Firewall+proxy transparente+VPn c/ roteamento

[lfernandosg]

Olá, temos na empresa um servidor Linux só que fechado(digo licença paga)para empresa Aberium supervisor. e ele está configurando assim:



Proxy com ajutenticação por usuários+firewall+Vpn que redireciona para o ervidor windows server 2003 que tem o aplicativo que é acessado externo através do terminal server nesse servidor.





O que estamos querendo:





colocar um servidor Debian ou ubuntu server tanto faz com:



1)squid transparente com permissões por mac e logo de cara as Acl's tem quer lista branca e não negra para depois ir liberando por mac os sites que quero liberar;



2)Configurar o firewall para rotear essa Vpn, pois no aberium, ele recebe o Ip válido da embratel e esse mesmo Ip é jogado para o servidor windows server 2003, assim deduzir que também está sendo usado uma Vpn pois pelo acesso via web vi portas aberta para Vpn, agora minha pergunta:



Para acessar esse servidor com o mesmo Ip que entra no firewall, é nescessário usar Vpn para que possamos usar os aplicativos do server 2003, ou é só preciso fazer um terminal server e rotear o ip válido para cair no servidor? meu maior problema é essa vpn+roteamento para cair o ip válido do servidor linux  no servidor windows, como faço?

3)Como faço para configurar um lista Branca ao invés de uma negra, pois quero proibir tudo e ir liberabdo os sites permimitidos por mac do usuário, pois só vejos tutoriais com listas black list?





desde já agradeço!

[Akuhn]

Olá!!!

- Crie uma lista com os sites que quer liberar;
- Crie uma acl para essa lista;
- E por último negue acesso para todos e faça uma exceção para a sua whitelist, simples não?

Exemplo:
Crie o arquivo /etc/squid/whitelist.txt e inclua nele as URLs que você quer liberar.

Edite o squid.conf e crie uma acl para essa lista:
acl whitelist url_regex -i "/etc/squid/whitelist.txt"

Negue o acesso para todos e libere para sua whitelist:
http_access deny all !whitelist

Pronto, espero que esclareça um pouco, [ ]'s.

[lfernandosg]

muito obrigado, e sobre o firewall+ roteamento, sabe me dizer algo?

[JeffersonX]

Hoje estava aqui lendo um livro de Squid e vi sobre esse esquema de proxy transparente. No caso, seria redirecionar todas as requisições feitas pelo HTTP na porta 80 para a porta do Squid, que por padrão é a 3128. Com isso, ficaria assim

Código: [Selecionar]

iptables - t nat -A PREROUNTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Seria isso que você precisa?

[lfernandosg]

Akuhn, teria como fazer isso por usuário? crio uma lista para cada usuário e o que estiver fora dessa lista será bloqueado?

[lfernandosg]

OUtra coisa...já tenho várias Acls criadas com por exemplo:

jalmacy_deny que dentro tem .*->que bloqueia tudo
jalmacy_allow que está dentros os sites liberados para o usuário jalmacy


então peguei essa pasta e quero no novo servidor criar o mesmo usuário e usar essas acls para ele,como faço para que essa acl com o jalmacy que peguei no servidor que está rodando seja para o mesmo jalmacy que irei criar nesse novo servidor?