Re: Iptables +squid+outlook [RESOLVIDO]
Marcelo Castilho Manzano escreveu:
Resumo pra entenderem!
o que eu queria configurar, e consegui, com a ajuda da turma aqui da
lista é:
O Squid+outlook+Iptables.
tudo se resume à fazer com que as regras do iptables deixasse passar
somente o tráfego do outlook POP(porta110), SMTP(porta25) direto sem
ter que passar pelo meu proxy e que todo o restante do tráfego
passasse por ele.
se o usuário desabilitar o proxy e deixar as configurações dele em
branco no navegador ele não conseguirá navegar pois as requisições
para a internet o sistema faz pela porta 80 ...e essa porta eu
bloquiei pelo iptables.
agora pro usuário espertinho de windows vc pode bloquear o acesso as
configurações do proxy pelo Iinternet explorer da seguinte forma:
iniciar>executar>gpedit.msc,,,, dai abrirá uma janela que vc deve ir o
seguinte item:
configuração do usuário>modelos administrativos>internet explorer> e
dentro da pasta vai ter uma chave de nome:
- Desativar a alteração das configurações de proxy, abra ela e marque
ativado....
Já era ....seu usuário não vai alterar mais o proxy....
ele vai ter que ser muito inteligente pra descobrir essa opção e
depois vai ter que conhecer outro proxy de fora da sua rede pra
acessar a internet..
OK. Isso vai impedir os usuários que não intendem por onde passa a
conexão com a internet de consiguirem uma "receita de bolo" pelo Google
e contornar o proxy, ou seja, eu considero isso inútil. Além de bloquear
a configuração do proxy a ponto de nem você conseguir resolver algum
problema de falta de configuração de forma prática.
*Uma dúvida que me resta é....*
se o usuário souber outro proxy/porta.....e ele configurar no IE dele
como funciona o tramite...?????
ex: suponha que ele conheça o proxy de ip 200.200.200.26
<http://200.200.200.26> porta: 3214..
Minha pergunta:
o usuário usuará a porta 3214 do PC dele pra chegar ao ip
200.200.200.26 <http://200.200.200.26> e de lá sair pela porta 80 do
servidor proxy????
ou ele usará a 80 do pc dele pra chegar ao ip 200.200.200.26
<http://200.200.200.26> pra depois que chegar nesse ip sair pela porta
3214 desse servidor....???? fico mei confuso nessas coisas..
Ele pode utilizar qualquer porta alta para fazer isso, você não pode
bloquear isso com base na porta de origem. E isso já foi esclarecido nos
e-mails anteriores.
O que se recomenda fazer (e que já foi dito anteriormente) é bloquear
TUDO por padrão (flag -P na cadeia FORWARD com política DROP) e liberar
o necessário, SOMENTE as portas 110 e 25 para os SEUS PROVEDORES (elas
podem ser utilizadas para proxys também, nada impede que exista um proxy
externo que aceite conexões na porta 110, por exemplo).
outra questão ....
se, minha máquina é ligada diretamente a um modem do virtua e eu
obtenho um ip válido(200) do virtua e talz......sei que vou sair pela
porta 80.
Consigo mudar a porta de saída e configurar outra em vez da 80....?????
As portas baixas sugerem que nelas existam determinados serviços
aguardando por conexões, a porta 80 indica que provavelmente exista um
servidor HTTP escutando nela.
Sua conexão NÃO SAI na porta 80, ela sai em portas altas (de 1024 em
diante) aleatórias e entram na porta 80 de cada endereço (no caso de
acesso a páginas HTTP).
Exemplo das minhas conexões ativas com a página do Google e a do Terra
recentemente abertas e um envio de e-mail em andamento:
Obviamente "endereço local" é a origem da conexão.
edmundo@msik7n2d:~$ netstat -n --inet
Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local Endereço Remoto
Estado
tcp 0 0 10.0.0.10:42943 200.176.2.94:80
TIME_WAIT
tcp 0 451 10.0.0.10:48834 65.205.8.52:80
ESTABELECIDA
tcp 0 0 10.0.0.10:53918 65.212.92.117:80
ESTABELECIDA
tcp 0 0 10.0.0.10:45924 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45925 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45923 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45953 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:45960 200.176.3.142:80
TIME_WAIT
tcp 0 0 10.0.0.10:60393 200.176.3.222:80
ESTABELECIDA
tcp 0 0 10.0.0.10:60391 200.176.3.222:80
ESTABELECIDA
tcp 0 0 10.0.0.10:43443 64.233.167.99:80
ESTABELECIDA
tcp 0 0 10.0.0.10:60287 200.176.3.221:80
TIME_WAIT
tcp 0 0 10.0.0.10:60292 200.176.3.221:80
TIME_WAIT
tcp 0 0 10.0.0.10:60294 200.176.3.221:80
TIME_WAIT
tcp 0 69120 10.0.0.10:59755 200.154.55.11:25
ESTABELECIDA
Raramente os protocolos utilizam portas fixas na origem.
se alguem tiver algum tutorial que explique bem esse entra e sai de
portas agradeço....
abraço
DEU Certo:
coloquei as regras assim:
# libera POP
*iptables -A FORWARD -p tcp --dport 110 -j ACCEPT*
# libera SMTP
*iptables -A FORWARD -p tcp --dport 25 -j ACCEPT*
# bloqueia somente a porta 80 e os usuários não conseguiram navegar
sem o proxy setado nas configurações do Internet Explorer. essa regra
deve vir antes da regra(abaixo) que compartilha a internet. vindo
antes irá bloquear a navegação dos usuários caso eles removam o proxy
pois se eles removerem o proxy e deixar em branco a configuração do
proxy o sistema operacional entenderá que deve mandar as
saidas(requisições) de páginas da internet pela porta 80 dai a porta
80 estará bloqueada e o mesmo não conseguira sair....porém essa regra
não atrapalhará a regra que permiti a saída do POP/SMTP(outlook) pois
as mesmas deixam os arquivos do outlook trafegarem pela porta 25 e 110.
*iptables -A FORWARD -p tcp --dport 80 -j DROP*
# Ativa roteamento
*echo 1 > /proc/sys/net/ipv4/ip_forward*
# mascara saida dos pacotes
*iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
*
ps..... a minha eth1 é a minha placa que tá ligada a saída pra
internet...o virtua...
OK. Você habilitou o NAT, se sua regra padrão na cadeia FORWARD é ACCEPT
você só bloqueou o acesso a páginas HTTP na porta 80 do destino. Seus
usuários podem acessar e enviar e-mail em qualquer lugar, utilizar
QUALQUER programa P2P, utilizar proxys externos, etc. Você literalmente
abriu o acesso da sua rede e seu proxy agora so serve como cache mesmo.
Se você ainda não entendeu o que você fez eu sugiro que tente se
informar a respeito da diferença entre NAT e Proxy. Quanto aos
tutoriais, eu sugiro qualquer livro a respeito de configuração de
firewalls e a respeito do protocolo TCP/IP. Eu gosto muito do "Linux
Firewalls, 3rd Edition" da Novell Press, que é voltado para o iptables,
mas é em inglês.
Atenciosamente.
Edmundo Valle Neto
Reply to: