[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Iptables +squid+outlook [RESOLVIDO]

Resumo pra entenderem!
o que eu queria configurar, e consegui, com a ajuda da turma aqui da lista é:
O Squid+outlook+Iptables.
tudo se resume à fazer com que as regras do iptables deixasse passar somente o tráfego do outlook POP(porta110), SMTP(porta25) direto sem ter que passar pelo meu proxy e que todo o restante do tráfego passasse por ele.
se o usuário desabilitar o proxy e deixar as configurações dele em branco no navegador ele não conseguirá navegar pois as requisições para a internet o sistema faz pela porta 80 ...e essa porta eu bloquiei pelo iptables.
 
agora pro usuário espertinho de windows vc pode bloquear o acesso as configurações do proxy pelo Iinternet explorer da seguinte forma:
iniciar>executar>gpedit.msc,,,, dai abrirá uma janela que vc deve ir o seguinte item:
configuração do usuário>modelos administrativos>internet explorer> e dentro da pasta vai ter uma chave de nome:
- Desativar a alteração das configurações de proxy, abra ela e marque ativado....

Já era ....seu usuário não vai alterar mais o proxy....
 
ele vai ter que ser muito inteligente pra descobrir essa opção e depois vai ter que conhecer outro proxy de fora da sua rede pra acessar a internet..
 
Uma dúvida que me resta é....
se o usuário souber outro proxy/porta.....e ele configurar no IE dele como funciona o tramite...?????
ex: suponha que ele conheça o proxy de ip 200.200.200.26 porta: 3214..
Minha pergunta:
o usuário usuará a porta 3214 do PC dele pra chegar ao ip 200.200.200.26 e de lá sair pela porta 80 do servidor proxy????
ou ele usará a 80 do pc dele pra chegar ao ip 200.200.200.26 pra depois que chegar nesse ip sair pela porta 3214 desse servidor....???? fico mei confuso nessas coisas..
 
 
outra questão ....
se, minha máquina é ligada diretamente a um modem do virtua e eu obtenho um ip válido(200) do virtua e talz......sei que vou sair pela porta 80.
Consigo mudar a porta de saída e configurar outra em vez da 80....?????
 
se alguem tiver algum tutorial que explique bem esse entra e sai de portas agradeço....
 
 
abraço
 
 
 
 
DEU Certo:
coloquei as regras assim:
 

# libera POP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

# libera SMTP
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

# bloqueia somente a porta 80 e os usuários não conseguiram navegar sem o proxy setado nas configurações do Internet Explorer. essa regra deve vir antes da regra(abaixo) que compartilha a internet. vindo antes irá bloquear a navegação dos usuários caso eles removam o proxy pois se eles removerem o proxy e deixar em branco a configuração do proxy o sistema operacional entenderá que deve mandar as saidas(requisições) de páginas da internet pela porta 80 dai a porta 80 estará bloqueada e o mesmo não conseguira sair....porém essa regra não atrapalhará a regra que permiti a saída do POP/SMTP(outlook) pois as mesmas deixam os arquivos do outlook trafegarem pela porta 25 e 110.
iptables -A FORWARD -p tcp --dport 80 -j DROP

 


# Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

# mascara saida dos pacotes
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

ps..... a minha eth1 é a minha placa que tá ligada a saída pra internet...o virtua...
 


 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

 
Em 02/07/07, Phibos <fibos_ethos@yahoo.com.br> escreveu:
olá!!!

Aí voce teria duas opções:

iptables -P FORWARD DROP # isso deixaria como padrão bloqueado o forward. Que seria liberado pelas regras que voce está utilizando.

ou...

iptables -A FORWARD -p tcp --dport 80 -j DROP # isso bloquearia a porta 80, e os usuários não conseguiriam navegar sem proxy.

Att Josue

Marcelo Castilho Manzano escreveu:

Amigos, poderiam me dar uma força?!


onde o jqueiroz diz:
Bloqueie todas as saídas diretas, e force todos os usuários a usarem o Squid para conexão. Depois libere apenas a saída das portas 110 (pop) e 25 (smtp), para que as pessoas possam consultar seus correios eletrônicos.

 
tenho o squid+outlook(nas estações)+iptables.....não sou expert...quero só fazer funcionar..

no /etc/init.d/rc.firewall tenho as seguintes linhas:

# libera POP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT

# libera SMTP
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT

# Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward

# mascara saida dos pacotes
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

pelo que entendi o jqueiroz disse que devemos deixar os compartilhamentos desativados e só o proxy configurado no IE do cliente para ele sair pelo proxy e se ele remover as configurações do proxy ele não navega certo...

bom blz...
fiz o teste de remover a linha do compartilhamento do meu arquivo: /etc/init.d/rc.firewall
e dai meu outlook parou de funcionar...

se eu deixo a linha do compartilhmanto ativa o outlook funciona na boa....o phoda é se o usuário descobre que desativando as configurações de proxy ele vai conseguir acessar tudo que ele quiser na internet....

 poderiam me dar uma ajuda nesse sentido...

obrigado.

_______________________________________________________ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org



--
|--------------------------------------------------|
|    Marcelo Manzano                    |
|    Cel.99603104                          |
|     manzano.marcelo@gmail.com  |
|--------------------------------------------------|
Reply to: