Dúvida Tinyproxy [INACTIVE]

Antigo fórum em português do Fórum Coyote http://www.coyotelinux.com.

Dúvida Tinyproxy

Mensagempor Alex Fowler » Sex Set 03, 2004 8:29 am

Colegas,

Seguindo dicas que procurei no fórum, instalei e configurei o tinyproxy no Coyote da empresa aqui e esta rodando beleza. Consegui bloquear os sites que desejava.

Eu sou iniciante em linux e em adminstração de redes, mas tenho me virado na medida do possível. A minha dúvida agora, é a seguinte :

Existe alguma maneira de fazer com que essa regra de bloqueio de sites, não seja aplicada a um (ou alguns) ip (s) da rede interna ?

Se sim, como faço ?

Obrigado desde já

[ ]'s
Alex Fowler
Alex Fowler
 

Re: Dúvida Tinyproxy

Mensagempor Claudio Roberto Cussuol » Sex Set 03, 2004 10:00 am

Não tenho certeza, mas procure no arquivo de configuração do tinyproxy algo assim:

allow xxx.xxx.xxx.xxx

Inclua o ip que voce quer liberar e teste. Se funcionar avisa a gente.
Claudio Roberto Cussuol
 

Re: Dúvida Tinyproxy

Mensagempor Marcos Do Vale » Sex Set 03, 2004 10:05 am

Alex:

Vc de ter esta regra (ou parecido) do iptables em algum lugar.

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080

Note que pode ser definida um rede (source ou -s) dentro da interface (-i), ou seja, definir -i eth0 -s 192.168.0.x. Neste caso ficaria fácil controlar que passa pelo proxy (e pelas regras de bloqueio) e que passa direto.


Marcos
Marcos Do Vale
 

Re: Dúvida Tinyproxy

Mensagempor lecorj » Sex Set 03, 2004 10:28 am

Alex,

eu acredito q tenha sim. A unica coisa q seria necessario eh a inclusao de uma regra de iptables para nao redirecionar certos ips da lan.

Essa eh a regra q faz o tinyproxy ficar transparente para toda lan:
iptables -t nat -A nat-acl -i $IF_LOCAL -p tcp --dport 80 -j REDIRECT --to-port 8080

no caso seria necessario uma regra q nao redireciona-se os hosts especificos para a porta 8080, que eh a porta do proxy.
lecorj
 

Re: Dúvida Tinyproxy

Mensagempor Marcos Do Vale » Sex Set 03, 2004 11:59 am

Alex:

iptables -t nat -A nat-acl -i $IF_LOCAL -s ! ipdohostque -p tcp --dport 80 -j REDIRECT --to-port 8080

Testa e depois dá retorno

Marcos
Marcos Do Vale
 

Re: Dúvida Tinyproxy

Mensagempor lecorj » Qua Set 08, 2004 2:24 pm

Marcos cmo faria para colocar varios hosts nessa regra?
lecorj
 

Re: Dúvida Tinyproxy

Mensagempor Alex Fowler » Sex Set 10, 2004 9:55 am

Pessoal, desculpem a demora em responder, sexta-passada foi correria aqui, e entrou o feriado, chefe saindo de férias, etc.

Bom, descobri que preciso realmente que o meu ip não passe pela porta 80, devido a uma aplicativo de um banco que usa especificamente essa porta.

Tentei o que o Claudio falou, aconteceu algo estranho, eu coloco la Allow meuip no .conf do tinyproxy dentro do /etc/tinyproxy, salvo o arquivo, mando gravar tudo no disquete (ele inclusive grava o tinyproxy.tgz), mas quando reinicio o servidor, essa linha que eu coloquei simplesmente some, essa eu realmente não entendi.

Parti para para a dica do colega Marcos, coloquei a regra do iptables na opção 3, tentei colocar na linha anterior e também na linha posterior a linha que redireciona tudo para porta 80 e não funcionou.

A linha que estou usando pra redirecionar tudo para porta 80 é
iptables -t -nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port-8080.

Estou procurando possíveis variações da regra do iptables, se algúem tiver alguma sugestão !

[ ]'s
Alex Fowler
Alex Fowler
 

Re: Dúvida Tinyproxy

Mensagempor Claudio Roberto Cussuol » Sex Set 10, 2004 10:01 am

"Tentei o que o Claudio falou, aconteceu algo estranho, eu coloco la Allow meuip no .conf do tinyproxy dentro do /etc/tinyproxy, salvo o arquivo, mando gravar tudo no disquete (ele inclusive grava o tinyproxy.tgz), mas quando reinicio o servidor, essa linha que eu coloquei simplesmente some, essa eu realmente não entendi. "

Desculpe se não fui claro. Este arquivo é reconstruido na carga do tinyproxy. Você precisa editar o .template
Se você baixou a ultima versão do pacote faca as alteracoes pelo webadmin.
Claudio Roberto Cussuol
 

Re: Dúvida Tinyproxy

Mensagempor Alex Fowler » Sex Set 10, 2004 10:13 am

Claudio,

É, editando pelo webadmin, ele salva as configurações, já reinicie o servidor e beleza, a linha do Allow meuip continua aparecendo lá, mas ele não liberou meu ip das restrições, acho que vai ter que ser via alguma regra do iptables mesmo .

[ ]'s
Alex Fowler
Alex Fowler
 

Re: Dúvida Tinyproxy

Mensagempor Claudio Roberto Cussuol » Sex Set 10, 2004 10:52 am

OK, Procure aqui mesmo no forum, o Fernando Della Torre postou uma regra de iptables que retira sua maquina do redirecionamento que força o proxy transparente, daí ela simplesmente vai ignorar a existencia do tinyproxy e funcionar somente pelo roteamento natural do coyote.
Claudio Roberto Cussuol
 

Re: Dúvida Tinyproxy

Mensagempor Alex Fowler » Sex Set 10, 2004 11:30 am

Claudio,

Essa regra seria a ideal mesmo, pois meu micro não entrando no redirecionamento, resolveria também meu problema com o software do banco.

To virando o fórum atrás dessa regra e não to encontrando ... se alguém tiver ela aí, por favor poste aqui (enqto isso eu continuo caçando hehehe)

[ ]'s
Alex Fowler
Alex Fowler
 

Re: Dúvida Tinyproxy

Mensagempor Claudio Roberto Cussuol » Sex Set 10, 2004 2:50 pm

iptables -t nat -A nat-acl -i $IF_LOCAL -s ! ipdohostque -p tcp --dport 80 -j REDIRECT --to-port 8080

Tá aqui mesmo neste thread, algumas mensagens acima.
Claudio Roberto Cussuol
 

Re: Dúvida Tinyproxy

Mensagempor Alex Fowler » Sex Set 10, 2004 3:37 pm

E eu postei mais acima :

- Parti para para a dica do colega Marcos, coloquei a regra do iptables na opção 3 do menu, tentei colocar na linha anterior e também na linha posterior a linha que redireciona tudo para porta 80 e não funcionou.

A linha que tenho na opção 3 para redirecionar as portas é :
iptables -t -nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port-8080.

Algum outro lugar para eu tentar colocar essa linha ? (estava vendo umas msgs antigas das lista, devo por /etc/rc.d/pkgs/lu.tinyproxy ?)

[ ]'s
Alex Fowler
Alex Fowler
 

Re: Dúvida Tinyproxy

Mensagempor Humberto Palácio » Sex Set 10, 2004 4:32 pm

É o seguinte:

Se você quer direcionar todo mundo, use a seguinte linha

# Redirecionar todas as estações para o filtro do TinyProxy
# iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8080


Se você quer filtrar algumas estações, tire a linha de cima e coloque estas linhas
# Redirecionar estação por estação para o filtro do TinyProxy
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.5 --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.15 --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -i eth0 -p tcp -s 192.168.0.22 --dport 80 -j REDIRECT --to-port 8080

Ou seja, os ip's 192.168.0.5, 192.168.0.15 e 192.168.0.22 serão filtrados pelo tinyproxy, os outros não
E por aí vai...
Humberto Palácio
 

Resolvido

Mensagempor Alex Fowler » Seg Set 13, 2004 8:25 am

Por se tratar de uma rede pequena (em torno de 25 computadores), e do insucesso com a regra de não dar forward somente no meu ip, resolvi tentar a dica do colega Humberto e felizmente agora ficou tudo OK.

O detalhe é que para funcionar eu tive que colocar as regras na opção 3 do menu, e também no arquivo /etc/rc.d/pkgs/lu.tinyproxy.

Para quem quiser utilizar essa maneira, é bom antes pensar em travar o usuário das estações, para que eles não tenham acesso a troca de IP. Aqui eu faço isso, via arquivo .pol na pasta netlogon do servidor (estações todas com win98). Se o cara subir a máquina por modo de segurança ele até consegue trocar, mas como não tenho nenhum usuário com grandes conhecimentos, vai demorar para alguém descobrir isso, até lá eu já travei isso também ;-)

Obrigado pela ajuda de todos

[ ]'s
Alex Fowler
Alex Fowler
 

Re: Dúvida Tinyproxy

Mensagempor lecorj » Seg Set 13, 2004 9:22 am

Humberto,

e como faria para redirecionar "todos" e ter excessão para alguns?
lecorj
 

Negar sites Pornograficos.

Mensagempor Felipe » Ter Set 14, 2004 10:47 am

Eu quero coibir que os clientes não entrem em site de pornografia e coisas afins, Sex, Pedofilia, essas coisas.
Existe como?

Eu coloquei dentro do filtro do Tinyproxy as seguintes palavras
sex
SEX
porno
pedofilia
TeenSex

*** Coloquei essas coisa mas não negou. fiz o teste com o site http://www.arquivosex.com
e entrou.

Resumindo tem como coibir o acesso por pavras ao inves de sites. Quando eu coloco o site na integra ele realmente nega. Mas quero negar palavras chaves. citadas acima e ainda outras correlacionadas com assunto.

Desde já agradeço.
Felipe
 

Re: Dúvida Tinyproxy

Mensagempor Humberto Palácio » Ter Set 14, 2004 7:48 pm

Eu não sei como ficaria para bloquar todos e alguns não, mas no iptables, quando se quer excluir alguem da regra usa-se !, logo, deve ser algo assim:
iptables -t nat -A PREROUTING -i eth0 -p tcp !-s 192.168.0.5 --dport 80 -j REDIRECT --to-port 8080
neste caso, creio que só a máquina 192.168.0.5 ficaria liberada.

Eu criei a lista de redirecionamentos no excel, na primeira coluna eu coloquei o seguinte conteúdo:

iptables -t nat -A PREROUTING -i eth0 -p tcp -s

Na coluna B eu coloquei o ip, por exemplo:
192.168.0.1

Na coluna C:

--dport 80 -j REDIRECT --to-port 8080

E fui copiando tudo pra baixo, preste atenção que ele incrementa o ip na coluna B, mas na coluna C também incrementa, copie em duas células e depois copie para o restante.
Aumente bem o tamanho da coluna (se não ele cortará na hora que gerar o arquivo) e salve como "texto separado por espaços" depois abra o arquivo em um editor de texto, por exemplo o Word, mande substituir 2 espaços " " por um espaço para economizar no tamanho do arquivo com as regras.
Retire os ip's que ficarão sem filtro e jogue tudo na opção 4 (somente lá).
Humberto Palácio
 


Voltar para Fórum Coyote pt-br

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 4 visitantes

cron