Re: Firewall + Proxy.

[Daniel Vieira Dias <dandias@netsite.com.br>]

Sim estou falando da "forma correta" e "mais segura" de implementar um servidor proxy:

Internet <--> ADSL (ex.) <--> Proxy <--> Rede Interna

Neste caso a máquina proxy serve com firewall físico e esta deve ter no mínimo 2 interfaces de rede, uma ligado na "rede WAN" no exemplo um router ADSL e outra no hub ou switch da rede interna, desta forma todos os pacotes internet <--> rede interna passam obrigatoriamente pelo proxy/firewall podendo ser filtrado/barrado/liberado.

Se vc estiver usando um debian, me reporte os seguintes arquivos:
/etc/network/interfaces
/etc/network/options
/etc/resolv.conf
/etc/squid/squid.conf
e as regras de firewall que envolvem o proxy, com estas infor ficará fácil resolver seu problema

Daniel Dias
CTBC - Companhia de Telecomunicações do Brasil Central
Ribeirão Preto - SP

Marcos Ferreira escreveu:

Caro Daniel, vc disse que nunca implementou um servidor proxy em localhost. Então seria numa máquina separada? Como é feito o "desvio" para o proxy noutra máquina. Tenho que ter no mínimo duas placas de rede no meu servidor proxy?
Estou tentando fazer esse tipo de implementação e ainda não obtive sucesso.

att.,
Marcos

Em 16/03/07, Daniel Vieira Dias < dandias@netsite.com.br> escreveu:

Anacleto, sua regra está correta, porem genérica, desta forma vc vai forçar tudas as máquinas da rede a navegar pelo proxy, que pelo visto não é o que vc quer. Quando vc especifica a interface de input sem especificar o source a regre vale para qualquer maquina, for que a interface eth0 tem que ser obrigatoriamente a interface da rede interna.
Outro detalhe importantíssimo: Se o proxy está na sua própria máquina, então ela não faz NAT para navegar (no máximo depende do NAT de outra máquina ou router ADSL, por ex.), neste caso a regra não seria da cadeia de NAT...neste caso eu nunca implementei uma regra de proxy transparente em localhost :P.... mas acredito que possa ser implementada nas regras de OUTPUT da cadeia filter.

Para ilustrar uma regra mais específica, veja o exemplo para um servidor proxy com apenas uma máquina caindo no proxy transparente:
rede interna: 192.168.0.0/24
servidor: 192.168.0.1
sua máquina: 192.168.0.222

regra:
iptables -t nat -A PREROUTING -p tcp -s 192.168.0.222 -d 0/0 --dport 80 -j REDIRECT --to-port 3128
iptables -A INPUT -p tcp -s 192.168.0.222 -d 192.168.0.1 --dport 3128 -j ACCEPT

eu costumo usar esta segunda regra quando a police de INPUT está DROP, mas geralmente só a primeira já resolve.

no seu caso, como o servidor e a sua estação estão na mesma máquina, isso muda de figura e talvez alguém da lista pode dar a dica correta.

Outro detalhe importante está no squid.conf que vem por default deny all, vc deve criar uma acl para a sua máquina e colocá-la como allow antes da linha deny all:

acl meu_ip src 192.168.0.222
http_access allow meu_ip
http_access deny all

Espere ter ajudado, ou simplesmente complementado informações úteis ao conhecimento de todos.

Daniel Dias
CTBC - Companhia de Telecomunicações do Brasil Central
Ribeirão Preto - SP






Anacleto Pavão escreveu:

Estou tentando implantar um proxy no meu desktop que esta numa rede com 3 micros interligados por um hub em uma linha ADSL. Minha ideia e proteger e filtrar o conteudo apenas no meu micro e nao para a rede. Configurei o proxy (que ainda nem sei se vai funcionar) e coloquei a regra de redirecionamento no iptables (# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128) e tive problema com o nat (entao retirei o -t nat), mas continuou tendo outro problema envolvendo iptables-restore e diz para dar o comando iptabldes-restore-h (fiz isso apareceu um help), nao estou entendendo onde esta o problema. Dicas?

 

Anacleto.

__________________________________________________
Fale com seus amigos de graça com o novo Yahoo! Messenger
http://br.messenger.yahoo.com/

-- To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org