Versão Imprimível
Oi, trabalho numa escola e estou com um serio problema, nao consigo + barrar o msn dos laboratorios depois que instalei o squid e nao posso barrar ele todo pelo squid porque a administração ultiliza, como estou trabalhando com apenas 1 faixa de ip nao consigo. Como posso bloquear o msn em apenas alguns ip´s????
iptables -A FORWARD -p tcp -s ipquequerbloquear -d ipdomsn -j DROP
Essa linha de comando funcionava ate o squid estragar tudo... Como ultilizo proxy transparente na consigo, eles se conectam pelo squid.
bem.. n sei se funciona, mas é uma questão de investigar.. uma boa solução seria n bloquear os clientes, mas blokear o servidor msn. vc instala um sniffer (o ettercap é mto bom para isso) e verifica onde os msn's se estão a ligar..depois disso configura o squid para n deixar ng se ligar a esse servidor.. deve resultar.. experimente
Ok rsoto vou explicar para vc como eu fiz aqui na faculdade.
tenho um servidor de proxy que tambem é meu firewall.
fiz assim no meu firewall disponibilizei o repasse de pacote apenas para a maquinas que eu quero q tenha acesso ao msn.
no squid dei denny na palavra msn
tambem configurei meu servidor dhcpd para identificar o hardware das maquinas que tem o repasse de pacote ativado assim configurando um ip fixo pra elas.
ai depois é so instalar o msn na maquina que vc liberou o repasse que ja era , enquanto as outras fica com deny na palavra msn!
espero ter ajudado e se tiver alguma duvida posta ai, pois agora estou um pouco apressado!
abracos! :wink:
Certo, essas saidas todas eu sei, so que vc continuam a nao entender... Todos os meus clientes passam pelo squid e se barrar o msn pelo squid eu barro todo mundo.. o grande problema aqui é esse: Nao posso barrar o msn de todo mundo.. entendem... so dos clientes do laboratorio..
bloqueia o input desses ips.
8O
Faz o seguinte, no seu firewall bloqueie a porta 1863
no meu caso uso o ipchains
/sbin/ipchains -A input -p TCP -b --sport 1863 -j DENY
/sbin/ipchains -A input -p TCP -b --dport 1863 -j DENY
depois vai no squid e cria a seguinte acl´s:
acl messenger urlpath_regex gateway.dll
e depois bloqueia:
http_access deny messenger
isso irá bloquear todas as máquinas que passam pelo squid, já para liberar máquinas em específico faça o seguinte.
- crie um arquivo em algum diretorio, pode ser do squid mesmo
touch ip_liberado
abra o arquivo
vi ip_liberado
coloque os ip´s que vc quer liberar o aceso dentro do arquivo, pode ser um embaixo do outro. Salve e vai até o squid e cria a acl antes da acl do messneger
acl ip_liberado src "/etc/squid/ip_liberado"
e o http_access tb antes do messenger
http_access allow ip_liberado
restart o squid e ira funcionar, bom pelo menos no meu sistema resolveu e está funcionando.
Até mais
Linuxfull
mando bem linuxfull, mas o segredo de como barrar o msn pelo squid demorei muito para desvendar, mas felizmente hoje só acessa o msn quem está liberado.
só tenho uma sugestão/alteração a fazer:
troque:
acl messenger urlpath_regex gateway.dll
por:
acl messenger req_mime_type ^application/x-msn-messenger$
E definitivamente funciona.
Mav3r1ck
eu tb ja tinha visto neste esquema que vc falou.....é que já estou usando esse a algum tempo e está funcionando bem...mas pelo que vi e ouvi falar tb funciona bem... valeu fera....
té mais
LinuxFull
Não rsoto, acho que vc nao entendeu.
se vc so passar pacotes para os micros que vc queira que entrem no msn, uma vez instalado o msn eles vao entrar. certeza.
e
enquanto o seu laboratorio que nao tem repasse de pacote, vai parar no squid.
entende?
Abracos
MAJOR :wink:
Po pessoal achei uma maneira bem mais simples.
apenas coloquei entre as palavras proibidas msn, assim quando o msn vai se altenticar ele para ai.
Rsoto, acho que vc nao entendeu.
se vc so passar pacotes para os micros que vc queira que entrem no msn, uma vez instalado o msn eles vao entrar. certeza.
e
enquanto o seu laboratorio que nao tem repasse de pacote, vai parar no squid.
entende?
Abracos
MAJOR :wink:
Valew galera muito obrigado mesmo... Consegui barrar a minha lista ultilizando o iptables o squid nao deixa mais passar nada... Muito obrigado...
eu possuo a regra do gateway.dll, funciona entre "´s . quando eu faço o mascaramento da rede interna ele nao funciona, o msn nem precisa colocar o proxy nas configurações do msn. quando nao faço o mascaramento ele passa pelo proxy e fica bloqueado. Eu possuo autenticação no proxy e a permissao do msn eh dada por usuario. outra coisa para esclarecer, qdo fecho o FORWARD todo ele passaelo proxy e conseqentemente bloqueia. eu preciso fazer o mascaramento por causa do outlook e etc... Alguém tem alguma explicação, eh urgente....Citação:
Postado originalmente por Mav3r1ck
Citação:
Postado originalmente por Anonymous
Faz o seguinte mano usa essas regras que vou colocar aqui abaixo:
Coloca elas pra rodar no seu rc.local ou no seu script de firewall que vai dar certo !!!
# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d loginnet.passport.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/32 -d loginnet.passport.com -j REJECT
# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -d webmessenger.msn.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -d webmessenger.msn.com -j REJECT
Pelo squid mesmo utilizando acls vc pode fazer o seguinte
acl msn dstdomain loginnet.passport.com
http_access deny msn
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
http_access deny msnmessenger
http_access deny MSN
Bloqueando WebMensseger
acl webmsn dstdomain webmessenger.msn.com
http_access deny webmsn
e ai pra galera que vc quer que use cria uma acl pra liberar tudo
acl maqliberada src 192.168.0.0/255.255.255.255
http_access maqliberada allow
Mas e mais simples e rapido e confiavel fazer com iptables
Valeu mano qualquer coisa posta ai !!!