# libera POP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT
# libera SMTP
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT
# bloqueia somente a porta 80 e os usuários não conseguiram navegar sem o proxy setado nas configurações do Internet Explorer. essa regra deve vir antes da regra(abaixo) que compartilha a internet. vindo antes irá bloquear a navegação dos usuários caso eles removam o proxy pois se eles removerem o proxy e deixar em branco a configuração do proxy o sistema operacional entenderá que deve mandar as saidas(requisições) de páginas da internet pela porta 80 dai a porta 80 estará bloqueada e o mesmo não conseguira sair....porém essa regra não atrapalhará a regra que permiti a saída do POP/SMTP(outlook) pois as mesmas deixam os arquivos do outlook trafegarem pela porta 25 e 110.
iptables -A FORWARD -p tcp --dport 80 -j DROP
# Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward
# mascara saida dos pacotes
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
olá!!!
Aí voce teria duas opções:
iptables -P FORWARD DROP # isso deixaria como padrão bloqueado o forward. Que seria liberado pelas regras que voce está utilizando.
ou...
iptables -A FORWARD -p tcp --dport 80 -j DROP # isso bloquearia a porta 80, e os usuários não conseguiriam navegar sem proxy.
Att Josue
Marcelo Castilho Manzano escreveu:Amigos, poderiam me dar uma força?!
seguinte, vi o link: http://www.guiadohardware.net/comunidade/bloqueando-proxy/288071/
onde o jqueiroz diz:
Bloqueie todas as saídas diretas, e force todos os usuários a usarem o Squid para conexão. Depois libere apenas a saída das portas 110 (pop) e 25 (smtp), para que as pessoas possam consultar seus correios eletrônicos.
tenho o squid+outlook(nas estações)+iptables.....não sou expert...quero só fazer funcionar..
no /etc/init.d/rc.firewall tenho as seguintes linhas:
# libera POP
iptables -A FORWARD -p tcp --dport 110 -j ACCEPT# libera SMTP
iptables -A FORWARD -p tcp --dport 25 -j ACCEPT# Ativa roteamento
echo 1 > /proc/sys/net/ipv4/ip_forward# mascara saida dos pacotes
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADEpelo que entendi o jqueiroz disse que devemos deixar os compartilhamentos desativados e só o proxy configurado no IE do cliente para ele sair pelo proxy e se ele remover as configurações do proxy ele não navega certo...
bom blz...
fiz o teste de remover a linha do compartilhamento do meu arquivo: /etc/init.d/rc.firewall
e dai meu outlook parou de funcionar...se eu deixo a linha do compartilhmanto ativa o outlook funciona na boa....o phoda é se o usuário descobre que desativando as configurações de proxy ele vai conseguir acessar tudo que ele quiser na internet....
poderiam me dar uma ajuda nesse sentido...
obrigado.
_______________________________________________________ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org