[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Desabilitar porta 80 para tudo passar pelo squid

Desabilite o nat para a rede interna ou faça nat apenas nas portas especificas que os usuários realmente precisam conectar, dessa maneira serão obrigados a configurar o proxy no browser.

On 11/17/06, Thiago Athayde Viana <thiago@cmci.es.gov.br> wrote:

Tenho um firewall iptables com duas placas de rede:

eth0            DMZ  GW

eth1          Rede Local

O compartilhamento da Internet já funciona com esse  script:

#compartilhando a internet
modprobe iptable_nat
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward

Não quero usar o proxy transparente, o ideal seria bloquear a porta 80 e
deixar o navegador do cliente configurado com o servidor proxy squid.

Dessa forma se o cliente estiver usando "conectar diretamente" ele não
navegaria, tornando a configuração do proxy necessária.

Andei tentando

iptables -A FORWARD -s -p tcp --dport 80 -j REJECT
iptables -A INPUT -p tcp --dport 80 -j DROP

#iptables - L

Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:3128
ACCEPT     all  --       anywhere
ACCEPT     all  --        anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ssh
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:telnet
ACCEPT     all  --  anywhere             anywhere
DROP       tcp  --  anywhere             anywhere            tcp
DROP       tcp  --  anywhere             anywhere            tcp dpt:www

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  --        anywhere            tcp dpt:www
reject-with icmp-port-unreachable
REJECT     tcp  --        anywhere            tcp dpt:www
reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
REJECT     tcp  --       anywhere            tcp dpt:www
reject-with icmp-port-unreachable
REJECT     tcp  --        anywhere            tcp dpt:www
reject-with icmp-port-unreachable

Aguardo ansiosamente,

Thiago Athayde Viana
Cachoeiro de Itapemirim-ES

To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Luiz Henrique.
Reply to: