Versão Imprimível
Olá, Parece meio bobo mas preciso que algumas maquinas da minha rede não tenha acesso na web, mas preciso usar MSN. Se bloqueio o ip no Squid não passa o MSN e se libero o MSN a WEB tb passa.
Será q alguem pode me dar uma dica?
Grato.
Wellington TI Small
Amigo,
deixa eu ver se entendi o q vc quer.............
Exemplo
máquina 10.0.0.1 --pode acessar o MSN, mas não pode navegar na web
se for isso usa uma regra tipo assim..
#não navega pelo http diretamente
iptables -A INPUT -s 10.0.0.1 -p tcp -dport 80 -j DROP
#não acessa o squid
iptables -A INPUT -s 10.0.0.1 -p tcp -dport 3128 -j DROP
# não navega em https diretamente
iptables -A INPUT -s 10.0.0.1 -p tcp -dport 443 -j DROP
bom até aqui essa máquina não navega na internete
agora vamos liberar o MSN
iptables -A FORWARD -s 64.4.13.0/24 -d 10.0.0.1 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT
iptables -A FORWARD -p tcp --dport 6901 -j ACCEPT
iptables -A FROWARD -p udp --dport 6901 -j ACCEPT
iptables -A FROWARD -p tcp --dport 6891:6900 -j ACCEPT
iptables -A FORWARD -p udp --dport 6891:6900 -j ACCEPT
com isso essa máquina não vai acessar a internet mas vai se conectar no MSN
Bom, complementando a visão do amigo.
O Squid trabalha estritamente com alguns protocolos, não todos. Todos os protocolos que ele utiliza, ele pode oferecer um controle, como o que passa, o que não passa. No caso dos sites e dos clientes que não estão permitidos a utilizar a internet, você bloqueia no Squid. As outras coisas como ICQ, MSN e similares, você bloqueia por IPTables.
Para isso, você pode criar uma lista com os IP's que NÃO podem acessar a internet (ou definir uma range, caso os IP's sejam seguidos) e bloquear o acesso do seguinte modo.
Cria a lista no diretório /etc/squid/listas/permitidosmsn
# touch /etc/squid/listas/nananana
OK, feito isso, insira nela os endereços IP's que você precisa, lembrando que vale um por linha só.
Depois adicione no Squid a seguinte acl:
acl nananana src "/etc/squid/listas/nananana"
http_access deny nananana
Outro modo: Se os IP's forem todos consecutivos, você pode definir uma range, tipo:
acl nananana src 192.168.0.1-192.168.0.10
http_access deny nananana
Mas para isso, você precisa que o seu IPTables não esteja bloqueando o MSN, é claro.
Qualquer coisa, me manda MP ou e-mail, de preferência com o assunto definido, porque senão eu cafundo. Hehehe.
Abraços!
[/b]
xstefanox,
sua visão dentro do squid está perfeita...porém se ele estiver usando um MASQUERADE e os clientes desabilitarem o proxy ...todos irão navegar na internete....ele ainda vai ter que bloquear via iptables os clientes...somente neste caso
Um abraço
Paulo Fernando Lamellas
Ok, todas as postagens funcionaram muito bem estou até em duvida qual vou manter como permanente, quanto o problema do mascaramento no meu caso fica tudo bloqueado e só é possivel sair sem uma regra especifica atravez do Squid.
Mais uma vez gostaria de agradecer a ajuda.
Wellington TI Small
Concordo plenamente com com seu ponto de vista. Existem meios para ele bloquear isso, um ótimo meio é utilizando o redirecionamento de portas na seguinte forma:Citação:
Postado originalmente por pflamellas
# iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128
Porém muito depende da forma que a rede dele é feita. Para efetuar isso, o gateway da internet e o Squid devem ser a mesma máquina.
Outra maneira de fazer é bloquear o acesso a essas mudanças utilizando o registro. O usuário poderia logar-se no SAMBA e já ter o seu registro alterado.
EU acho que é mais fácil bloquear o MSN utilizando IPTABLES + Squid do que instalar um módulo para bloquear ele...
Qualquer coisa, lê o meu guia falando sobre isso, disponível em http://www.facic.fuom.br/~guilherme/stefano
A versão disponível lá é a 1.0, porém a 1.1 está falando sobre o lance de redirecionamento de portas, se quiser eu envio por e-mail. (Mal, mas propaganda é a alma do negócio, hehehe).
Abraços!