regra de firewall

zenildosilva
(usa Debian)

Enviado em 12/09/2007 - 14:16h

Tenho hoje o acesso a internet via squid autenticando no AD, uma GPO forçando o browse a configurar o proxy automaticamente e os usuarios não tem acesso a mudar isso. Beleza! Os usuarios de notebook e os visitantes poderiam plugar na rede e acessar internet automaticamente sem problema nenhum. Tudo resolvido!
Mas descobri depois de um tempo que algumas pessoas pegaram um firefox "portatil" que não precisava instalar e era só copiar na pasta meus documentos e pronto, eles tambem estavam acessando a net sem passar pelo proxy. Dai tive que criar a regra para redirecionar a porta 80 para 3128 e forçar todos a sairem via proxy.
Agora vem o meu problema: Um dos diretores, que usa notebook, não quer ficar tirando e colocando a configuração de proxy toda vez que ele mudar de local.

É isso que eu preciso, um pulo do gato pra liberar algumas máquinas do proxy, conforme acima mencionado.

m4tri_x
(usa Ubuntu)

Enviado em 12/09/2007 - 14:44h

antes da regra do redirecionamento de tudo 80 para 3128 você coloca.

iptables -A FORWARD -p TCP -s ipdireto/32 --dport 80 -j ACCEPT


isso tem que colocar antes da regra.
então vai funcionar tanto se ele quiser com o proxy quanto se não quiser deixar o proxy configurado. ;D
[]´s

unixgeek
(usa Fedora)

Enviado em 12/09/2007 - 15:01h

Bitio, seguinte:

Existe um cara que é muito seu amigo pra esse tipo de coisa, o tal do WPAD -> Web Proxy AUTO(magic)-DISCOVERY. Basicamente, você põe no seu Firefox pra detectar automagicamente as configurações de proxy, e boa! (em ie's da vida, você tem que especificar às vezes na unha o script...)

Olha aqui no dicas-l que tem exatamente o que você tem que fazer =) mas basicamente é: configurar no seu dns a entrada pro wpad, e deixar no apachão o arquivofeliz.dat/.pac

[]'s

elgio
(usa OpenSuSE)

Enviado em 12/09/2007 - 15:06h

m4tri_x escreveu:
"
antes da regra do redirecionamento de tudo 80 para 3128 você coloca.

iptables -A FORWARD -p TCP -s ipdireto/32 --dport 80 -j ACCEPT
"

Errado!
Isto não evita o redirecionamento, pois ele é feito na tabela nat e o FORWARD é na tabela filter. Aceitar no FORWARD não evita que ele seja redirecionado no PREROUTING, até porque ANTES é executado o PREROUTING.