Dubbio ipcop

[BTS]

Premetto che non è un problema... (ho risolto per vie traverse), ma comunque sono curioso.


C'è un ipcop 1.4.21 con advanced proxy installato, url filter e BOT.
Il proxy richiede autenticazione locale (quindi si palesa non esser trasparente).

Se nel browser imposti il proxy, tutto funziona correttamente: chiede l'accesso ed in funzione delle credenziali navighi ristrettamente o in maniera completa.
Se invece nel browser non imposti il proxy... comunque naviga senza limitazioni.

Come mai? Non avrei dovuto navigare...

Ovviamente gateway e DNS puntano al proxy.

[astimas]

Se ben ricordo avevo avuto lo stesso problema.

Per sistemare, devi modificare rc.firewall.local aggiungendo :

/sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 80 -j DROP
/sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 -p tcp -m tcp --dport 443 -j DROP

e riavviare il servizio

[BTS]

infatti dicendo "per vie traverse" intendevo proprio che avevo bloccato in uscita le porte esattamente come le tue iptables.

No, speravo che ci fosse un flaggettino che mi ero perso...



Comunque, grazie per la risposta (almeno hai capito la domanda )

[Tasslehoff]

Quote:

Originariamente inviato da BTS

infatti dicendo "per vie traverse" intendevo proprio che avevo bloccato in uscita le porte esattamente come le tue iptables.

No, speravo che ci fosse un flaggettino che mi ero perso...



Comunque, grazie per la risposta (almeno hai capito la domanda )

Forse non hai impostato correttamente quelle rules di iptables, prova ad azzerare i contatori dei pacchetti per le rules di iptables e navigare senza proxy, se riesci a visualizzare pagine web quei contatori dovrebbero rimanere a zero, quindi nessun pacchetto ha matchato quelle rules--> le rules non stanno funzionando a dovere.

Oppure prova a creare una rule in cui espliciti l'accettazione dei pacchetti con porta tcp di destinazione 80 e 443 e vedi se navigando senza proxy i relativi contatori salgono.
Se non lo fanno ti consiglio di fare un bel traceroute di un host esterno alla rete per verificare bene quale gateway stai usando

Del resto per la navigazione si tratta soltanto di connessioni in outbound con porta tcp di destinazione = 80, una volta che la risoluzione è ok non ci sono molti altri meccanismi che possono intervenire.

[BTS]

Quote:

Originariamente inviato da Tasslehoff

Forse non hai impostato correttamente quelle rules di iptables,

ma la domanda che faccio è: se il proxy non è trasparente e come gateway i client hanno proprio lui, non dovrebbe farli passare...


forse mi è venuta in mente un'idea strana....