# SquidGuard baypassato da invisible proxy et al.

## fbcyborg

Ho impostato su un server Squid+Squidguard.

Il problema è che mi sono accorto che utilizzando programmini tipo Invisible Proxy o simili, squidguard è come se non ci fosse.

Qualcuno mi può dire per favore, come poter ovviare a questo problema?

Grazie

----------

## Kernel78

Sai che non ho nemmeno idea di cosa sia "Invisible Proxy" ?

Se puoi fornirmi più informazioni forse posso aiutarti.

----------

## fbcyborg

Ad esempio questo. Se ad esempio squidguard blocca il sito di facebook, tu puoi andare su quel sito e navigare dentro facebook tramite di esso.

Ovviamente ho bloccato tutta una serie di siti come quelli, grazie a delle blacklist abbastanza lunghe.

Però considera che esistono anche dei programmi (sempre su winzozz) che installati sui propri pc fanno da proxy e usano altre porte per navigare. Essendo abilitato il NAT, come puoi immaginare, non passano per squid.

Però per questo secondo problema penso di aver trovato una soluzione. Dando i privilegi ridotti agli utenti winzozz, non potrebbero installare nulla, e quindi nemmeno questi programmi. Il problema ci sarebbe qualora ci fossero programmetti del genere standalone, o fatti in java, avviabili tramite jar.

----------

## Kernel78

ok, secondo me devi fermarti un attimo e cercare di capire quale risultato vuoi raggiungere e che limite di tolleranza hai.

Se uno ha una macchina esterna alla rete non ci mette niente a crearsi un tunnel per fare quello che vuole e basta un ip dinamico per renderti praticamente impossibile bloccarla.

O metti delle whitelist o accetti il fatto che le tue blacklist servono a poco/niente.

----------

## fbcyborg

Ma infatti il discorso è che queste regole vanno bene per il 90-98% dei dipendenti di una azienda non informatica. 

Personale come segratari, impiegati, in genere non hanno competenze e conoscenze tali da baypassare le restrizioni che ho impostato io.

Il problema si pone quando c'è qualcuno che magari smanetta un po' anche con i PC. E' chiaro che persone profane non sappiano nemmeno cosa sia un proxy, figuriamoci se sanno come aggirarlo.

L'unica alternativa sarebbe impostare il NAT e ip_forward, ma come policy di iptables bisognerebbe impostare il blocco totale. Poi abilitare solo il traffico sulla porta 80, quello sulla 110 e così via, in base a quello che serve. Però così mi sembra troppo restrittivo.

----------

## Kernel78

Non cambierebbe molto, come dicevo prima, se hai una macchina fuori dalla rete puoi metterla in ascolto sulla porta 80 o sulla 443 (https) o ancora più banalmente via ssh ti puoi fare un tunnel criptato per fare il cavolo che ti pare e personalmente non avrei idea di come poterlo bloccare (questo non significa che non sia possibile ma che se esiste un modo io non lo conosco ne ci sono mai incappato  :Laughing:  )

----------

## fbcyborg

Bloccare siti al 100% è impossibile si sa! Però cerco di rendergli la vita difficile!  :Very Happy: 

----------

## Kernel78

 *fbcyborg wrote:*   

> Bloccare siti al 100% è impossibile si sa! Però cerco di rendergli la vita difficile! 

 

il modo più facile di rendere la vita difficile è creare una whitelist ma dipende solo dalla quantità di destinazioni che devi rendere raggiungibili ... se hai una lista smisurata e in continua crescita diventa controproducente per te ...

----------

## fbcyborg

No ma infatti.. Credo che alla fine allora si debba scendere ad un compromesso!  :Smile: 

E bastonare sul posto il dipendente nullafacente colto in flagrante!!!!  :Very Happy:  hihi!!

----------

## devilheart

forse te l'avevo già detto... leva il NAT!!!

----------

## fbcyborg

Sì sì, me l'avevi detto!

 :Smile: 

Solo che poi ho paura di diventare pazzo per quanto riguarda la singola autorizzazione di POP3, ecc..

----------

## devilheart

 *fbcyborg wrote:*   

> Solo che poi ho paura di diventare pazzo per quanto riguarda la singola autorizzazione di POP3, ecc..

 prego?

----------

## fbcyborg

Ho poca esperienza.

----------

## devilheart

no aspetta, cosa intendi per "singola autorizzazione di POP3, ecc.."?

----------

## fbcyborg

Semplicemente che se la policy di default è bloccare tutto, poi mi devo preoccupare di abilitare il traffico singolarmente per ogni esigenza (pop3, smtp, programmi tipo l'antivirus che richiedono la connessione per gli aggiornamenti, ecc..). Non vivrei più praticamente, se ogni volta sono costretto ad abilitare il traffico per tutto.

----------

## devilheart

ogni volta...

lo devi fare una volta sola

----------

## Peach

 *devilheart wrote:*   

> ogni volta...
> 
> lo devi fare una volta sola

 

quoto

in più se proprio vuoi impedire il collegamento ai dipendenti secondo me dovresti lavorare a livello di topologia di rete, cioé sistemarli in una "no-fly-zone" e permettergli l'accesso alla posta da un server interno in DMZ che faccia scaricamento/relay della posta.

giusto così per dire, eh. poi magari nel concreto non è nemmeno così semplice ristrutturare una rete, chiaramente.

----------

## fbcyborg

 *devilheart wrote:*   

> ogni volta...
> 
> lo devi fare una volta sola

 

Ho detto ogni volta, perché magari ogni volta che viene installato un nuovo programma che richiede accesso a Internet bisogna autorizzarlo, e per me che non ho tantissima esperienza con iptables (vorrei averla, ve lo giuro!) potrebbe essere un po' un casino. Il problema è che il server è in esercizio ora, e mettermi a fare le prove, rischiando di bloccare qualcosa per periodi relativamente lunghi, non sarebbe il massimo.

----------

## devilheart

e ti lamenti? questa è una occasione perfetta per fare pratica. del resto ha già maneggiato parecchio con quel server. l'unica cosa che devi fare e salvare le impostazioni importanti prima di fare esperimenti

----------

## fbcyborg

Anche tu hai ragione.

Ora appena ho l'occasione di ritornare in ditta cerco di fare qualcosa.

Da remoto ovviamente non mi metto a fare prove.

----------

## Kernel78

 *fbcyborg wrote:*   

> Anche tu hai ragione.
> 
> Ora appena ho l'occasione di ritornare in ditta cerco di fare qualcosa.
> 
> Da remoto ovviamente non mi metto a fare prove.

 

Vedi, hai già imparato qualcosa di saggio ...

tu non hai idea di quanta gente si tagli fuori da una macchina remota cercando di sistemare il firewall  :Laughing: 

----------

