Re: Proxy externo
--- Fábio Rabelo <fabio@fabiorabelo.wiki.br> escreveu:
> Roberto Tikao Tsukamoto Júnior escreveu:
> > Fábio Rabelo escreveu:
> >> Roberto Tikao Tsukamoto Júnior escreveu:
> >>> Senhores,
> >>>
> >>> Como, usando proxy transparente, podemos bloquear o uso de
> proxies
> >>> externos.
> >>> Fisicamente, todas as conexões passam obrigatoriamente pelo proxy
>
> >>> para acessar a internet, mas quem habilita proxy externo foge das
>
> >>> regras do proxy.
> >>> Conhecem algum tutorial para o squid?
> >> Muito simples, e para ser franco eu já ví este tipo de
> configuração
> >> em praticamente todos os tutoriais do Squid !!
> >>
> >> acrescente uma entrada como esta junto às suas acls :
> >>
> >> acl palavras_proibidas url_regex -i
> "/etc/squid3/acl/palavras_proibidas"
> >>
> >> e na seção de controle de acesso acrescente algo ssim :
> >>
> >> http_access deny palavras_proibidas
> >>
> >> No meu caso é a segunda linha, depois apenas da linha q libera o
> >> localhost :
> >>
> >> http_access allow manager localhost
> >> http_access deny palavras_proibidas
> >>
> >> A ordem em que as linhas de controle da acesso são inseridas SÃO
> >> relevantes !!!
> >>
> >> E então crie o diretório acl ( caso ele não exista ! )
> >>
> >> mkdir /etc/squid3/acl
> >>
> >> Repare q eu uso o Squid3, caso o Sr. esteja usando Squid 2.x o seu
>
> >> diretório será /etc/squid/acl .
> >>
> >> E então crie um arquivo dentro deste diretório com nome
> >> "palavras_proibidas" com algo semelhante a isto :
> >>
> >> orkut
> >> orcut
> >> baladas
> >> powerscrap
> >> sms
> >> yahoo
> >> proxyofliberty
> >>
> >> E então recarregue o Squid :
> >>
> >> /etc/init.d/squid3 reload
> >>
> >> E pronto, qualquer url q contenha uma destas palavras dentro do
> >> arquivo será recusada .
> >> Se o Sr. quiser retirar ou acrescentar palavras à lista é só
> faze-lo
> >> respeitando sempre a regra de uma única palavra por linha, e use
> um
> >> editor compatível com Unix, pois caracteres de final de linha
> "dos"
> >> lhe retornarão erros no squid .
> >>
> >> E aproveitando a oportunidade, alguém conhece algum site q
> publique
> >> listas atualizadas com sites de proxy ??
> >>
> >> Fábio Rabelo
> >>
> >>
> >
> > Fábio,
> >
> > Obrigado pela explicação detalhada.
> > Sua informação me ajuda, mas não totalmente.
> > Não ficou claro o que quero bloquear ao usar o proxy transparente:
> é
> > impedir que outros proxies sejam usados.
> > Exempl'o:
> >
> > Se um usuário qualquer, coloca em seu navegador o uso de algum
> proxy
> > externo, que é fácil obter em inúmeras listas, essa pessoa passa
> pelo
> > meu proxy, ignorando qualquer regra. É simples e fácil burlar, mas
> > como evitar?
> O Sr. é que não entendeu o processo !
> Qual a url deste proxy ?
> É só acrescentar a url do proxy na lista de palavras proibidas que o
> usuário de dentro da sua rede NÃO acessará este proxy !!!
> Sim, esta lista tem q sofrer manutenção constante ....
> Use o sarg para monitorar quais urls os usuários de sua rede estão
> acessando, cada vez q aparecer uma url "suspeita" acesse vc mesmo
> esta
> url e verifique para que serve, se tratar-se de um novo site de
> proxy,
> acrescente-o à lista e pronto !!!
>
> Fábio Rabelo
>
Você está fazendo NAT, não é?
Creio que vc não esteja falando de sites de "webproxys" baseados em
cgi (que seriam facilmente bloqueáveis usando acls no squid) e sim em
ips/portas que o usuário informa no navegador na configuração de proxy.
Bem, se for um proxy externo qualquer rodando em uma porta que não seja
a porta (que geralmente é a 80) especificada pelo proxy local
transparente , não é um caso de proxy e listas de proxys e habilidades
em desenhar acls, e sim de firewall que está fazendo a NAT de
sites/portas desnecessárias/não_desejadas.
Em outras palavras, se o seu proxy está transparente na porta 80, mas
seus usuários podem se conectar em todos os sites externos, usando
outras portas "problemáticas" (como a 8080, a 3128, a 443, por ex),
então a sua solução é retirar este acesso NAT do seu firewall, e
liberar portas especificas em sites especificos, ao invés de fazer um
simples
"iptables -t nat -A POSTROUTING -o $if_in -j MASQUERADE"
o qual escancara tudo.
(IMHO, proxy transparente usando firewall só parece ser fácil rs )
[ ]s, Henry.
Abra sua conta no Yahoo! Mail, o único sem limite de espaço para armazenamento!
http://br.mail.yahoo.com/
Reply to: