Após várias pessoas estarem perguntando no fórum de como
bloquear o MSN com squid transparente, resolvi escrever este mini-howto, a idéia
é explicar de como bloquear o MSN utilizando o squid, de forma transparente.
Olá a todos, eu já tinha feito esse howto, só que o outro
tinha alguns erros técnicos e ortográficos, e pedir pro meu camarada
Jim retirar o outro,espero ter corrigido os erros. Nesse howto, diferente do outro,
vou da alguns exemplos de como usar acls no squid, pois notei que tinha muita
gente com dificuldade em relação a isso. O texto abaixo retirei
do colega wrochal2002Este endereço de e-mail está sendo protegido
de spam, você precisa de Javascript habilitado para vê-lo ( wrochal @ linuxit.com.br ) que teve a gentileza de pegar
meu outro howto e rescrito em uma linguagem mais formal e mais fácil de
ser interpretada.
Após várias pessoas estarem perguntando no fórum de como
bloquear o MSN com squid transparente, resolvi escrever este mini-howto, a idéia
é explicar de como bloquear o MSN utilizando o squid, de forma transparente.
Proxy Transparente é útil para evitar que configure o browser
manualmente, e evitar que usuários burlam o proxy retirando as configurações
do browser.
O MSN utiliza várias maneiras para efetuar autenticação,
pode ser pela porta 1863, ou pela https (443), nas versões novas ele
usa uma url para autenticar aonde usa um arquivo chamado gateway.dll, sendo
que você poderá criar uma regra para bloquear "gateway.dll",
ou bloquear a porta 1863.
No squid como citado acima bastaria criar um regra para bloquear gateway.dll,
e você poderá incluiur na lista de sites bloqueados ou por palavras,
e para bloquear a porta 1863 com iptables, você usara a chain FORWARD.
Saiba como deixar seu proxy transparente:
Edite o arquivo squid.conf, e adicione as seguintes linhas:
acl patrao src 192.168.0.20
acl proibido_msn url_regex "/home/arquivos/msn"
http_access deny proibido_msn !patrao
#acima barra o msn pra todos menos para o ip .20
#dentro do arquivo /hohttp_access deny me/arquivos/amsn adicione apalavra gateway.dll
httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on
#dentro do arquivo /home/arquivos/amsn adicione apalavra gateway.dll
Agora valida a reconfiguração
squid -k reconfigure
Agora basta criar a regra no firewall, para redirecionar conexões da
porta 80 para 3128 (SQUID):
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination
192.168.1.1:3128
Caso o squid esteja na mesma maquina do firewall, use a seguinte regra:
iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT
--to-port 3128
Obs.: Lembrando que 192.168.1.0/24 seria apenas exemplo, e troque pelo classe
da sua rede, e 192.168.1.1 IP onde ta rodando o do Proxy.
Caso sua chain INPUT esteja DROP por padrão, basta utilizar a seguinte
regra para liberar o uso da porta 3128:
iptables –A INPUT –s 192.168.1.0/24 –d ipdamaquinaondetaosquid
–p tcp –dport 3128 –j ACCEPT
–d ipdamaquinaondetaosquid -d significa ip de destino, então basta
você coloca o ip onde o squid está rodando. Com –d vai evitar
que usuários utilizem Proxy-Public, ou seja, se ele for experto e tentar
por outro ip de Proxy no browser sem ser o seu, ele não navegará.
Ex: -d 192.168.1.1
Agora para bloquear a porta 1863, basta usar a seguinte regra:
iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j DROP
Nome Brenno Freires
|
mais de 1 ip nao passa no proxy
Escrito por lucena em 2006-07-13 20:38:47
como faço para que mais de um ip não passe pela porta 3128? | mais de 1 ip nao passa no proxy
Escrito por claudio em 2006-07-17 12:41:10
Se entendi direito, voce quer que determinado ip não passe pelo proxy transparente?
se for, vc deve fazer a seguinte regra para todas as maquinas da rede:
iptables -t nat -A PREROUTING -s 192.168.1.1 -p tcp --dport 80 -j REDIRECT --to-port 3128
fará com que este ip (192.168.1.1) passe pelo proxy transparente, pois o está redirecionando para a porta 3128 local.
repita o mesmo procedimento para todas as maquinas que quer que utilize o proxy transparente, as que estiverem de fora, conectarão diretamente, sem proxy. |
Somente usuários registrados podem escrever comentários.
Por favor faça o login ou registre-se. Powered by AkoComment 2.0! |
