Resumo pra entenderem! o que eu queria configurar, e consegui, com a ajuda da turma aqui da lista é: O Squid+outlook+Iptables. tudo se resume à fazer com que as regras do iptables deixasse passar somente o tráfego do outlook POP(porta110), SMTP(porta25) direto sem ter que passar pelo meu proxy e que todo o restante do tráfego passasse por ele. se o usuário desabilitar o proxy e deixar as configurações dele em branco no navegador ele não conseguirá navegar pois as requisições para a internet o sistema faz pela porta 80 ...e essa porta eu bloquiei pelo iptables.
agora pro usuário espertinho de windows vc pode bloquear o acesso as configurações do proxy pelo Iinternet explorer da seguinte forma: iniciar>executar>gpedit.msc,,,, dai abrirá uma janela que vc deve ir o seguinte item: configuração do usuário>modelos administrativos>internet explorer> e dentro da pasta vai ter uma chave de nome: - Desativar a alteração das configurações de proxy, abra ela e marque ativado.... Já era ....seu usuário não vai alterar mais o proxy.... ele vai ter que ser muito inteligente pra descobrir essa opção e depois vai ter que conhecer outro proxy de fora da sua rede pra acessar a internet.. *Uma dúvida que me resta é....* se o usuário souber outro proxy/porta.....e ele configurar no IE dele como funciona o tramite...????? ex: suponha que ele conheça o proxy de ip 200.200.200.26 porta: 3214.. Minha pergunta: o usuário usuará a porta 3214 do PC dele pra chegar ao ip 200.200.200.26 e de lá sair pela porta 80 do servidor proxy???? ou ele usará a 80 do pc dele pra chegar ao ip 200.200.200.26 pra depois que chegar nesse ip sair pela porta 3214 desse servidor....???? fico mei confuso nessas coisas.. outra questão .... se, minha máquina é ligada diretamente a um modem do virtua e eu obtenho um ip válido(200) do virtua e talz......sei que vou sair pela porta 80. Consigo mudar a porta de saída e configurar outra em vez da 80....????? se alguem tiver algum tutorial que explique bem esse entra e sai de portas agradeço.... abraço DEU Certo: coloquei as regras assim: # libera POP *iptables -A FORWARD -p tcp --dport 110 -j ACCEPT* # libera SMTP *iptables -A FORWARD -p tcp --dport 25 -j ACCEPT* # bloqueia somente a porta 80 e os usuários não conseguiram navegar sem o proxy setado nas configurações do Internet Explorer. essa regra deve vir antes da regra(abaixo) que compartilha a internet. vindo antes irá bloquear a navegação dos usuários caso eles removam o proxy pois se eles removerem o proxy e deixar em branco a configuração do proxy o sistema operacional entenderá que deve mandar as saidas(requisições) de páginas da internet pela porta 80 dai a porta 80 estará bloqueada e o mesmo não conseguira sair....porém essa regra não atrapalhará a regra que permiti a saída do POP/SMTP(outlook) pois as mesmas deixam os arquivos do outlook trafegarem pela porta 25 e 110. *iptables -A FORWARD -p tcp --dport 80 -j DROP* # Ativa roteamento *echo 1 > /proc/sys/net/ipv4/ip_forward* # mascara saida dos pacotes *iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE * ps..... a minha eth1 é a minha placa que tá ligada a saída pra internet...o virtua... Em 02/07/07, Phibos <[EMAIL PROTECTED]> escreveu:
olá!!! Aí voce teria duas opções: iptables -P FORWARD DROP # isso deixaria como padrão bloqueado o forward. Que seria liberado pelas regras que voce está utilizando. ou... iptables -A FORWARD -p tcp --dport 80 -j DROP # isso bloquearia a porta 80, e os usuários não conseguiriam navegar sem proxy. Att Josue Marcelo Castilho Manzano escreveu: Amigos, poderiam me dar uma força?! seguinte, vi o link: http://www.guiadohardware.net/comunidade/bloqueando-proxy/288071/ onde o jqueiroz diz: Bloqueie todas as saídas diretas, e force todos os usuários a usarem o Squid para conexão. Depois libere apenas a saída das portas 110 (pop) e 25 (smtp), para que as pessoas possam consultar seus correios eletrônicos. tenho o squid+outlook(nas estações)+iptables.....não sou expert...quero só fazer funcionar.. no /etc/init.d/rc.firewall tenho as seguintes linhas: # libera POP iptables -A FORWARD -p tcp --dport 110 -j ACCEPT # libera SMTP iptables -A FORWARD -p tcp --dport 25 -j ACCEPT # Ativa roteamento echo 1 > /proc/sys/net/ipv4/ip_forward # mascara saida dos pacotes iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE pelo que entendi o jqueiroz disse que devemos deixar os compartilhamentos desativados e só o proxy configurado no IE do cliente para ele sair pelo proxy e se ele remover as configurações do proxy ele não navega certo... bom blz... fiz o teste de remover a linha do compartilhamento do meu arquivo: /etc/init.d/rc.firewall e dai meu outlook parou de funcionar... se eu deixo a linha do compartilhmanto ativa o outlook funciona na boa....o phoda é se o usuário descobre que desativando as configurações de proxy ele vai conseguir acessar tudo que ele quiser na internet.... poderiam me dar uma ajuda nesse sentido... obrigado. _______________________________________________________ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
-- |--------------------------------------------------| | Marcelo Manzano | | Cel.99603104 | | [EMAIL PROTECTED] | |--------------------------------------------------|