Re: Proxy externo

To: Fábio Rabelo <fabio@fabiorabelo.wiki.br>, Debian User <debian-user-portuguese@lists.debian.org>
Subject: Re: Proxy externo
From: henrique <jmhenrique@yahoo.com.br>
Date: Tue, 29 Jan 2008 22:16:52 -0300 (ART)
Message-id: <[🔎] 185199.87264.qm@web30302.mail.mud.yahoo.com>
In-reply-to: <[🔎] 479F97F6.8050802@fabiorabelo.wiki.br>

--- Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:

> Roberto Tikao Tsukamoto Júnior escreveu:
> > Fábio Rabelo escreveu:
> >> Roberto Tikao Tsukamoto Júnior escreveu:
> >>> Senhores,
> >>>
> >>> Como, usando proxy transparente, podemos bloquear o uso de
> proxies 
> >>> externos.
> >>> Fisicamente, todas as conexões passam obrigatoriamente pelo proxy
> 
> >>> para acessar a internet, mas quem habilita proxy externo foge das
> 
> >>> regras do proxy.
> >>> Conhecem algum tutorial para o squid?
> >> Muito simples, e para ser franco eu já ví este tipo de
> configuração 
> >> em praticamente todos os tutoriais do Squid !!
> >>
> >> acrescente uma entrada  como esta junto às suas acls :
> >>
> >> acl palavras_proibidas url_regex -i
> "/etc/squid3/acl/palavras_proibidas"
> >>
> >> e na seção de controle de acesso acrescente algo ssim :
> >>
> >> http_access deny palavras_proibidas
> >>
> >> No meu caso é a segunda linha, depois apenas da linha q libera o 
> >> localhost :
> >>
> >> http_access allow manager localhost
> >> http_access deny palavras_proibidas
> >>
> >> A ordem em que as linhas de controle da acesso são inseridas SÃO 
> >> relevantes !!!
> >>
> >> E então crie o diretório acl ( caso ele não exista ! )
> >>
> >> mkdir  /etc/squid3/acl
> >>
> >> Repare q eu uso o Squid3, caso o Sr. esteja usando Squid 2.x o seu
> 
> >> diretório será /etc/squid/acl .
> >>
> >> E então crie um arquivo dentro deste diretório com nome 
> >> "palavras_proibidas" com algo semelhante a isto :
> >>
> >> orkut
> >> orcut
> >> baladas
> >> powerscrap
> >> sms
> >> yahoo
> >> proxyofliberty
> >>
> >> E então recarregue o Squid :
> >>
> >> /etc/init.d/squid3   reload
> >>
> >> E pronto, qualquer url q contenha uma destas palavras dentro do 
> >> arquivo será recusada .
> >> Se o Sr. quiser retirar ou acrescentar palavras à lista é só
> faze-lo 
> >> respeitando sempre a regra de uma única palavra por linha, e use
> um 
> >> editor compatível com Unix, pois caracteres de final de linha
> "dos" 
> >> lhe retornarão erros no squid .
> >>
> >> E aproveitando a oportunidade, alguém conhece algum site q
> publique 
> >> listas atualizadas com sites de proxy ??
> >>
> >> Fábio Rabelo
> >>
> >>
> >
> > Fábio,
> >
> > Obrigado pela explicação detalhada.
> > Sua informação me ajuda, mas não totalmente.
> > Não ficou claro o que quero bloquear ao usar o proxy transparente:
> é 
> > impedir que outros proxies sejam usados.
> > Exempl'o:
> >
> > Se um usuário qualquer, coloca em seu navegador o uso de algum
> proxy 
> > externo, que é fácil obter em inúmeras listas, essa pessoa passa
> pelo 
> > meu proxy, ignorando qualquer regra. É simples e fácil burlar, mas 
> > como evitar?
> O Sr. é que não entendeu o processo !
> Qual a url deste proxy ?
> É só acrescentar a url do proxy na lista de palavras proibidas que o 
> usuário de dentro da sua rede NÃO acessará este proxy !!!
> Sim, esta lista tem q sofrer manutenção constante ....
> Use o sarg para monitorar quais urls os usuários de sua rede estão 
> acessando, cada vez q aparecer uma url "suspeita" acesse vc mesmo
> esta 
> url e verifique para que serve, se tratar-se de um novo site de
> proxy, 
> acrescente-o à lista e pronto !!!
> 
> Fábio Rabelo
> 


Você está fazendo NAT, não é? 

Creio que vc não esteja falando de sites de "webproxys"  baseados em
cgi (que seriam facilmente bloqueáveis usando acls no squid) e sim em
ips/portas que o usuário informa no navegador na configuração de proxy.

Bem, se for um proxy externo qualquer rodando em uma porta que não seja
a porta (que geralmente é a 80) especificada pelo proxy local
transparente , não é um caso de proxy e listas de proxys e habilidades
em desenhar acls, e sim de firewall que está fazendo a NAT de
sites/portas desnecessárias/não_desejadas. 

Em outras palavras, se o seu proxy está transparente na porta 80, mas
seus usuários podem se conectar em todos os sites externos, usando 
outras portas "problemáticas" (como a 8080, a 3128, a 443, por ex), 
então a sua solução é retirar este acesso NAT do seu firewall, e
liberar portas especificas em sites especificos, ao invés de fazer um
simples 


"iptables -t nat -A POSTROUTING -o $if_in -j MASQUERADE"

o qual escancara tudo.

(IMHO, proxy transparente usando firewall só parece ser fácil rs ) 

[ ]s, Henry.


      Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/

Reply to:

References:
- Re: Proxy externo
  - From: Fábio Rabelo <fabio@fabiorabelo.wiki.br>

Prev by Date: Re: Proxy externo
Next by Date: Re: shaper e adsl
Previous by thread: Re: Proxy externo
Next by thread: Re: Proxy externo
Index(es):
- Date
- Thread