[Pluto-security] squid e oltre

Tom 'Dido' Di Donato pluto-security@lists.pluto.linux.it
Fri, 15 Nov 2002 20:11:34 +0100


Si, effettivamente capita di trovare web server su porte differenti dalla=20
80. Personalemente, io gestisco in questo modo in ditta: nessun accesso=20
verso l'esterno =E8 consentito direttamente dal client. Se uno elimina=20
l'impostazione del proxy dal proprio browser, netfilter lo ridirige su=20
squid. Se invece l'utente utilizza il proxy, allora le restrizioni vengono=
=20
imposte solo da squid (ricordiamoci che anche Squid ha un controllo di=20
accesso, che per default non consente tutte le porte, ma solo quelle=20
definite "Safe_ports"). Quindi, se i siti sono sulla 80, il browser pu=F2=20
anche non essere impostato, se sono su porta differente, allora deve per=20
forza essere abilitato il proxy. Spero di essermi riuscito a spiegare.
Io l'ho trovato un valido compromesso, e fino ad oggi ha funzionato... Ma=20
qui, ovviamente, sono scelte personali....
Dido

At 19.33 15/11/02 +0100, you wrote:
> > Per me la cosa pi=F9 comoda, allora, =E8 utilizzare la macchina che=
 monta
> > squid come gateway per tutta la rete. Poi, configuri Squid come
> > transparent proxy, e attivi una regola di iptables, per cui tutto il
> > traffico in uscita diretto verso la porta 80 deve essere "girato"
> > alla 3128. A questo punto, nessun intervento =E8 necessario sui client
> > e nessuno potr=E0 pi=F9 uscire senza utilizzare il proxy. et voil=E0!
>
>Il problema nasce nel momento in cui, come capita sempre piu' spesso, ci
>sono accessi web fatti su porte diverse dalla 80. Vorrebbe dire lasciare
>il nat indiscrimnato (o quasi) e questo cerco sempre di evitarlo (ma e'
>questione di gusti e di valutazione dei rischi) oppure redirigere anche
>altre porte sulla 3128, con complicazione delle regole di netfilter.
>Inoltre, a meno di altre ulteriori [gestibilissime]complicazioni in
>netfilter, non potresti piu' fare uscire senza proxy alcuni client
>selezionati, che ogni tanto puo' tornare comodo.
>
>Ciao
>
>
>Fabio
>
>_______________________________________________
>pluto-security mailing list
>pluto-security@lists.pluto.linux.it
>http://lists.pluto.linux.it/mailman/listinfo/pluto-security