Squid Externo

Enviado por gaaz en

Forums: 

Holas a todos...

Tengo un inconvenientes, tengo mi servidor linux en el cual esta configurado el squid, y esta funcionando normalmente si ningun problema. La inquietud que tengo, es que en mi red, cuando corto a unos usuarios X en mi squid, ellos lo que hace es salir por otro proxy o squid externo y pueden navegar. Como hago para bloquear eso..?? y solo pueda salir por mi squid de mi red lan..??

Saludos

Si el squid externo esta en

Enviado por damage en

Imagen de damage

Si el squid externo esta en otra red o sub-red y ellos se pueden conectar es o por que cambian la IP de las tarjetas de red, o de lo contrario ponen en el navegador la ip de tu server externo puerto y con eso logran navegar, lo que recomiendo es incrementar la seguridad de tus proxys mediante el uso de reglas de iptables apropiadas en cada uno de ellos, mira bien tus acl en los proxy y si es el caso que se cambien de ip para poder navegar pues usa el ip neigh para relacioanr mac/ip, tambien se me hace raro de que se conecten al otro proxy acaso los dos server estan conectados en un mismo switch :?, revisa la estructuraciòn de tu red.

Saludos, espero sea lo que necesites.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

a ver el otro squid o proxy

Enviado por gaaz en

a ver el otro squid o proxy no esta dentro de mi red lan, esta afuera, y ellos lo que hacen es poner en el navegador salir por un proxy (en esta caso pone la ip publica mas el puerto) y punto, y puede navegar aunque le bloquee en el squid, creo que la solucion viene por la reglas de iptables voy hacer algunas pruebas ..

Saludos

Pues si iptables es lo

Enviado por damage en

Imagen de damage

Pues si iptables es lo mejor, aunque tambien en tus proxys especifica la ip de tu lan que sea la unica que escuche asi:
Ahora:
http_port 8080
Recomendado:
http_port xxx.xxx.xxx.xxx:8080

Mira primero con nmap has una nmap a tu eth0 luego a la eth1 y veras que en las dos el puerto del proxy esta, luego de que especifiques la IP de tu eth1 (la del lado lan), vuelve hacer el nmap a las dos eth's y veras que solo esta en la de tu LAN.

Saludos.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

Mira lo que pudieras hacer

Imagen de magozolutions

Mira lo que pudieras hacer es colocar un proxy transparente en tu red, con eso lo que haces que no sepan que salen por un proxy, en ecualug hay foros sobre eso pon buscar y encontraras, la otra opción es poner en tu iptables que toda petición fuera de tu lan, se la bloquee y solo le dejes acceso al servidor con el squid

Dicho esta como lo dice el

Enviado por damage en

Imagen de damage

Dicho esta como lo dice el amigo Magozolutions, pon el squid trasnparente eso es de ley, e implementa las otras recomendaciones dadas, si no entiendes algo pregunta (aunque esta facil), pilas con aprender iptbales e iproute, te van a servir y las vas a necesitar de seguro.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

el asunto no es de proxy

Enviado por gaaz en

el asunto no es de proxy trasparente, si lo tengo aplicado, y funciona bien el asunto es que cuando tengo x usuario que no quiero que navegue y lo excluyó de una lista de control, ellos le ubican otro proxy ( es decir que ponen sali por un otro proxy y le ponen una ip publica que no esta dentro de mi red y que tienen acceso y ellos pueden navegar), lo que quiero es bloquear todo eso acceso que ellos tienen y solo permitie que salga por un unico proxy, el de mi servidor...

Saludos

Yo creo que no has entendido

Enviado por damage en

Imagen de damage

Yo creo que no has entendido las recomendaciones, aplica las ACL bien, dile a squid que escuche solo por la eth1 o la que esta del lado Lan, aplica reglas de iptables que todo sea dirijido al proxy de tu LAN, etc.

HTTP port:
http_port 192.168.100.1:8080 ---> Con esto squid solo escucha por esa dirección mas no por cualquer otra, aplicalo y chequea con nmap como lo dije.

Ejemplos de ACL con muchas opciones más: :cool:

acl our_networks src "/etc/squid/lista"
acl noches1 src "/etc/squid/noches"
acl pnoches1 time MTSWHF 19:30-24:00
acl pnoches2 src "/etc/squid/noches"
acl noches2 time MTSWHF 00:00-08:30
acl finsemana src "/etc/squid/noches"
acl finsemana1 time AS 00:00-24:00
acl sitiosnegados url_regex "/etc/squid/sitiosx"
http_access allow noches1 pnoches1
http_access allow noches2 pnoches2
http_access allow finsemana finsemana1
http_access allow our_networks !sitiosnegados

Saludos.

Keep The Fire Burning.....
Stryper 1988
http://counter.li.org/

seguro estas haciendo nat

Imagen de juandarcy2000

por lo que veo es posible que hagas nat tambien en ese servidor. osea tu proxy squid esta habilitado y tambien tienes nat, por eso ellos pueden ver otras redes fuera ya que estan usando un gateway. si no quieres complicarte haz esto, quitales el gateway a todas las estaciones y solo dejales el proxy si tienen conocimiento de informatica y ponen el gateway entonces apaga el nat en tu linux si siguen de insolentes escribe esto.
IPTABLES -I FORWARD 1 -p all -j DROP
solo es una idea verdad ahi vas a cancelarles cualquier comunicacion al exterior, tambien podrias hacer POSTROUTING por estaciones y no toda la red asi lo hago yo. ahora bien pensando que probablemente tienes un servidor linux aclaranos si es tu unica salida al internet o hay otro router ahi que este haciendo nat.