Firewall Centos

logos_cs
(usa CentOS)

Enviado em 06/03/2012 - 12:45h

Boa tarde a Todos!

Tenho 1 link dedicado de 5 MB.

Instalei em um servidor o CENTOS OS 5 + squid.

Gostaria de montar este firewall da seguinte forma: autenticando no AD 2008 , trabalhando como proxy transparente.

Seria possivel?

O centos é o melhor indicado, ou existe outra distribuição que seja melhor pra se trabalhar?

Senão existir, alguem poderia postar uma arquivo de configuração, que esteja operacional nessa estrutura?

Desde já agradeço,

Logos

phrich
(usa Slackware)

Enviado em 06/03/2012 - 12:50h

Squid autenticado + transparent não rola, vc pode criar uma gpo no 2008 para setar o proxy nos navegadores.

Não esqueça, iptables é uma coisa e squid é outra, se vc não tem certeza como configurar, primeiro estude cada ferramenta para depois colocá-las em produção ok?

Para o iptables, vou lhe passar um link para estudar:

http://www.vivaolinux.com.br/artigo/Iptables-Seguranca-total-para-sua-rede

Sobre o squid ficou lhe devendo pois ainda não acabei.

danniel-lara
(usa Fedora)

Enviado em 06/03/2012 - 12:51h

de uma olhada nessa dica
espero que ajude

http://www.vivaolinux.com.br/dica/Squid-autenticando-no-Active-Directory-%28AD%29-Windows-2008-Serve...

renato_pacheco
(usa Debian)

Enviado em 06/03/2012 - 13:07h

Quando é autenticado no AD e o usuário autentica-se com o seu usuário na máquina através do AD, a navegação do usuário não exigirá a inserção dos dados outra vez, uma vez q já tá autenticado no AD. Apesar d não ser transparente, os dados já estarão autenticados no proxy.

andrecanhadas
(usa Debian)

Enviado em 06/03/2012 - 13:13h

No AD 2008 + squid não funciona a autenticação automática terá que colocar user/senha cada vez que abrir o browser.

renato_pacheco
(usa Debian)

Enviado em 06/03/2012 - 13:28h

Really? Why not?

andrecanhadas
(usa Debian)

Enviado em 06/03/2012 - 13:45h

Pelo que vi é uma dificuldade que a M$ colocou na autenticação usando kerberos.(Vista/WS2008) Sem o kerberos sem autenticação integrada.

Tentei muito fazer funcionar mas acabei desistindo pois a gerencia não gostava muito de ficar colocando senha ao abrir o navegador.

renato_pacheco
(usa Debian)

Enviado em 06/03/2012 - 13:54h

Q meleca, hein? Conversando com a galera daqui, nós chegamos a conclusão q se habilitarmos a versão antiga d autenticação ao domínio (NTLMv1), acredito q funcione, mas não pesquisei ainda sobre isso.

logos_cs
(usa CentOS)

Enviado em 06/03/2012 - 15:54h

Então andre, como vc deixou o seu firewall hoje. Sem autenticação?

Estou pesquisando,e tbm não conseguir essa doideira de autenticar no AD.

Daqui a pouco coloco um ISA, e pronto!

Vamos continuar trocando ideia ai...e ver se arrumamos uma solução!

andrecanhadas
(usa Debian)

Enviado em 06/03/2012 - 16:14h

Estou usando proxy transparente com bloqueio por ARP (mac).

O ISA não atende o que preciso principalmente nessa parte de redirecionamentos, alem de ser meio estranho pois as regras se bagunçavam sozinhas do nada. rsrsr.
Mas se não tiver problemas em se fazer login toda vez que o browser iniciar então o link que postaram com o autenticação LDAP funciona bem.

andrecanhadas
(usa Debian)

Enviado em 06/03/2012 - 16:18h

É pode funcionar até vi algo do tipo modificando o registro da maquinas windows para baixar o nivel de segurança para o NTLMv1, mas como já estava uma semana quebrando a cabeça e nada nem tentei.

logos_cs
(usa CentOS)

Enviado em 06/03/2012 - 16:54h

É...Tenho um ISA hoje essa [*****]. altos bugs. Necessito muito dessa parte de roteamento, porem descobri no ISA como fazer os roteamentos igual no linux. Mas não estou satisfeito com o ISA. Hoje tenho proxy transparente autenticando no AD. Então o usuarios já estão acostumados a não colocar usuario para acessar internet. Então desejo manter o proxy transparente, mas rodando no linux. A maioria da pessoas usa bloqueio ARP? Seria tranquilo implementar. O MAC que seria necessario lançar, seria apenas do usuarios que precisam ser totalmente liberados, os outro não precisam?