Forçar o Iptables a passar pelo squid [RESOLVIDO]

fabiokalled
(usa Debian)

Enviado em 23/07/2012 - 12:50h

Fiz da maneira como vc s me disseram para fazer, mas quando implemento está bloqueando o google e ainda está passando por fora, ou seja, se eu desabilitar o proxy em qualquer navegador de qualquer pc da minha rede ele acessa a internet tranquilamente.

O que eu quero é que ninguém passe pelo meu servidor que é de internet e proxy junto com iptables sem ter suas configurações de terminais válidas e desjo que acesse o google é claro.

Se alguém poder me auxiliar.

johnnyb
(usa Fedora)

Enviado em 24/07/2012 - 11:17h

amigo posta aqui como ta o seu firewall
e especifique as plcas de rede tipo eth0 rede interna eth1 rede externa

e agora o bloqueio do google aparece a acesso negado do squid ?
se for aconselho vc a dar uma olhada nos arquivos de bloqueio do squid

fabiokalled
(usa Debian)

Enviado em 24/07/2012 - 13:05h

Meu squid e iptables são aqueles que iniciam a minha dúvida. Dái fui implementar o que o nosso colega falou nos posts anteriores e tá bloquenado tudo e o pessoal ainda passa por fora em alguns casos.

Só preciso de um direcionamento em relação aos dois squid e iptables, pois quero desejo aprender algumas regras mais do squid mais o iptables tem de barrar todo mundo da minha rede que não passe pelo proxy.

Neste momento estou tentando corrigir o squid que vc pode ver no início da dúvida.

Fiz apt-get update depois de ter feitos as alterações que me foram ditas, daí o google parou de funcionar e todos os sites juntos, ninguém acessa mais nada.

Hoje estou sem squid. Se poder me ajudar em agradeço, pois é coisa pacas.

johnnyb
(usa Fedora)

Enviado em 25/07/2012 - 19:52h

Amigo troque a regra de redirecionamento por essa e veja se o squid bloqueia :D

iptables -t nat -A PREROUTING -p tcp --dport 80 -j REDIRECT --to-port 3128


blz

saitam
(usa Slackware)

Enviado em 25/07/2012 - 20:03h

proxy transparente é muito fácil de burlar, pois se colocar por ex: "https://facebook.com" acessa e barra após logar ae só fixar o protocolo "https://" pronto acesso liberado burlado.

A solução mais eficaz é com proxy autenticado...
veja aqui http://mundodacomputacaointegral.blogspot.com.br/2011/12/configurando-servidor-proxy-autenticado.htm...

Com a solução acima de proxy autenticado, nas regras iptables, inicia as chains INPUT,OUTPUT,FORWARD em DROP, e libere apenas os serviços necessários, mas NÃO libere as portas 80 e 443 no FORWARD, esse tráfego deve forçar passar pelo proxy.

fabiokalled
(usa Debian)

Enviado em 26/07/2012 - 10:06h

Saitan, muito obriagdo por sua dica. fiaz algumas configurações a partir do site que vc me indicou e algumas da minha rede local. Jáconsigo fazer com que ninguém navegue se não estiver com o proxy configurado, muito show de bola e já está pedindo autenticação.

A única coisa que ainda está fazendo é navegando por todos os sites,tipo facebook, mesmo aqueles que eu bloquei no arquivo dominiosproibidos.

Será que tenho que colocar alguma outra regra para que só libere os sites que a minha diretoria deixar?

Muito obrigado mesmo.

johnnyb
(usa Fedora)

Enviado em 31/07/2012 - 10:11h

posta seu novo squid ai amigo

com o proxy autenticado vc pode especificar bloqueio por usuario o cruel e que vc tera que configurar o proxy em todos os pc

fabiokalled
(usa Debian)

Enviado em 31/07/2012 - 13:48h

A única coisa que não consegui foi os bloqueios, como já tinha falado antigamente.

E a respeito da configuração das máquinas, que eu tenho que colocar o endereço do proxy uma a uma, o serviço será realizado somente uma vez e minha rede tem em média de 70 a 100 computadores e existiram outras regras nos Switchs que estou verificando/programando junto ao software Packet Tracer da CISCO.Estou no estudo da ITIL V3 para a implementação da mesma aqui no campus onde eu trabalho para fazer somente uma vez e dar manutenção a posteriore.

Se alguém poder me auxiliar no barramento dos sites agradeço.

#autenticação dos usuários para acesso
auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
auth_param basic children 5
auth_param basic realm ENTRE COM SEU LOGIN E SENHA.
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
acl autenticados proxy_auth REQUIRED
http_port 3128
visible_hostname ServidorCRMB

cache_mem 128 MB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl all src 0.0.0.0/0.0.0.0
acl redelocal src 10.0.0.0/8
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl autenticados proxy_auth REQUIRED
acl Safe_ports port 80 #http
acl Safe_ports port 21 #ftp
acl Safe_ports port 443 563 #https,snews
acl Safe_ports port 70 #gopher
acl Safe_ports port 210 #wais
acl Safe_ports port 280 #http-mgmt
acl Safe_ports port 488 #gss-http
acl Safe_ports port 591 #filemaker
acl Safe_ports port 777 #multiling http
acl Safe_ports port 901 #swat
acl Safe_ports port 1025-65535 #portas altas
acl purge method PURGE
acl CONNECT method CONNECT
acl SSL_ports port 443 563

# *** Define portas liberadas
acl Safe_ports port 3050 # Interbase/Firebird
acl Safe_ports port 23000 # Serpro
acl Safe_ports port 13352 # SIRF
acl Safe_ports port 500 # FAP Digital

##ACLS
#criando ACLs para os usuários com acesso livre e restrito
acl grupo_liberado proxy_auth "/etc/squid/list/usuarios_liberados"
acl grupo_limitado proxy_auth "/etc/squid/list/usuarios_limitados"

#criando ACLs para restrição de sites e palavras
acl sitesbloqueados url_regex -i "/etc/squid/list/dominiosbloqueados"
acl palavrasproibidas url_regex -i "/etc/squid/list/palavrasproibidas"
acl sitespermitidos url_regex -i "/etc/squid/list/dominiospermitidos"

#ACL para bloquear skype
acl acl_url_im_skype url_regex ^((0|1[0-9]{0,2}|2[0-9]{0,1}|2[0-4][0-9]|25[0-5]|[3-9][0-9]{0,1})\.){3}(0|1[0-9]{0,2}|2[0-9]{0,1}|2[0-4][0-9]|25[0-5][3-9][0-9]{0,1})(:|/|$\?)

#controle de acesso
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#http_access deny sitesbloqueados !grupo_liberado
#http_access deny palavrasproibidas !grupo_liberado
#http_access deny CONNECT acl_url_im_skype !grupo_liberado
http_access allow sitespermitidos

http_access allow localhost
http_access allow autenticados grupo_liberado
http_access allow autenticados grupo_limitado !sitesbloqueados !palavrasproibidas !acl_url_im_skype
#Permite navegação somente para rede local
#http_access allow redelocal

http_access deny all
error_directory /usr/share/squid/errors/pt-br

saitam
(usa Slackware)

Enviado em 31/07/2012 - 15:11h

verifique a permissão dos arquivos, onde estão os domínios e palavras bloqueadas.

seta chmod 777 nos arquivos, depois reinicie o squid, e retorne o feedback.

viniciustavares
(usa Kali)

Enviado em 04/07/2016 - 15:00h

Jhonnyb...

Adaptei o seu script do iptables para a minha rede... tudo funcionando perfeitamente.
Porém não consigo fazer conexão ssh, nem ping, nem nada do tipo do meu pc o qual está na rede externa do servidor ( no exemplo, eth0). Quando conectado pelo notebook à rede interna, em1, consigo realizar todas as conexões com o servidor...

Não estou dominando bem o iptables ainda. Pode me ajudar??

JohnnyB
(usa Fedora)

Enviado em 09/07/2016 - 03:43h

Tranquilo e que vc tem que abrir a porta para conexão
iptables -A INPUT -p tcp -i eth0 --dport 22 -j ACCEPT

viniciustavares
(usa Kali)

Enviado em 11/07/2016 - 17:35h

Obrigado