Squid/Iptables - Duvida simples [RESOLVIDO]

DMS_
(usa elementary OS)

Enviado em 29/12/2011 - 11:07h

Fala pessoal beleza?

Na implantação, de um servidor proxy no gateway da rede, a duvida e o seguinte, aqui vai ser proxy autenticado. Sendo assim, tenho que configurar navegador por navegador, coloca ip e porta do meu proxy certo? A dúvida é, se algum usuário for lá e remover essa configuração ele conseguirá navegar normalmente sem autenticação ou ficará travado? Pois meu medo é esse, sempre tem aquele kra que fuça. Tem como proxy autenticado e também redirecionando porta 80 para porta do meu proxy, para eventualmente se alguém deconfigurar o navegador, ou isso é impossivel?

Espero que tenha ficado claro a dúvida obrigado.

DMS_
(usa elementary OS)

Enviado em 29/12/2011 - 11:22h

Se no iptables eu der um DROP na porta 80, sendo assim, se o espertalhão tirar a configuração do proxy do navegador ele não conseguirá navegar correto??

DMS_
(usa elementary OS)

Enviado em 29/12/2011 - 11:24h

É exatamente o que vou fazer dei um deny !liberados assim é tudo bloqueado e vou liberando aos poucos, antes, era tudo liberado, só dava uns toque pro pessoal nao navegar mt no youtube, mas já basta, se você da liberdade o pessoal não sabe aproveitar, vou bloquear tudo mesmo, quero nem saber, já me ferrei de mais por causa disso, enfim, sou novo, aprendemos com os erros!

Vlw Renato.

phrich
(usa Slackware)

Enviado em 29/12/2011 - 11:27h

O certo seria colocar todas as plíticas como DROP:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Assim nada vai estar liberado, daí vc só vai realizando as liberações que forem necessárias tipo:

iptables -A INPUT -s $REDE_LOCAL -p -tcp --dport 3128 -j ACCEPT

E as demais regras para email, DNS, etc

Ai o pessoal vai ter que passar pelo proxy de qualquer maneira.

DMS_
(usa elementary OS)

Enviado em 29/12/2011 - 11:33h

É isso mesmo que será feito. Vai dar trabalho, pq tem vários sistemas aqui e cada um usa uma porta específica....

E como iptables le as regras por linhas ficaria assim por exemplo




iptables -A INPUT -s $REDE_LOCAL -p -tcp --dport 3128 -j ACCEPT
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

As liberações no inicios e os drops logo após correto?

phrich
(usa Slackware)

Enviado em 29/12/2011 - 11:48h

No iptables vc primeiro nega para depois liberar, como eu disse no outro post, vc pode colocar todas as políticas como DROP, pois isso lhe dará mais segurança.

Logo após vc só terá regras de liberação, pois tudo o que não tiver liberado será negado por exemplo:

# Nega tudo
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

# Libera SSH para o firewall
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

# Libera o acesso FTP a partir de um host
iptables -A INPUT -p tcp --dport 21 -s 200.200.200.200 -j ACCEPT

No exemplo acima só estaria liberado o acesso a SSH de qqr origem e FTP a partir do IP 200.200.200.200

DMS_
(usa elementary OS)

Enviado em 29/12/2011 - 13:03h

Mas se eu dei um DROP na porta 80 na primeira linha, consigo dar um ACCEPT nela na segunda linha????
Pensei que esse tipo de formatação não funcionava....

renato_pacheco
(usa Debian)

Enviado em 29/12/2011 - 13:32h

Política é uma coisa, ação é outra coisa. A política define como o firewall deve ser iniciado (todo negado ou todo liberado), mas a ação já é a regra propriamente dita. Portanto, o conceito q vc conhece só é válido para ação.

DMS_
(usa elementary OS)

Enviado em 29/12/2011 - 13:50h

Não entendi em nada seu post, a politica aqui já é bloquear tudo e liberar aos poucos! E não tenho nenhuma dúvida em relação a isto. A dúvida é sobre a ordem das ações no caso. Se eu bloquear uma porta na linha 45 do script dando DROP nela, consigo desbloquear dando ACCEPT na linha 46?

renato_pacheco
(usa Debian)

Enviado em 29/12/2011 - 13:56h

Olhe a diferença! Se vc der um comando q bloqueie a porta X na linha 45 e tentar desbloqueá-la na linha 46, é lógico q continuará bloqueada. Agora se vc aplica a política d bloquear tudo por padrão e vc libera depois, ae sim é liberada a porta. Entendeu agora?

saitam
(usa Slackware)

Enviado em 29/12/2011 - 14:14h

Vem uma dica, caso algum usuário do proxy retirar o ip:porta do navegador na tentativa de acessar a internet livremente, basta adicionar essa regra no seu script de firewall

iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

 

Nota: eth1=interface da rede local
Pronto, se o usuário retirar o ip:porta no navegador simplesmente não navega, se colocar navega com as regras do proxy squid.
Assim, obriga o usuário usar o proxy no navegador, caso contrário não navega.