www.MegaLab.it

Per come è configurato fino ad ora, il server "passa" il traffico fra la VPN e l'interfaccia Internet in maniera "trasparente".

Se però la macchina è dotata anche del proxy "Squid" (magari con qualche filtro aggiuntivo), potrebbe essere interessante far sì che anche tutte le richieste provenienti dai client VPN vengano gestite da questo componente.

Adeguare il routing

Aprite con gedit il file utilizzato per il routing (è stato salvato in /root/routing.sh, se avevate seguito le indicazioni della guidata dedicata) ed individuate la porzione di testo delimitata dall'indicazione ============ BLOCCO DI ISTRUZIONI CHE ABILITANO LE CONNESSIONI VPN IN ENTRATA ============ (è verso la fine del file).

Poco sotto, dovreste trovare 3 blocchi da 5 righe l'uno: eliminate tutti i cancelletti (#) che trovare all'inizio delle 15 righe in questione

Salvate il file e chiudete l'editor.

Tutto pronto

A questo punto, riavviate il server per rendere effettive le modifiche (oppure eseguite nuovamente lo script di routing e riavviate Squid con service squid restart) ed il gioco è fatto: tutte le richieste di accesso al web provenienti dai client VPN saranno gestite dal proxy

I client potrebbero avere qualche difficoltà a gestire le pagine veicolate tramite HTTPS ma, come dicevamo, è tutto normale.

In caso questa limitazione risultasse inaccettabile, l'alternativa è quella di consentire all'utenza di accedere alle pagine crittografate senza passare per Squid: per farlo, inserire il carattere # all'inizio delle seguenti righe nel file routing.sh (sono le ultime del blocco di istruzioni dedicate all'uso di Squid abbinato alla VPN)

#$IPT -t nat -A PREROUTING -i ppp0 -p tcp --dport 443 -j REDIRECT --to-port 3129 #$IPT -A INPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -i ppp0 -p tcp --dport 3129 #$IPT -A OUTPUT -j ACCEPT -m state --state NEW,ESTABLISHED,RELATED -o $WAN -p tcp --dport 443 #$IPT -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -i $WAN -p tcp --sport 443 #$IPT -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED -o ppp0 -p tcp --sport 443

Utile, ma non risolutivo

Per completezza, vi invito a notare che l'impiego di Squid via VPN è una semplice misura tesa ad evitare che per il server circoli materiale illegale o inappropriato, ma non è in alcun modo una tutela per il client: in caso uno degli utenti della VPN volesse aggirare il blocco, gli basterà scollegarsi dalla rete virtuale ed accedere direttamente ai siti come di consueto utilizzando la connessione in dotazione al calcolatore, oppure impostare la VPN in modalità "Split tunnel".