Como bloquear proxy de terceiros?

samubkp
(usa Debian)

Enviado em 09/01/2013 - 22:57h

Boa noite Galera é o seguinte..

Como eu faço para bloquear no meu firewall (iptables) ou squid

proxy de terceiros?


já tenho o redirecionamento da porta 80 para 3128 (Proxy transparente) e bloqueio do resto das portas mais parece que pelo navegador isso é ignorado Já estou passando muita raiva por gentileza quem puder dê essa força!! Abraço!!


# TENHO ESSA REGRA AE

# Proxy Trasparente
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 2831


OBS: Minha porta proxy é trocada (2831) por segurança...

phrich
(usa Slackware)

Enviado em 16/01/2013 - 16:11h

Cara, proxy transparent é ilusão, já começa que o mesmo não funciona com https então é uma "economia" de tempo tola, pois ele te dará muitos outros problemas, sendo assim, crie um proxy autenticado, caso precise de uma ajuda, veja o link:

http://www.vivaolinux.com.br/artigo/Squid-+-Iptables-Combinacao-Infalivel/

Ele tem uma introdução razoável sobre o assunto.

samubkp
(usa Debian)

Enviado em 16/01/2013 - 16:48h

Meu bom deixa eu te informar...
Isso é questão de Opinião meu firewall é perfeitamente ajustado e meu proxy funciona bonito com as devidas restrições inclusive o "https" entra na regra de iptables (firewall).. e não no proxy e indifere de ser autenticado ou não.

Para completar, mesmo o usuário AUTENTICADO igual você mencionou, se tiver acesso a mudança de proxy via Navegador (Browser) vamos cair na mesma situação então me explica aonde está a ilusão sobre o proxy transparente?

Cuidado para não confundir os mais leigos ... e Obrigado pela atenção.

phrich
(usa Slackware)

Enviado em 16/01/2013 - 22:15h

Se vc colocar as politicas padrões como DROP, ninguem conseguirá acessar a internet sem passar pelo proxy.

Outra questao, é q o controle d acesso a urls, deve ser feito pelo squid e não pelo iptables, isso pq um complementa o outro e o iptables não é adequado para resolução d nomes... mas aí fica ao seu critério.

samubkp
(usa Debian)

Enviado em 17/01/2013 - 08:18h

Deixa eu esclarecer.... Preciso de Resposta sobre a pergunta e estamos fugindo do foco. Eu conheço a 12 anos o que é Firewall e Proxy e coloquei essa questão exatamente porque nunca encontrei solução para esse problema a não ser restringindo o usuário no micro local com regras tipo "gpedit" ou "active directory" no meu server Windows 2008. Deve ser por isso que não havia dado importância. Hoje gostaria de saber se consigo uma solução usando firewall ou squid ou os dois juntos para resolver essa situação.

Novamente a pergunta:
Não quero que usuários acessem proxy de terceiros mesmo tendo acesso a mudança via navegador. existe essa solução?

OBS:
Tenho alguns clientes usando proxy autenticado outros transparente, nos dois casos tenho essa mesma situação talvez não tinha sido claro. Obrigado pela atenção!

saitam
(usa Slackware)

Enviado em 17/01/2013 - 08:34h

Bloquear proxy de terceiros como o TOR é problema mesmo, pois os nodes que o TOR usa são muitos.

Pra ter uma noção, o TOR usa portas conhecidas para conectar, como portas 80 e 443, então essas portas não devem estar liberadas na chain FORWARD do IPtables, deve liberar apenas no proxy forçando navegar apenas pelo proxy na porta do Squid por essas portas.

Se encontrar uma solução de bloqueio do TOR, compartilhe aqui no fórum...

samubkp
(usa Debian)

Enviado em 17/01/2013 - 09:26h

Cara você foi exatamente na veia do meu problema!!!!! Aleluia!!

Preciso exatamente do que você também está precisando e para completar tem um tal de "ultrasurf" semelhante a esse TOR que você sitou. Esses programinhas dão uma dor de cabeça ... Eu até consegui um forum que falava como bloquear o ultrasurf mais é muito complicado e não funcionou... Vamos lutar e ver se tem uma alma bondosa que poste essa solução.. Vai ganhar o troféu !!

Hoje tenho como pegar um camarada usando esses programas pois tenho todas as ferramentas de monitoramentos possíveis em uma rede porém esse processo é manual e não tem como ficar o dia todo por conta desse problema que de certa forma não é um dos meus maiores!! hehe Abraço!!

Em busca do firewall/proxy perfeito.. !!!

samubkp
(usa Debian)

Enviado em 17/01/2013 - 09:26h

Cara você foi exatamente na veia do meu problema!!!!! Aleluia!!

Preciso exatamente do que você também está precisando e para completar tem um tal de "ultrasurf" semelhante a esse TOR que você sitou. Esses programinhas dão uma dor de cabeça ... Eu até consegui um forum que falava como bloquear o ultrasurf mais é muito complicado e não funcionou... Vamos lutar e ver se tem uma alma bondosa que poste essa solução.. Vai ganhar o troféu !!

Hoje tenho como pegar um camarada usando esses programas pois tenho todas as ferramentas de monitoramentos possíveis em uma rede porém esse processo é manual e não tem como ficar o dia todo por conta desse problema que de certa forma não é um dos meus maiores!! hehe Abraço!!

Em busca do firewall/proxy perfeito.. !!!

saitam
(usa Slackware)

Enviado em 17/01/2013 - 09:44h

Possivel solução para bloqueio do TOR

desligar o ip_forward (echo "0" > /proc/sys/net/ipv4/ip_forward) e forçar passar todos os serviços pelo proxy na porta do squid.

Terá que ter um servidor DNS interno para navegação ser mais rápida.

PS: portas 80 e 443 não devem estar liberadas no INPUT,OUTPUT e FORWARD

Testei e o TOR não conectou, timeout no vidalia TOR.

No Ultrasurf, apenas não deve estar liberadas portas 443 no FORWARD.

samubkp
(usa Debian)

Enviado em 18/01/2013 - 09:17h

Até tentei essa solução e a "princípio" não deu certo barra tudo!! minhas portas padrões são liberadas exemplo: 80 e 443 e outras. O resto das portas estão negadas. Tenho meu Server Bind funcionando legal aqui inclusive é o servidor de DNS da empresa.

Manda ai a regra do seu firewall se precisar posto aqui o meu tb
isso é importante não só para mim mais tenho certeza que muitos técnicos precisam dessa solução.

OBS: Se deu certo com você tenho que ver o que está errado aqui e alinhar...

Abraço Obrigado por ajudar!

Vamo que Vamo!! O futuro é agora!

saitam
(usa Slackware)

Enviado em 18/01/2013 - 09:32h

Para bloquear o TOR deve ter o ip_forward desligado e ter politica default DROP para INPUT, OUTPUT e FORWARD, também NÃO pode liberar portas 80 e 443 no firewall, esse trafego deve liberar apenas no Squid, assim força passar pelo proxy.

Portas principais que o TOR usa são 80 e 443, por isso não deve estar liberadas no firewall e sim apenas no squid, forçando assim todo trafego ter que passar pelo proxy.

samubkp
(usa Debian)

Enviado em 18/01/2013 - 18:44h

Confesso que nunca tentei dessa forma mais é uma ideia aparentemente válida

OBS: Fiquei na dúvida em não liberar o https e porta 80 no firewall

Bom vou tentar e assim que tiver uma resposta posto aqui

Obrigado!