Bloccare porte in uscita gateway debian ipmasq + squid

[framacomputer]

ho un server debian con due schede di rete, una connessa al router adsl e l'altra alla rete locale ho installato su detto server squid che richiede autenticazione, ovviamente i client della rete navigano ugualmente anche senza impostare il server proxy perchè è attivo su debian ipmasq.

Vorrei impedire ad i client che non hanno il server proxy impostato di navigare quindi bloccando le richieste in uscita sulla porta 80 e 443 dalla rete interna verso internet, in sintesi chi non imposta il proxy non naviga.

come posso fare?

supponendo:
eth0 connessa client con ip 192.168.1.1 - 255.255.255.0 - no gateway
eth1 connessa su router con ip 192.168.168.25 - 255.255.255.0 - 192.168.168.1
e ipmasq che si avvia come demone quindi automaticamente con il sistema.

Grazie.

[Uno]

un natting con iptables?

[guest]

stacca il masquerade generico e attivalo solo su determinate porte, dove ovviamente non ci saranno ne la 80 ne la 443.

Senza avere ulteriori informazioni, ti potrei anche dire che ti basta fare il masquerade della 53/udp.
Tutto il resto non serve, se devi far navigare (e solo navigare) i client tramite proxy.

[framacomputer]

non vorrei approfittare della tua disponibilità, purtroppo sono in difficoltà perchè non esperto di ambienti linux e sopratutto networking su linux..... potresti dirmi come farlo?
immagino dal file di configurazione di ipmasq, ma sinceramente non saprei dove mettere le mani.......

grazie.

[guest]

ipmasq? Non ti serve...
Segui questo howto:
Setting up a simple Debian gateway

ed al posto della riga

Codice:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

prova a mettere qualcosa di sto tipo (non testato, ora non ho tempo)

Codice:

iptables -t nat -A POSTROUTING -o eth1 -p udp -m multiport --dport 53 -j MASQUERADE

[framacomputer]

ho provato in tutte le salse con iptables niente da fare nemmeno seguendo la guida passo passo, posso solo dirti che per me potrebbe andare bene anche togliendo il natting squid funziona benissimo ugualmente, il problema è che i pc client non scaricano e/o inviano la posta da outlook........... adesso è attivo ipmasq che mi funziona potrei a questo punto bloccare tramite iptables tutte le richieste sulla porta 80 e 443 in modo che così ho la configurazione ch mi serve?

grazie.

[guest]

Devi togliere il natting, per la navigazione web o usi squid o usi il nat.
Tutti e due non ha senso, anzi, nel tuo caso è solo controproducente, prima o poi qualcuno scoprirà
di poter navigare senza squid ed il gioco è fatto.

Devi invece attivare il natting solo su determinate porte... e' pieno di howto su google....

[guest]

prova anche così, per bloccare le porte in uscita.
iptables -A FORWARD -i eth0 -o eth1 -p tcp --dport 80 -j DROP

(eth0 = rete interna, eth1 = rete esterna)

[framacomputer]

ho provato ma i client navigano lo stesso senza proxy...... adesso mi viene un dubbio, ma io per usare iptables devo togliere ipmasq? oppure possono coesistere?

[guest]

non ho mai usato ipmasq per cui non ti so dire

[framacomputer]

finalmente tutto funziona!!!!!

ecco come:

tolto ipmasq e seguito questo tutorial:

How-To: Set up a LAN gateway with DHCP, Dynamic DNS and iptables on Debian Etch | Debian/Ubuntu Tips & Tricks

poi ho lanciato il comando che mi hai postato tu per il drop dei pacchetti sulla porta 80 e tutto funziona a meraviglia!

Grazie.

[guest]

Prego!