Usuários mudam proxy [RESOLVIDO]

jacquesteixeira
(usa Debian)

Enviado em 28/12/2009 - 08:25h

Olá a todos, estou com um problema em minha rede interna tenho um servidor proxy rodando slackware, não fui eu quem fez ele, herdei esse servidor pronto, nesse servidor esta rodando squid e iptables, o squid esta rodando na porta 8000, a questão é quando o browser dos usuários esta configurada com ip do proxy e porta 8000, roda direito tudo passa pelo proxy, com suas devidas regras (tudo bloqueado no horário comercial), o problema e que se o usuário vai lá nas configurações do browser, e tirar do ip e da porta, ele navega com tudo liberado, e não passa nada pelo squid, alguém pode me ajudar?

eduardo
(usa Linux Mint)

Enviado em 28/12/2009 - 08:29h

Bom dia,

Experimente utilizar Proxy Transparente.

http://migre.me/f7Vp

Abraços

pogo
(usa Fedora)

Enviado em 28/12/2009 - 08:46h

Configure um proxy transparente, assim todo o tráfego será sempre redirecionado para o proxy não importa a configuração do cliente.

O modo de fazer isso varia um pouco:

* Você pode colocar a palavra "transparent" na linha http_port, por exemplo:
http_port 3128 transparent

* Se isso não funcionar, faça pelo IPTables. Uma regra parecida com a seguinte irá te ajudar:
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Não se esqueça de trocar as portas para que elas fiquem de acordo com o seu ambiente.

Espero que ajude!

[]'s
Pedro Pereira
www.pedropereira.net

andre_ramos
(usa openSUSE)

Enviado em 28/12/2009 - 08:49h

Vc tem algum server 2003 ou 2008 isntalado na sua rede?

se sim vc pode colocar um diretiva com o bloqueio para o usuario nao consegui alterar o proxy pois com essa diretiva o local onde coloca o proxy fica desabilidado, se nao tiver tem mais duas opçoes
1º colocar a diretiva que descrevi manualmente em cada computador e so digitar em executar
gpedit.msc e colocar a diretiva ok
2º e a como o colega acima disse colocar o proxy transparet

espero ter ajudado

eduardo
(usa Linux Mint)

Enviado em 28/12/2009 - 08:58h

Normalmente, você terá que colocar tanto a regra do firewall quanto a do squid para funcionar a transparência.

andrelopes.mrx
(usa FreeBSD)

Enviado em 28/12/2009 - 09:28h

Proxy transparente é a melhor solução, pois o usuário continua utilizando proxy, mesmo sem perceber, mas se você sentir dificuldade em implementar apenas bloquei o acesso http diretamente via iptables:

iptables -A FORWARD -p tcp --dport 80 -s redeinterna/mascara -o interface_internet -j DROP

Não se esqueça de fazer o mesmo com https (porta 443).
E coloque essa regra também no topo da lista FORWARD.

um abraço!

André Gustavo
blog: http://blog.mrx.com.br
gtalk: andre@mrx.com.br

jacquesteixeira
(usa Debian)

Enviado em 28/12/2009 - 09:39h

ok, me convenseram , vou tentar implementar o proxy transparent novamente, tinha tentado uma vez, mas senti dificuldade, principalmente em liberar o conectividade soicial da caixa.

eduardo
(usa Linux Mint)

Enviado em 28/12/2009 - 13:21h

No caso do conectividade social da caixa, você não tem escapatória. Você é obrigado a liberar sem proxy. Pra isso, basta colocar antes da regra de proxy transparente as seguintes regras:

iptables -A FORWARD -j ACCEPT -d 200.201.173.0/24
iptables -A FORWARD -j ACCEPT -d 200.201.174.0/24
iptables -t nat -A PREROUTING -j ACCEPT -d 200.201.173.0/24
iptables -t nat -A PREROUTING -j ACCEPT -d 200.201.174.0/24

Se você não quiser sofrer tanto, e fazer com que o pessoal só consiga acessar a internet com o proxy marcado e sem ter que habilitar o proxy transparente, apenas coloque esta regra que irá funcionar perfeitamente:
iptables -A FORWARD -j DROP -s rede_interna -p tcp --dport 80
iptables -A FORWARD -j DROP -s rede_interna -p tcp --dport 443 #SSL


Mas recomendo o proxy transparente.

andre_ramos
(usa openSUSE)

Enviado em 28/12/2009 - 14:52h

eu uso esta regra e funciona ok!

Ela quer dizer que do o trafego da porta 80 e direcinado para a porta do proxy 3128 exceto o ip da caixa economica

lembrando que $NETWORK e a rede interna ok

$IPTABLES -t nat -A PREROUTING -i $NETWORK -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128

espero ter ajudado

elgio
(usa OpenSuSE)

Enviado em 28/12/2009 - 14:54h

Bom, observei todos recomendando usar proxy transparente.

Primeiro deve-se dizer/lembrar que a vantagem ÚNICA do proxy transparente é que NINGUÉM precisa configurá-lo em seus navegadores. Mas como os navegadores já estão configurados, esta vantagem, inicialmente, não interessa ao nosso amigo.

Mas proxy transparente tem, também, uma série de desvantagens:

- não funciona para HTTPS: não adianta colocar uma regra de iptables jogando a porta 443 para o proxy que não funciona! Para HTTPS só com nat ou proxy NORMAL, configurado no navegador

- não funciona autenticação: o mecanismo de autenticação padrão do proxy não atua sobre a técnica de transparência.

- clientes precisam de DNS

OK. É certo que os clientes já tem DNS e algum mecanismo de NAT ou ainda IPs públicos todos, senão ao remover a configuração de proxy não navegaria!

Se a ideia é que os usuários não naveguem sem o proxy, apenas algumas regras de iptables resolveriam bloqueando o acesso das portas 80 e 443 dos clientes (pois se eles usarem o proxy, suas conexões serão para a porta do proxy).

Claro, se o amigo quiser mesmo implementar proxy transparente, vá em frente. Mas o bloqueio FUNCIONARÁ!

Ainda, como foi dito que o squid foi HERDADO, talvez seja uma versão antiga. Versões antigas NÃO TINHAM O MODO TRANSPARENT e a configuração era feita de outra forma (exigiam duas linhas de configuração. Posteriormente é que a palavra "transparent" foi adicionada)

Por fim, assim como o thedrummer comentou, AMBAS as configurações são necessárias, tanto no squid quanto no iptables. O squid precisa ser configurado para aceitar trabalhar de forma transparente e o firewall configurado para desviar as conexões para a porta/Ip do proxy.

No squid, NOVO, basta mesmo inserir a palavra "transparent" na configuração da porta.

No iptables, depende MUITO da tua rede.

se o firewall/roteador é a mesma máquina do teu proxy, então a regra do pogo QUASE certa:

iptables -t nat -A PREROUTING -i <PLACAINTERNA> -p tcp --dport 80 -j REDIRECT --to-port 8080
(pois li no post que teu proxy está na porta 8080)

jacquesteixeira
(usa Debian)

Enviado em 28/12/2009 - 17:20h

a dica do thedrummer deu certo
"Se você não quiser sofrer tanto, e fazer com que o pessoal só consiga acessar a internet com o proxy marcado e sem ter que habilitar o proxy transparente, apenas coloque esta regra que irá funcionar perfeitamente:
iptables -A FORWARD -j DROP -s rede_interna -p tcp --dport 80
iptables -A FORWARD -j DROP -s rede_interna -p tcp --dport 443 #SSL"

a questao e que eu tenho uma regra no iptables que libera a 80 para alguns ips, e quando eu acrescentei a regra do thedrummer , a regra que libera a porta 80 para alguns ip nao funcionou,essa regra existia para liberar o acesso total para alguns ips e, como os da TI por exemplo e para fazer testes, tipo o carinha do financeiro nao ta conseguindo acessar um site, eu testava na minha maquina para ver se era problema do meu firewall/squid ou externo; vou tentar aplicar a regra do thedrummer e criar uma acl para liberacao total de internet para alguns ips, se alguem tiver mais alguma dica ja ajuda , pq eu prefiro usar o proxy assim do que transparente, tive muita dor de cabeça com o transparente.