Re: Squid3 Proxy Transparente + FTP

To: debian-user-portuguese@lists.debian.org
Subject: Re: Squid3 Proxy Transparente + FTP
From: Adauto Serpa <adautoserpa@gmail.com>
Date: Tue, 27 Jan 2009 13:38:09 -0300
Message-id: <[🔎] 92a0e0700901270838q160d53cancc79ea9377a26ca@mail.gmail.com>
In-reply-to: <[🔎] 200901221853.50138.jmhenrique@yahoo.com.br>
References: <[🔎] 92a0e0700901220601k759f81fk79707600c788898d@mail.gmail.com> <533f32590901220910s7eb65e50jd03c4eafd4f83b7b@mail.gmail.com> <[🔎] 92a0e0700901221215t56787f1clf937bb8fce9131e1@mail.gmail.com> <[🔎] 200901221853.50138.jmhenrique@yahoo.com.br>

Henry e Rafael,

Valeu mesmo pela ótima explicação. Já estava començando a desconfiar,
fiz algumas pesquisas e não vi nada sobre isso. Como minha experiência
é pouca com firewalls não sabia nada sobre o assunto.

Bom, Minha solução então para meu caso foi utilizar as regras de FORWARD
para todo serviço de internet que não utilize a porta 80 (HTTP).

iptables -t filter -A FORWARD -p tcp -s ip_da_minha_estacao --dport
porta_do_servico -j ACCEPT

Exemplo de minha configuração para uma estação de trabalho(workstation).

iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 20:21 -j ACCEPT #Liberando FTP
iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 25 -j ACCEPT # Liberando SMTP
iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 110 -j ACCEPT # Liberando POP3
iptables -t filter -A FORWARD -i $iflocal -p tcp -s 192.168.0.250
--dport 443 -j ACCEPT # Liberando HTTPS

Assim tenho o controle por estação de trabalho e o serviço a ser utilizado.

Me corrijam se eu estiver errado com a minha solução !

Outra coisa o protocolo FTP é muito chato e fresco para esse caso eu
utilizo as seguintes regras no
meu script de firewall.

# Liberando FTP
#iptables -A INPUT -p tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#iptables -A INPUT -p tcp --dport 21 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT # Minha inclusão
iptables -A INPUT -p tcp --sport 21 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 21 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp --sport 1024: --dport 1024: -m state --state
ESTABLISHED,RELATED -j ACCEPT
# Fim FTP


# Liberando FTP pra o IP 192.168.0.29
iptables -A FORWARD -i $iflocal -p tcp -s 192.168.0.29 -m multiport
--dports 20,21 -j ACCEPT # FTP


Ele server para detectar se a conexão foi estabelicida realmente pelo
seu computador
e habilita o tráfego nas portas altas e aletórias que o FTP realiza. É
mais ou menos
isso ;-)

Estou com problemas de utilizar Squid + Iptables + HTB, mas deixa isso pra outro
tópico :-)


obrigado,

-- 
Adauto Serpa
Tecnólogo em Informática
Jabber: adautoserpa@jabber.org
Email:  adautoserpa@gmail.com
MSN:   juniorlf@hotmail.com

2009/1/22 henry <jmhenrique@yahoo.com.br>:
> On Thursday 22 January 2009 18:15:24 Adauto Serpa wrote:
>> Antônio,
>>
>>
>> A minha idéia seria fazer o FTP passar pelo proxy transparent.
>> Também gostaria de fazer isso com as conexões https(443).
>>
>> Se eu apenas encaminhas conexão não estarei fazendo cache do
>> FTP nem das Páginas Https, apenas conexões na porta 80 Http
>>
>> Desde já agradeço,
>>
>
> O proxy transparente é bem claro... so-e-tão-somente na  porta 80, e so e
> somente para metodo GET/POST/HEAD/OPTIONS no protocolo http. Simples assim.
> Nem mais, nem menos (me corrijam se estiver errado, parei de pesquisar isso a
> cerca de 3 anos atras. )
>
> O protocolo ftp é cheio das frescuras, tanto que temos alguns modulos
> especificos para ftp na arvore do kernel do linux, por ex.
>
> Conexões https (ssl, ou 443) não são cacheadas, e não importa o quanto vc bata
> o pé dizendo que quer que sejam cacheadas, o squid não fará cache, seja no
> modo transparente ou no modo "manual".
> O modo manual apenas usa o metodo connect para fazer a conexão ssl do
> navegador, algo que vc poderia tambem fazer usando alguma regra de nat no seu
> firewall, so que usando a nat ao invés de informar o ip do proxy no
> navegador, vc tem que gerenciar toneladas de logs de iptables - se é que vc
> fará log disso - para saber se por ex, os seus usuários estão usando
> ultrasurf, algum viruzinho que usa ssl, algum espertinho usando ssltunel, e
> outros comportamentos nocivos para a sua rede.
> E apos isso, manter duas listas de bloqueios: uma no squid, outra no firewall,
> sendo que somente precisaria manter a do squid. E ler dois logs também.
>
> Sim, usar proxy transparente é facinho facinho, mas dá mto mais  trabalho para
> o administrador se-e-somente-se ele quiser manter a rede segura e livre de
> pragas.
>
> com o ssl, esquece. não vai funcionar de jeito algum. E nem é pra funcionar.
>
> Com o ftp, talvez. Mas o google não retornou nada que se aproveitasse ao seu
> caso. E pela experiencia..... ;)
>
> [ ]s, e divirta-se.
> Henry
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-REQUEST@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
>
>

Reply to:

References:
- Squid3 Proxy Transparente + FTP
  - From: Adauto Serpa <adautoserpa@gmail.com>
- Re: Squid3 Proxy Transparente + FTP
  - From: Adauto Serpa <adautoserpa@gmail.com>
- Re: Squid3 Proxy Transparente + FTP
  - From: henry <jmhenrique@yahoo.com.br>

Prev by Date: Problemas themas gnome
Next by Date: Lançamento da nova versão do debian
Previous by thread: Re: Squid3 Proxy Transparente + FTP
Next by thread: programa conversa legal
Index(es):
- Date
- Thread