diretas nestas portas obrigando ao usuário utilizar o proxy para conseguir navegar.
Veja que no caso do Squid, os pacotes web e ftp vão passar pela porta 3128, que é a default dele, e esta liberada no nosso firewall. Isso funciona da mesma forma para qualquer proxy que trabalhe em outra porta diferente desta.