Denuncie   Favoritos   Indicar  

PROXY AUTENTICADO [RESOLVIDO]

1. PROXY AUTENTICADO [RESOLVIDO]

Perfil removido
removido
(usa Nenhuma)

Enviado em 13/10/2017 - 09:35h

Bom dia Pessoas,
tenho uma duvida, para configurar uma rede com proxy autenticado, no transparente utilizamos a seguinte regra:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1.3128

Mas no autenticado como faço para impedir que o usuario tire a configuração do proxy e navegue,
existe algo no iptables para impedir isso?

0 0
  • Quote

    •   


    2. MELHOR RESPOSTA

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 13/10/2017 - 11:14h

    fernanda_mon escreveu:

    Entendi,

    mas se eu for muito radical assim, não vai bloquear varias aplicações com sped, sicalc,conectividade, skype e etc?

    e os bancos, se o squid controlar o https, vai gerar muitos erros nos certificados, estou correta?

    vocês tem algum material que eu possa estudar essas regras?


    Sim, isso pode acontecer. Por isso é recomendado q vc realize exceções em seu firewall. No meu ambiente tb fazemos isso quando um sistema em específico não se dá muito bem com o proxy. A exceção vc pode por assim:


    
iptables -I FORWARD -m state --state NEW,ESTABLISHED -d IP_LIBERADO -p tcp -m multiport --dports 80,443 -j ACCEPT
    
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -s IP_LIBERADO -p tcp -m multiport --dports 80,443 -j ACCEPT


    Ae vc pode criar um script para facilitar esse processo (q não vem ao caso). Eu não conheço um bom material de iptables em português, mas em inglês tem o próprio manual do iptables, q eu acho bem bacana:

    
man iptables

    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh
    0 0
  • Quote

    • 3. Re: PROXY AUTENTICADO [RESOLVIDO]

    Renato Carneiro Pacheco
    renato_pacheco
    (usa Debian)

    Enviado em 13/10/2017 - 10:24h

    É bem simples. Basta impedir que o usuário acesse a porta 80 e 443 pelo firewall. Basicamente é:


    
iptables -A FORWARD -m state --state NEW,ESTABLISHED -p tcp -m multiport --dports 80,443,8080 -j DROP
    
iptables -A FORWARD -m state --state RELATED -p tcp -m multiport --sports 80,443,8080 -j DROP


    Considerando q a sua política seja de lista negra. Como eu não sei como a sua rede tá disposta, talvez as regras acima não funcionem, mas começa por ae.
    --
    Renato Carneiro Pacheco
    Certificado Linux LPIC-1
    Especialista em Segurança em Redes de Computadores
    Graduado em Redes de Comunicação

    http://br.linkedin.com/in/renatocarneirop
    http://www.facebook.com/renatocarneirop

    "Não acredite no que eu digo, pois é a minha experiência e não a sua. Experimente, indague e busque." - Osho Rajneesh

    0 0
  • Quote

    • 4. PROXY AUTENTICADO

    Perfil removido
    removido
    (usa Nenhuma)

    Enviado em 13/10/2017 - 10:37h

    Entendi,

    mas se eu for muito radical assim, não vai bloquear varias aplicações com sped, sicalc,conectividade, skype e etc?

    e os bancos, se o squid controlar o https, vai gerar muitos erros nos certificados, estou correta?

    vocês tem algum material que eu possa estudar essas regras?


    0 0
  • Quote





    • Patrocínio

    Site hospedado pelo provedor RedeHost.
    Linux banner

    Destaques

    Artigos

    Mamãe, quero descompactar e também compactar arquivos no terminal!

    Deixando o Gnome bonitão em qualquer distribuição

    Como ativar o módulo de cancelamento de ruído no Pipewire

    Como escolher o melhor escalonador de CPU para melhorar o desempenho da máquina

    Curiosidade sobre DOOM Guy e Isabelle de Animal Crossing

    Dicas

    Fazendo 100% no DOOM clássico sem tutorial

    DSDA DOOM no Linux Mint 21.3 Virginia

    Papagaiando (enfeitando) o KDE com efeitos do KWiN Burn My Windows

    Como centralizar o widget Gerenciador de Tarefas Apenas Com Ícones do Painel do KDE

    Checar seu IP externo no terminal

    Tópicos

    Não consigo fazer acesso externo a um servidor interno com pFsense. (1)

    bc e calculos de horas - Duração de tempo (9)

    Dúvidas com pacotes descontinuados (11)

    Kernel pede para ser reinstalado (31)

    O que eu faço com o pen drive de 200mb? [RESOLVIDO] (16)

    Top 10 do mês

    Scripts

    [Shell Script] Script para habilitar um pendrive a dar boot no VirtualBox

    [Shell Script] Script para verificar o Status da bateria

    [Python] Peer-to-peer nós para processamento em multipontos

    [Shell Script] Instalador de Lutris com winehq-staging para rodar Origin em Debian Bullseye (Kernel 5.10.0-23) - 64

    [Python] HCrawler 3.0 - crawler escrito em Python 3

    A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.

    Site hospedado por: