Postado originalmente por
ricardodru
Senhores
Tenho o SQUID 2.5 e iptables rodando em um server na minha rede.
Sempre tive o msn e webmail bloqueado para a rede interna.
Para bloquear o msn, fecho a porta 1863 e uso uma ACL no squid para bloquear inumeras URL's que o msn acessa.
Mas o fato é o seguinte, o gerente da empresa em que trabalho, me pediu para liberar o msn e webmail no horario de almoço.
Ja criei a ACL com o horario e dias que estao liberados. O webmail funcionou perfeito, mas o msn nao funcionou, porque tenho que ir manualmente no firewall, e descomentar a linha que bloqueia o acesso a porta 1863 para a rede interna.
Esta linha eu libero o acesso ao msn, mas se for comentada, bloqueia o msn:
iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.0/24 -p tcp --dport 1863 -o eth0
Entao todos os dias tenho que alterar o script do iptables liberando a porta 1863 e depois do horario, fechar novamente esta porta.
COMANDOS USADOS
Após a linha onde redireciono a porta 80 para 3128 do squid, coloquei a seguinte linha:
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128
No squid.conf, antes das ACL's de bloqueio e liberação, coloquei a seguinte ACL:
acl porta_msn port 1863
http_access allow porta_msn
E tambem, nas ACL's que decrevem as portas seguras, tambem adicionei a seguinte linha:
acl Safe_ports port 1863
Com estas configurações acima, ainda nao funcionou.
Lembrando que, mesmo tendo regras no squid para bloquear as URL's do msn, mas se a porta 1863 estiver liberada, o msn se conecta normalmente. Fico observando no log, o squid da DENIED em todas as URL's do msn, mas o maldito ainda continua conectado e mandando mensagens.
Entao só consigo bloquea-lo fechando a porta 1863 !
Gostaria de saber, se com o squid é possivel controlar portas de comunicação alem da porta 80 !
Se for possivel, dai tenho a opção de alem de liberar as URL's do msn em horario programado, e liberar o trafefo na porta 1863 tambem em horario programado, evitando de ficar alterando o script todos os dias.
Desde ja sou grato
Abraços
Ricardo