Obrigar uso de Proxy

[jeneansantos]

    Ola galera,
    Tenho uma rede com 10 pcs e 1 servidor com windows server 2012, instalei o squid 2.7 no servidor e já esta configurado e funcionando perfeitamente, porém gostaria de saber se existe alguma forma de distribuir esse proxy para toda rede de forma que se o usuário desabilitar as configurações de proxy no navegador ele não consiga acessar a internet.
    Já configurei o Squid para Transparent e compartilhei a conexão de internet do servidor, sendo eth1( placa que liga no modem adsl ) e eth2( placa que liga no swith para distribuir a conexão com a rede ), porém os usuários acessam a internet sem passar pelo proxy, só funciona se fazer a configuração no navegador dos usuários, e não é essa minha intenção, já que os espertinhos desabilitam o proxy no navegador e navegam livremente. Alguém teria uma solução?
 

[kowalskitec]

Boa noite, pelo seu relato está funcionando assim:

 

- Proxy configurado no navegador: a navegação passa pelo proxy

- Proxy retirado do navegador: a navegação fica livre sem passar pelo proxy

 

Isso está ocorrendo devido a falta de uma regra no seu arquivo squid.conf "deny" após a clausula "allow" com suas regras.

 

Outra coisa: o servidor que tem o squid precisa ser o gateway da rede, senão nenhuma regra de bloqueio vai funcionar... ou seja, se a clausula "deny" estiver no lugar corrreto mas o servidor Squid não for o gateway da rede não vai bloquear nada.

 

Espero ter ajudado

[jeneansantos]

O ip interno no servidor  é 192.168.25.200, quando eu compartilhei a conexão do servidor a placa de rede secundária eth2 que distribui a rede ficou com IP 192.168.137.1 dessa forma os PCs da rede ficou com IPS 192.168.137........

 

Meu Squid.conf está da seguinte forma......

 

dns_nameservers 8.8.8.8 8.8.4.4

 

acl localnet src 10.0.0.0/8    # RFC1918 possible internal network
acl localnet src 172.16.0.0/12    # RFC1918 possible internal network
acl localnet src 192.168.0.0/16    # RFC1918 possible internal network

#
acl SSL_ports port 443
acl SSL_ports port 993
acl TSL_ports port 587
acl Safe_ports port 80        # http
acl Safe_ports port 21        # ftp
acl Safe_ports port 443        # https
acl Safe_ports port 70        # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535    # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 993        # imap
acl Safe_ports port 587        # smtp
acl CONNECT method CONNECT

 

# Sites a serem bloqueados por palavra na URL
acl bloqueados url_regex -i "C:\squid\etc\palavras_bloqueadas.txt"
http_access deny bloqueados

# Sites a serem bloqueados por URL
acl url_bloqueados dstdomain -i "C:\squid\etc\url_bloqueadas.txt"
http_access deny url_bloqueados

# Bloqueia download de extensoes indesejadas
acl extban url_regex -i \.avi \.mp3 \.torrent \.wmv \.iso \.mpg \.mpeg \.exe
http_access deny extban

 

http_access allow localnet
http_access allow localhost

# And finally deny all other access to this proxy
http_access deny all

 

#Allow ICP queries from local networks only
icp_access allow localnet
icp_access deny all

 

http_port 3128 transparent
http_port 1105 transparent

 

#Default:
visible_hostname Tutor

# Quantidade de memoria RAM dedicada ao cache
cache_mem 512 MB                  

# Tamanho maximo dos arquivos armazenados no cache do HD
maximum_object_size 100MB

# Tamanho minimo dos arquivos armazenados no cache do HD
minimum_object_size 0KB

# Porcentagem do cache que fara o squid comecar a descartar arquivos mais antigos
cache_swap_low 90
cache_swap_high 90

 

#Default:
dns_nameservers 8.8.8.8.8.8.4.4

[kowalskitec]

Boa tarde, o erro está nas primeiras linhas de seu squid.conf... se sua rede é "192.168.137.x" ... então está faltando informar isso no squid.conf

 

Outro detalhe é as declarações repetidas... veja que no começo declara três vez a mesma ACL com valores diferentes, ou seja, uma declaração sobrescreve a outra.

 

Eu não olhei para baixo o arquivo mas corrigindo isso deve dar tudo certo.

 

Espero ter ajudado

[jeneansantos]

Boa tarde, o erro está nas primeiras linhas de seu squid.conf... se sua rede é "192.168.137.x" ... então está faltando informar isso no squid.conf

 

Outro detalhe é as declarações repetidas... veja que no começo declara três vez a mesma ACL com valores diferentes, ou seja, uma declaração sobrescreve a outra.

 

Eu não olhei para baixo o arquivo mas corrigindo isso deve dar tudo certo.

 

Espero ter ajudado

Neste caso deixaria somente essa acl?

acl localnet src 192.168.137.1/24

 

Testei habilitando o firewall do windows e criando regra de saida bloqueando portas 80 e 443, dessa forma bloqueia as portas http e https porém somente no servidor,  na conexão compartilhada continua liberada, estava pensando em bloquear a porta 80 e 443 da eth2 que dessa forma iria funcionar perfeitamente, agora não sei como bloquear essas portas na eth2, tentei alguns programas de bloqueio de porta porém bloqueia somente no servidor, na eth2 continua liberada

[kowalskitec]

Isso mesmo... altere e veja o resultado...

[jeneansantos]

Isso mesmo... altere e veja o resultado...

 

Usuarios continuam acessando sem passar pelo proxy, acho que a unica solução seria algum software que bloqueia as portas 80 e 443 da placa de rede que distribui a conexão, neste caso a eth2. Ou inserir o proxy nos navegadores dos usuarios e desabilitar as configurações de conexão através de GPO, o problema dessas soluções é que se algum usuario trazer o notebook de casa irá acessar livremente

Sugestões ou outra alternativa será bem vinda

[kowalskitec]

Seguinte, temos o squid em 12 lojas e ele bloqueia normalmente, mas no caso temos um computador com a distribuição "IpCop" do Linux que é exclusivamente para isso... existe outros que pode usar... mas te aconselho a usar em separado do que no servidor Windows.

 

Nas nossas empresas o que fazemos é desativar o DHCP em todas, assim evita que alguém traga um computador de casa e use na empresa. Dà um pouco de trabalho configurar manualmente mas foi uma solução que resolveu esse tipo de problema definitivamente.

 

Espero ter ajudado

[jeneansantos]

Seguinte, temos o squid em 12 lojas e ele bloqueia normalmente, mas no caso temos um computador com a distribuição "IpCop" do Linux que é exclusivamente para isso... existe outros que pode usar... mas te aconselho a usar em separado do que no servidor Windows.

 

Nas nossas empresas o que fazemos é desativar o DHCP em todas, assim evita que alguém traga um computador de casa e use na empresa. Dà um pouco de trabalho configurar manualmente mas foi uma solução que resolveu esse tipo de problema definitivamente.

 

Espero ter ajudado

 

Realmente, eu pensei em colocar o squid em um computador com Linux para fazer o trabalho, pelo que andei lendo o Linux aceita perfeitamente essas configurações que desejo, de qualquer forma agradeço muito a ajuda amigo.