Re: Iptables +squid+outlook [RESOLVIDO]

[Edmundo Valle Neto <edmundo.valle@terra.com.br>]

Marcelo Castilho Manzano escreveu:
> Resumo pra entenderem!
> o que eu queria configurar, e consegui, com a ajuda da turma aqui da 
> lista é:
> O Squid+outlook+Iptables.
> tudo se resume à fazer com que as regras do iptables deixasse passar 
> somente o tráfego do outlook POP(porta110), SMTP(porta25) direto sem 
> ter que passar pelo meu proxy e que todo o restante do tráfego 
> passasse por ele.
> se o usuário desabilitar o proxy e deixar as configurações dele em 
> branco no navegador ele não conseguirá navegar pois as requisições 
> para a internet o sistema faz pela porta 80 ...e essa porta eu 
> bloquiei pelo iptables.
>  
> agora pro usuário espertinho de windows vc pode bloquear o acesso as 
> configurações do proxy pelo Iinternet explorer da seguinte forma:
> iniciar>executar>gpedit.msc,,,, dai abrirá uma janela que vc deve ir o 
> seguinte item:
> configuração do usuário>modelos administrativos>internet explorer> e 
> dentro da pasta vai ter uma chave de nome:
> - Desativar a alteração das configurações de proxy, abra ela e marque 
> ativado....
>
> Já era ....seu usuário não vai alterar mais o proxy....
>  
> ele vai ter que ser muito inteligente pra descobrir essa opção e 
> depois vai ter que conhecer outro proxy de fora da sua rede pra 
> acessar a internet..

OK. Isso vai impedir os usuários que não intendem por onde passa a 
conexão com a internet de consiguirem uma "receita de bolo" pelo Google 
e contornar o proxy, ou seja, eu considero isso inútil. Além de bloquear 
a configuração do proxy a ponto de nem você conseguir resolver algum 
problema de falta de configuração de forma prática.

> *Uma dúvida que me resta é....*
> se o usuário souber outro proxy/porta.....e ele configurar no IE dele 
> como funciona o tramite...?????
> ex: suponha que ele conheça o proxy de ip 200.200.200.26 
> <http://200.200.200.26> porta: 3214..
> Minha pergunta:
> o usuário usuará a porta 3214 do PC dele pra chegar ao ip 
> 200.200.200.26 <http://200.200.200.26> e de lá sair pela porta 80 do 
> servidor proxy????
> ou ele usará a 80 do pc dele pra chegar ao ip 200.200.200.26 
> <http://200.200.200.26> pra depois que chegar nesse ip sair pela porta 
> 3214 desse servidor....???? fico mei confuso nessas coisas..

Ele pode utilizar qualquer porta alta para fazer isso, você não pode 
bloquear isso com base na porta de origem. E isso já foi esclarecido nos 
e-mails anteriores.
O que se recomenda fazer (e que já foi dito anteriormente) é bloquear 
TUDO por padrão (flag -P na cadeia FORWARD com política DROP) e liberar 
o necessário, SOMENTE as portas 110 e 25 para os SEUS PROVEDORES (elas 
podem ser utilizadas para proxys também, nada impede que exista um proxy 
externo que aceite conexões na porta 110, por exemplo).

> outra questão ....
> se, minha máquina é ligada diretamente a um modem do virtua e eu 
> obtenho um ip válido(200) do virtua e talz......sei que vou sair pela 
> porta 80.
> Consigo mudar a porta de saída e configurar outra em vez da 80....?????

As portas baixas sugerem que nelas existam determinados serviços 
aguardando por conexões, a porta 80 indica que provavelmente exista um 
servidor HTTP escutando nela.
Sua conexão NÃO SAI na porta 80, ela sai em portas altas (de 1024 em 
diante) aleatórias e entram na porta 80 de cada endereço (no caso de 
acesso a páginas HTTP).

Exemplo das minhas conexões ativas com a página do Google e a do Terra 
recentemente abertas e um envio de e-mail em andamento:
Obviamente "endereço local" é a origem da conexão.

edmundo@msik7n2d:~$ netstat -n --inet
Conexões Internet Ativas (sem os servidores)
Proto Recv-Q Send-Q Endereço Local          Endereço Remoto         
Estado     
tcp        0      0 10.0.0.10:42943         200.176.2.94:80         
TIME_WAIT 
tcp        0    451 10.0.0.10:48834         65.205.8.52:80          
ESTABELECIDA
tcp        0      0 10.0.0.10:53918         65.212.92.117:80        
ESTABELECIDA
tcp        0      0 10.0.0.10:45924         200.176.3.142:80        
TIME_WAIT 
tcp        0      0 10.0.0.10:45925         200.176.3.142:80        
TIME_WAIT 
tcp        0      0 10.0.0.10:45923         200.176.3.142:80        
TIME_WAIT 
tcp        0      0 10.0.0.10:45953         200.176.3.142:80        
TIME_WAIT 
tcp        0      0 10.0.0.10:45960         200.176.3.142:80        
TIME_WAIT 
tcp        0      0 10.0.0.10:60393         200.176.3.222:80        
ESTABELECIDA
tcp        0      0 10.0.0.10:60391         200.176.3.222:80        
ESTABELECIDA
tcp        0      0 10.0.0.10:43443         64.233.167.99:80        
ESTABELECIDA
tcp        0      0 10.0.0.10:60287         200.176.3.221:80        
TIME_WAIT 
tcp        0      0 10.0.0.10:60292         200.176.3.221:80        
TIME_WAIT 
tcp        0      0 10.0.0.10:60294         200.176.3.221:80        
TIME_WAIT
tcp        0  69120 10.0.0.10:59755         200.154.55.11:25        
ESTABELECIDA


Raramente os protocolos utilizam portas fixas na origem.

> se alguem tiver algum tutorial que explique bem esse entra e sai de 
> portas agradeço....
>  
>  
> abraço
>  
>  
>  
>  
> DEU Certo:
> coloquei as regras assim:
>  
>
> # libera POP
> *iptables -A FORWARD -p tcp --dport 110 -j ACCEPT*
>
> # libera SMTP
> *iptables -A FORWARD -p tcp --dport 25 -j ACCEPT*
>
> # bloqueia somente a porta 80 e os usuários não conseguiram navegar 
> sem o proxy setado nas configurações do Internet Explorer. essa regra 
> deve vir antes da regra(abaixo) que compartilha a internet. vindo 
> antes irá bloquear a navegação dos usuários caso eles removam o proxy 
> pois se eles removerem o proxy e deixar em branco a configuração do 
> proxy o sistema operacional entenderá que deve mandar as 
> saidas(requisições) de páginas da internet pela porta 80 dai a porta 
> 80 estará bloqueada e o mesmo não conseguira sair....porém essa regra 
> não atrapalhará a regra que permiti a saída do POP/SMTP(outlook) pois 
> as mesmas deixam os arquivos do outlook trafegarem pela porta 25 e 110.
> *iptables -A FORWARD -p tcp --dport 80 -j DROP*
>
>  
>
>
> # Ativa roteamento
> *echo 1 > /proc/sys/net/ipv4/ip_forward*
>
> # mascara saida dos pacotes
> *iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
> *
>
> ps..... a minha eth1 é a minha placa que tá ligada a saída pra 
> internet...o virtua...

OK. Você habilitou o NAT, se sua regra padrão na cadeia FORWARD é ACCEPT 
você só bloqueou o acesso a páginas HTTP na porta 80 do destino. Seus 
usuários podem acessar e enviar e-mail em qualquer lugar, utilizar 
QUALQUER programa P2P, utilizar proxys externos, etc. Você literalmente 
abriu o acesso da sua rede e seu proxy agora so serve como cache mesmo.

Se você ainda não entendeu o que você fez eu sugiro que tente se 
informar a respeito da diferença entre NAT e Proxy. Quanto aos 
tutoriais, eu sugiro qualquer livro a respeito de configuração de 
firewalls e a respeito do protocolo TCP/IP. Eu gosto muito do "Linux 
Firewalls, 3rd Edition" da Novell Press, que é voltado para o iptables, 
mas é em inglês.

Atenciosamente.

Edmundo Valle Neto