"Clientes" conseguem navegar sem proxy!

1. "Clientes" conseguem navegar sem proxy!

Thiago
thiagooo888

(usa Outra)

Enviado em 05/05/2011 - 14:39h

Seguinte, configurei o proxy numa maquina, fiz a regra no iptables, e tudo mais... se eu configurar o proxy manualmente em cada maquina cliente, ele passa pelo servidor proxy e bloqueia os devidos sites, se eu não configurar, ele acessar qualquer site, ou seja, nao passa por proxy nenhum.

Ja pesquisei bastante e li que...
O PROXY tem que estar no mesmo gateway, porque se tiver numa maquina igual das outras, rede (nao entendi direito) ( que é o meu caso) eles poderão navegar com e sem proxy, porque vai tar passando pela NAT

Aqui é uma escola, a configuração fisica é a seguinte:
MODEM E ROTEADOR(1) DI-524 na secreteria,
Modem recebe sinal de internet, manda via LAN pro roteador(1), roteador distribui via wireless e manda o sinal via LAN para a WAN do roteador(2) localizado na sala de informática, esse envia para o PC SERVIDOR (que esta com o proxy instalado, via ethernet|cabo) e para os outros computadores via wlan|WIRELESS

O modem tem o IP 10.1.1.1
Os dois roteadores tem ip, 192.168.0.1

Se alguem tiver uma ideia de solução, ou de onde deveria ser "FEITO" esse bloqueio...
Obrigado


  


2. solução

guilherme gustavo ribeiro de godoi
GustavinhoO

(usa Debian)

Enviado em 05/05/2011 - 14:43h

faça assim amigo....

no roteador que recebe a internet bolqueia ele por mac address, para que so o roteador q esta atraz do firewall possa distribuir net para demais clientes.


passa seu script de firewall e do squid e vamos deixar ele transparente para nao precisar configurar na maquina.

ok!


3. Re: "Clientes" conseguem navegar sem proxy!

Thiago
thiagooo888

(usa Outra)

Enviado em 05/05/2011 - 14:52h

bloquear quem pelo mac address?
o roteador(1) não distribui internet para ninguem, pelo menos não por wifi, afinal o nome e a senha são outras

o squid.conf, estava transparent, mas de nada adiantava...:

"http_port 3128
visible_hostname servidor

error_directory /usr/share/squid/errors/pt-br
acl blockedsites url_regex -i "/etc/squid/bloqueados/block.txt"
acl unblockedsites url_regex -i "/etc/squid/bloqueados/unblock.txt"
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

acl redelocal src 192.168.0.0/24 #Aqui coloque de acordo com o seu IP e rede.
http_access deny blockedsites !unblockedsites
http_access allow localhost
http_access allow redelocal

http_access deny all"

e o do firewall eu não sei como "pegar" :s



4. squid

guilherme gustavo ribeiro de godoi
GustavinhoO

(usa Debian)

Enviado em 05/05/2011 - 16:15h

cara esta errado isso

http_port 3128 transparent

e precisa ver se seu firewall esta redirecionando da porta 80 para a 3128 do squid

vim /etc/init.d/firewall

se nao existir me fala e te ensino a criar


5. Re: "Clientes" conseguem navegar sem proxy!

Thiago
thiagooo888

(usa Outra)

Enviado em 05/05/2011 - 16:59h

vix...
dei esse comando ai, e não tem nada dentro
abriu o "programa" mas nao tem nada,
ali teria que ter o que?

# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j \
REDIRECT --to-port 3128

isso?




6. Re: "Clientes" conseguem navegar sem proxy!

Jairo de Menezes Rodrigues
jairovisks

(usa Debian)

Enviado em 05/05/2011 - 17:29h

Thiago... Primeira pergunta...
O seu proxy e o gateway da sua rede SÃO A MESMA MÁQUINA?

Se for a regra do firewall fica assim:
/sbin/iptables -t nat -A PREROUTING -i eth1 -p tcp --dport 80 -j REDIRECT --to-port 3128

onde eth1 é a placa de rede INTERNA do seu proxy.

Caso seu Squid esteja numa máquina diferente do seu Gateway você tem que fazer o redirecionamento da porta 80 do gateway para a porta 80 da máquina do squid.

fica assim:

/sbin/iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 80 -j DNAT --to-destination <ip_do_seu_squid>

Aí lá no squid vc coloca a primeira regra...

você pode redirecionar direto pra porta do squid a regra acima, fica assim:

/sbin/iptables -t nat -A PREROUTING -s 0/0 -m tcp -p tcp -i eth0 --dport 80 -j DNAT --to-destination <ip_do_seu_squid>:3128

só que não funfou legal pra mim.

Explicando o porque tem que ser assim:

Quando uma máquina procura uma informação que está em uma rede diferente da sua (por exemplo uma máquina da rede interna requisita uma página na internet) a primeira coisa que a máquina faz é perguntar para o gateway se ele conhece a página, caso não haja configuração de proxy no browser ele sai diretamente pelo gateway que redireciona para o NAT. Por isso seus usuários podem acessar a internet sem proxy, quando você redireciona TODO o tráfego da porta 80 para o squid ele passa obrigatoriamente a filtrar esses dados de acordo com as regras do squid.

Espero ter sido claro.

Att,

Jairo Rodrigues



7. Re: "Clientes" conseguem navegar sem proxy!

Jairo de Menezes Rodrigues
jairovisks

(usa Debian)

Enviado em 05/05/2011 - 17:29h

nossa escrevi um jornal...rsr


8. Re: "Clientes" conseguem navegar sem proxy!

Thiago
thiagooo888

(usa Outra)

Enviado em 06/05/2011 - 08:44h

fiz o que tu disse ai... mas não tem jeito, ate fui la e coloquei do MODEM direto para o ROTEADOR wifi aqui da sala de informática mas não adianta

como vc disse ai, creio eu que o gateway não é o mesmo do servidor proxy, pq o serv proxy é o meu computador com IP 192.168.0.144 e o gateway seria o proprio roteador(192.168.0.1)? ;s
e o modem, tem ip 10.1.1.2
de qualquer jeito, o cliente consegue navegar com ou sem proxy setado...


9. Re: "Clientes" conseguem navegar sem proxy!

Jairo de Menezes Rodrigues
jairovisks

(usa Debian)

Enviado em 06/05/2011 - 14:00h

Seu cenário é esse?

Internet --> ModemInternet --> RoteadorWireless --> Máquinas?

se for esse o cenário tem coisa errada aí... porque vc pode até entrar no roteador e direcionar as portas para sua máquina, mas como sua máquina sairia depois?

o Cenário Ideal no seu caso (corrijam-me se estiver errado) seria assim:

Internet -> Modem -> MáquinaRoteador -> Wireless --> Máquinas

- na MáquinaRoteador vc teria o firewall, proxy, DNS, e DHCP... essa máquina seria o gateway da rede e vc consegue filtrar tudo que entra ou sai pela internet...
- RoteadorWireless serviria apenas como distribuidor da rede.

Não sei se sem essa máquina servidor de router vc consegue utilizar o proxy...

Vou tentar simular o seu ambiente aqui pra testar e depois te falo
abs



10. Re: "Clientes" conseguem navegar sem proxy!

Thiago
thiagooo888

(usa Outra)

Enviado em 06/05/2011 - 14:41h

isso mesmo :S

Internet --> ModemInternet --> RoteadorWireless --> Máquinas?

e como que eu faria uma maquina ser roteador?
seria preciso duas saidas de rede? o que eu tenho aqui é uma saida ethernet e outra wireless (pci)



11. Re: "Clientes" conseguem navegar sem proxy!

Jairo de Menezes Rodrigues
jairovisks

(usa Debian)

Enviado em 06/05/2011 - 15:09h

Pra fazer a máquina virar o roteador vc coloca uma placa de rede conectada ao modem... essa placa vai ser a única saída pra internet e é quem vai ter o ip conversando com o modem, no seu caso algo como 10.1.1.2 ... nessa mesma máquina coloca outra placa de rede que vai servir a sua rede interna, configura um DHCP nela (aqui no vol tem vários conf prontos e vários tutos) essa placa interna vai ter um ip fixo que será o seu gateway...
conecta essa placa numa porta do roteador wireless (se não me engano tem que ser numa porta lan, não a wan) e configura o wireless para funcionar como bridge (ele só vai "passar" a rede do gateway para a rede e viceversa.

OBS.: como o DHCP vai estar na máquina gateway desabilita o DHCP do roteador wireless.
OBS.: Os ips das placa da máquina gateway são fixos

Feito isso add as regras que te passei para gateway e proxy na mesma máquina que funciona.

abs



12. Re: "Clientes" conseguem navegar sem proxy!

Thiago
thiagooo888

(usa Outra)

Enviado em 06/05/2011 - 16:28h

hmmm
entendi,

Problema é que eu teria que comprar a placa pci, até que esta barata, mas para colocar ela eu precisarei abrir um chamado, devido que o computador ainda esta na garantia!

Pegar do modem... para o computador e distribuir via placa pci wireless daria? haha

valeu, obrigado mesmo ;D






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts