impedir que usuarios naveguem sem usar o proxy

rafaelsilvad
(usa Debian)

Enviado em 12/03/2012 - 12:54h

Olá pessoal!
preciso de ajuda com um trabalho de escola, eu tinha que desenvolver um projeto de rede e faze-lo funcionar, tudo deu certo só falta essa parte da segurança, pra explicar melhor o que eu estou precisando agora vou pintar o quadro inteiro:

- servidor com 5 placas de rede compartilhando internet via NAT, com o iptables
- uma placa fica só pra comunicação externa, e das outras cada placa de rede serve uma subrede, na primeira tenho um servidor com o squid, funcionando bem e restringindo a navegação
- nas outras subredes consegui que as restrições na navegação funcionassem
- mas problema: se os usuarios das outras subredes tirarem a configuração de proxy dos navegadores eles navegam normalmente, preciso impedir isso sem usar GPO's pra impor a configuração dos navegadores, e sem usar proxy transparente.


eu tentei bloquear a porta 80 e 8080 pelo iptables na maquina NAT, mas isso fazia a maquina com o squid não conseguir receber os dados tambem, tentei rejeitar os pacotes que chegassem pela porta 80 e 8080 EXCETO se fossem solicitados pelo ip da maquina com o squid mas tambem não funcionou, mas não sei usei a regra certa tambem, alguem já esteve no mesmo caso e conseguiu resolver??

onde eu estagio eles fizeram uma coisa que se tirar a configuração do proxy do navegador as requisições não são respondidas e essa tela é exibida:

http://imageshack.us/f/40/printbh.jpg/


mas sou estagiario do suporte e o pessoal da infraestrutura não quis me dizer falando que era falha de segurança, um bando de baitolas se alguem souber como esse tal forefront funciona e puder me dizer


obrigado pessoal! aguardo qualquer ajuda que puderem me dar, até mais

saitam
(usa Slackware)

Enviado em 12/03/2012 - 13:05h

inicie as regras nas chains INPUT,OUTPUT,FORWARD do iptables como DROP
libere apenas os serviços necessários
as portas 80 e 443 NÃO deve estar liberadas no FORWARD e sim no OUTPUT
forçar os clientes a usarem o proxy na porta 3128(default do squid)

Se algum cliente retirar o ip:porta do navegador, não navega, se colocar navega com as regras do proxy squid.

rafaelsilvad
(usa Debian)

Enviado em 12/03/2012 - 13:46h

OPA, valeu velho! conceitualmente eu tava querendo fazer algo assim mesmo, mas não to sabendo direito a sintaxe das regras, seria algo tipo

iptables -A FORWARD -p tcp --dport 80 -j DROP

?

meu script de do iptables é:

modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i vboxnet0 -j ACCEPT
iptables -A INPUT -i vboxnet1 -j ACCEPT
iptables -A INPUT -i vboxnet2 -j ACCEPT
iptables -A INPUT -i vboxnet3 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP


não entendo muito da sintaxe do iptables, poderia me dizer um modelo de como entrar com essas regras?


valeu!

rafaelsilvad
(usa Debian)

Enviado em 12/03/2012 - 13:50h

e a maquina com o squid esta conectada na interface com o nome de "vboxnet0", que está com a faixa de IP 192.168.0.x

rafaelsilvad
(usa Debian)

Enviado em 12/03/2012 - 22:23h

OW valeu saitam! consegui aqui, usei o conceito que você me deu mesmo, e pra ajudar as pessoas que tiverem com o mesmo problema deixo aquilo o modelo do script que funcionou



modprobe iptable_nat
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
echo 1 > /proc/sys/net/ipv4/conf/default/rp_filter
iptables -A INPUT -m state --state INVALID -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i vboxnet0 -j ACCEPT
iptables -A INPUT -i vboxnet1 -j ACCEPT
iptables -A INPUT -i vboxnet2 -j ACCEPT
iptables -A INPUT -i vboxnet3 -j ACCEPT
iptables -A INPUT -i vboxnet4 -j ACCEPT
iptables -A FORWARD -p tcp -i vboxnet1 --dport 80 -j REJECT
iptables -A FORWARD -p tcp -i vboxnet1 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -i vboxnet2 --dport 80 -j REJECT
iptables -A FORWARD -p tcp -i vboxnet2 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -i vboxnet3 --dport 80 -j REJECT
iptables -A FORWARD -p tcp -i vboxnet3 --dport 443 -j REJECT
iptables -A FORWARD -p tcp -i vboxnet4 --dport 80 -j REJECT
iptables -A FORWARD -p tcp -i vboxnet4 --dport 443 -j REJECT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --syn -j DROP



nota:viboxnetx são os nomes das placas de rede, são placas virtuais emuladas pelo virtual box e tal