porta de saida [RESOLVIDO]

1. porta de saida [RESOLVIDO]

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 11/11/2014 - 17:38h

Boa tarde estou estudando bastante p firewall iptables,
estou implementando o iptables com squid, usando proxy pela porta 3128 (padrão do squid)
setei esta porta no browser dos clients, até ai tudo bem,
mas a minha dúvida é a seguinte, se os clientes agora usam a porta 3128,
qual porta que os protocolos web (http 80 e https 443) dos clients vão usar para sair
do meu firewall? pois eles entram no meu firewall (input) pela 3128 (proxy squid) mas estão saindo (output) para internet por qual porta? 3128?


  


2. Re: porta de saida [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 11/11/2014 - 22:07h

kazz escreveu:

Boa tarde estou estudando bastante p firewall iptables,
estou implementando o iptables com squid, usando proxy pela porta 3128 (padrão do squid)
setei esta porta no browser dos clients, até ai tudo bem,
mas a minha dúvida é a seguinte, se os clientes agora usam a porta 3128,
qual porta que os protocolos web (http 80 e https 443) dos clients vão usar para sair
do meu firewall? pois eles entram no meu firewall (input) pela 3128 (proxy squid) mas estão saindo (output) para internet por qual porta? 3128?



Estão "saindo" por uma porta alta do servidor, funciona basicamente assim (Para proxy fixado):


Ao acessar o site.com.br no navegador, é criada uma conexão entre a estação (Uma porta alta) e o proxy(squid no caso) na porta 3128.
O Squid, analisa o pedido recebido (Acesse site.com na porta 80, 443 ou outra que o configure para tratar) e abre uma conexão com site.com.br na porta 80 (Esta conexão é feita pelo seu servidor proxy, que intermediara a comunicação entre a estação cliente e o site que estiver acessando via proxy).

Note que o squid tem o registro desta conexão, e quando receber os pacotes de retorno do site.com.br, os encaminhara a estação, na porta da conexão entre o proxy e o cliente (3128 -> porta alta).







3. Re: porta de saida [RESOLVIDO]

Eduardo Reichert
kazz

(usa Linux Mint)

Enviado em 12/11/2014 - 08:33h

erisrjr escreveu:

kazz escreveu:

Boa tarde estou estudando bastante p firewall iptables,
estou implementando o iptables com squid, usando proxy pela porta 3128 (padrão do squid)
setei esta porta no browser dos clients, até ai tudo bem,
mas a minha dúvida é a seguinte, se os clientes agora usam a porta 3128,
qual porta que os protocolos web (http 80 e https 443) dos clients vão usar para sair
do meu firewall? pois eles entram no meu firewall (input) pela 3128 (proxy squid) mas estão saindo (output) para internet por qual porta? 3128?



Estão "saindo" por uma porta alta do servidor, funciona basicamente assim (Para proxy fixado):


Ao acessar o site.com.br no navegador, é criada uma conexão entre a estação (Uma porta alta) e o proxy(squid no caso) na porta 3128.
O Squid, analisa o pedido recebido (Acesse site.com na porta 80, 443 ou outra que o configure para tratar) e abre uma conexão com site.com.br na porta 80 (Esta conexão é feita pelo seu servidor proxy, que intermediara a comunicação entre a estação cliente e o site que estiver acessando via proxy).

Note que o squid tem o registro desta conexão, e quando receber os pacotes de retorno do site.com.br, os encaminhara a estação, na porta da conexão entre o proxy e o cliente (3128 -> porta alta).

Certo então se eu bloqueasse a porta 80 da output ou a forward da tabela filter do meu servidor não deve existir conexão com a internet via porta 80 certo?



Essa forma do squid trabalhar não atrapalha as conexões com os bancos via https. Ex: banco da caixa







4. Re: porta de saida [RESOLVIDO]

Perfil removido
removido

(usa Nenhuma)

Enviado em 13/11/2014 - 21:34h

kazz escreveu:
...
Certo então se eu bloqueasse a porta 80 da output ou a forward da tabela filter do meu servidor não deve existir conexão com a internet via porta 80 certo?


Essa forma do squid trabalhar não atrapalha as conexões com os bancos via https. Ex: banco da caixa



1 - Certo, mas estara bloquando as conexões de saida na porta 80, o que pode gerar problemas.
- > Se quiser coibir que naveguem sem passar pelo proxy, pesquise sobre proxy transparente.


2 - Com o proxy fixado no navegador, em geral não. Mas se houver algum problema, pode criar uma regras no iptables que deixem estas (Ao site dos bancos e outro que o uso de proxy por ventura cause algum problema) conexões passarem sem irem ao proxy.






Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts