Eu tenho o squid rodando em um proxy transparente (porta 3128) e clientes VPN conectando + ip forwarding via PPTPD. Quero permitir que os usuários se conectem à porta 80 (3128), mas bloqueiem todos os outros tráfegos TCP.
Atualmente, estou usando o seguinte:
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t filter -A INPUT -i ppp+ -p tcp --dport 80 -j ACCEPT
iptables -t filter -A INPUT -i ppp+ -p tcp --dport 3128 -j ACCEPT
iptables -t filter -A INPUT -i ppp+ -p tcp -j DROP
Embora eu possa ver que o tráfego HTTP está passando pelo squid, espero que o HTTPS (443) seja bloqueado, mas ainda posso carregar uma página HTTPS quando conectado à VPN.
Você pode me apontar na direção certa do que está errado aqui para bloquear todo o tráfego de NON HTTP TCP de clientes VPN?
Obrigado
Suponho que talvez a tabela de filtros não seja atingida pelo tráfego da VPN. Depois de alterá-lo para FORWARD, tudo funciona como esperado
iptables -t nat -A PREROUTING -i ppp+ -p tcp --dport 80 -j REDIRECT --to-port 3128
iptables -A FORWARD -i ppp+ -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i ppp+ -p tcp --dport 3128 -j ACCEPT
iptables -A FORWARD -i ppp+ -j DROP
iptables -A FORWARD -o ppp+ -j DROP