Impedir acesso interno ao squid [RESOLVIDO]

dercilima
(usa Debian)

Enviado em 22/02/2011 - 10:08h

Bom dia Galera,

Tenho um servidor firewall instalado aqui na empresa, onde configurei o squid, o dansguardian e o clamav. Redirecionei todo o trafego que passa pela porta 80 (http) e pela porta 443 (https) para o dansguardian para que o mesmo faça os devidos bloquios dos sites. Mas hoje fazendo um acompanhamento da minha rede percebi que alguns ips não estavam passando pelo dansguardian, mas estavam passando pelo squid, ou seja, estava com o acesso a sites improprios todos liberados, pois não uso o bloqueio no squid e sim no dansguardian. Verificando mais a fundo, percebi que os espertinhos estavam configurando o proxy no navegador para que passe direto pelo squid na porta 3128, ou seja, estavam burlando o dansguardian para fugir dos bloqueios. Gostaria de saber como faço para bloquear a porta 3128 na rede local, para que, mesmo se alguem configurar no browser a porta 3128 não consiga acessar a internet.

no meu iptables estou utilizando a seguinte regra para bloquear o acesso ao squid:
iptables -A INPUT -m tcp -p tcp -s 127.0.0.1 --dport 3128 -j DROP

mas não esta funcionando. Já procurei em varios livros e foruns e a regra a ser usada é essa mesma. O que posso estar fazendo de errado?

Abraços

fs.schmidt
(usa CentOS)

Enviado em 22/02/2011 - 12:22h

olá, acredito que você deva trocar 127.0.0.1 pela faixa da sua rede na regra "iptables -A INPUT -m tcp -p tcp -s 127.0.0.1 --dport 3128 -j DROP"

dercilima
(usa Debian)

Enviado em 22/02/2011 - 13:15h

Se eu faço isso acontece o seguinte:

Os computadores da rede só navega se tiver configurado o proxy no ip do servidor na porta do squid. E é exatamente o que eu não quero que aconteça. Deixando da forma que está o trafego dos computadores que não tem configuração de proxy passam pelo dansguardian e pelo squid sucessivamente, e se configurar o proxy ele passa direto pelo squid e ignora o dansguardian.

O que mais posso fazer?

Obrigado.

lejoso
(usa Debian)

Enviado em 02/03/2011 - 12:00h

Tenta:

iptables -t raw -I PREROUTING -s range_rede_local -p tcp --dport 3128 -j DROP

Obs; Presumo que o squid está na porta padrão 3128. Caso contrário, utiliza a porta do mesmo.

dercilima
(usa Debian)

Enviado em 11/03/2011 - 10:52h

usei as formas recomendadas e não funcionou... se eu for nas estações de trabalho e configurar o proxy continua acessando a internet.

Acabei fazendo o seguinte: alterei a porta do squid para uma diferente da padrão... assim os usuários serão obrigados a remover a configuração do proxy dos navegadores. E automaticamente vão passar pelo dansguardian.

Obrigado a todos.