Página 1 de 2 12 ÚltimoÚltimo
+ Responder ao Tópico



  1. #1

    Padrão msn ainda continua entrando squid autenticado

    Estou com o squid autenticado 2.7 + iptables então se o browser estiver configurado o msn só funciona com os usuários do squid que eu quero..mas se não estiver o usuário não navega em nada mas consegue entrar no msn..como bloquear isso para ele não ter acesso a internet de forma alguma já que o squid é autenticado??



    exemplo: chega um cliente de fora e conecta na nossa rede quando vejo o cara não navega em nada mas já está no msn e isso não pode acontecer.


    se eu forçar a configuração do proxy via GPO no windows 2003 até que funciona mas no caso da rede interna que loga no domínio mas tenho usuários que usam notebooks ai eles saeem do dominio e logam localmente então entram no msn..não sei mais o que fazer.

  2. #2

    Padrão

    Olá amigo...
    Então este assunto realmente as vezes aparece por aqui no fórum...
    Eu nunca precisei bloquear o msn da galera... mas resolvi fazer uns testes aqui ja que hoje estou com um tempo livre!
    Fiz uma pequenina rede local (só com meu computador) e instalei o squid por APT.

    Agreguei essas linhas ao meu squid.conf

    Código :
    acl localnet src 192.168.67.0/255.255.255.0
    acl msn url_regex -i gateway.dll
    acl msn2 req_mime_type -i ^application/x-msn-messenger$
    http_access deny msn
    http_access deny msn2
    http_access allow localhost
    http_access allow localnet

    E meu msn (o programa, não o webmessenger) não funcionou mais...
    Eu estou usando um squid 2.6.STABLE5 e ele não é autenticado nem transparente...
    Bem simples mesmo... mas funcionou... veja ai se te ajuda!
    Última edição por zenun; 11-09-2008 às 14:35.

  3. #3

    Padrão mais uma coisa

    Haaa esqueci de dizer que não estou usando nenhuma regra de iptables!
    Não habilitei encaminhamento de ipv4 no meu linux!
    E agreguei isso na FORWARD, para ter certeza de que não passará nada:

    Código :
    iptables -t filter -P FORWARD DROP
    sysctl -w net.ipv4.ip_forward=0

    Falowww

  4. #4

    Padrão

    eu tb consigo bloquear se a máquina estiver com o proxy configurado no browser o problema é quando a pessoa desmarca as configurações no browser.

  5. #5

    Padrão

    Citação Postado originalmente por lfernandosg Ver Post
    eu tb consigo bloquear se a máquina estiver com o proxy configurado no browser o problema é quando a pessoa desmarca as configurações no browser.
    Opa... então amigo...
    Testei depois sem isso e tive que agregar essas regras de iptables que estão descritas neste site --> Squid-Cache.org.br - A Casa Brasileira do Squid - Bloqueando MSN / WebMsn com iptables, ipchains e Squid

    Código :
    iptables -t filter -N msn
    iptables -t filter -A msn -p tcp --dport 1863 -j REJECT
    iptables -t filter -A msn -d loginnet.passport.com -j REJECT

    Desta forma o msn não vai conseguir sair pela forma tradicional, usando nat, e irá tentar fazer usando porta 80!
    Ai você para ele no squid!

    Tenta aee

  6. #6

    Padrão

    haaaaa claro qu e você vai ter que redirecionar o trafego para essa nova chain!

    Código :
    iptables -t filter -I FORWARD -j msn

    Eu fiz aqui assim e funcionou que é uma blz!!
    Tenta aee!!

  7. #7

    Padrão

    certo vou tentar segunda pois hoje estou fora da empresa mas uma dúvida:

    1)vou conseguir entrar com os usuários permitidos ou o iptables vai bloquear tudo? pois me parece que essa regra bloqueia o msn geral??
    2)tenho maquinas como a minha/diretoria que estão fora do proxy e acessam tudo essas regras não vão barrar o msn delas??

  8. #8

    Padrão

    Citação Postado originalmente por lfernandosg Ver Post
    certo vou tentar segunda pois hoje estou fora da empresa mas uma dúvida:

    1)vou conseguir entrar com os usuários permitidos ou o iptables vai bloquear tudo? pois me parece que essa regra bloqueia o msn geral??
    2)tenho maquinas como a minha/diretoria que estão fora do proxy e acessam tudo essas regras não vão barrar o msn delas??
    Concerteza irá barrar tudo...
    Mas ai é de você permitir essas máquinas antes..
    Ou ainda de fazer isso no seu proxy... porém acho mais simples fazer no iptables mesmo...

  9. #9

    Padrão

    esse é o problema barrar tudo eu tb sei...quero liberar somente os usuários permitidos no proxy....mas essa regar ai no iptables barra tudo eu for liberando as máquinas que quero vou ter ums lista absurdas de mac pois nessa época que a empresa exporta fruta vem inspetores do japão e EUA e eles tem um usuári chamado inspetor e sua senha no proxy para acessar msn...a cada uma semana muda de inspetor agora imagine se toda que ficar adicionando macs no servidor...vai ficar muito desorganizado.quero liberar por usuário!!

  10. #10

    Padrão

    Então cara... você deixa isso assim (bloqueando no iptables) e faz suas regras no proxy!
    Faz que determinados usuários tem permissão de acesso ao msn... no squid...

  11. #11

    Padrão

    Da uma olhada naquele site que te passei...
    Ele mostra como fazer as excessões!

  12. #12

    Padrão

    Prezado,

    E também não esqueça de bloquear no proxy, através de uma ACL, o ip correspondente ao msn, pois, quando se bloqueia endereços ou palavras no proxy, os usuários continuam a ter acesso ao site caso na barra de endereço seja digitado o ip do site, ao invés do nome.

  13. #13

    Padrão

    já estão bloqueados na acl..mas vou ver o site que o andre falou e testar...

  14. #14
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.980
    Posts de Blog
    5

    Padrão

    Seta o proxy no internet explorer, depois vai no msn, e termina de configurar com o usuário e a senha.

  15. #15

    Padrão

    osmano807,

    isso eu já faço nas máquinas da rede...como informei o problema está quando chega inspetores que vem do esterior...ou usuários "malas" que já sabem e desmarcam o proxy ou pior...usuários que trabalham com notebook que não loga no domínio e sim na sua conta pessoal...e ai como resolver dessa forma?

  16. #16
    MODERADOR-CHEFE Avatar de osmano807
    Ingresso
    Aug 2008
    Localização
    Araguari - Minas Gerais
    Posts
    1.980
    Posts de Blog
    5

    Padrão

    Bom, o único modo que vem na cabeça agora é um proxy transparente, ou +-, definil algumas regra de iptables para redirecionar os endereços do msn para o proxy.

  17. #17

    Padrão

    Citação Postado originalmente por osmano807 Ver Post
    Bom, o único modo que vem na cabeça agora é um proxy transparente, ou +-, definil algumas regra de iptables para redirecionar os endereços do msn para o proxy.
    Isso é o comportamento do msn quando você coloca um DROP nas portas dele na chain FORWARD!
    O que ele faz quando não consegue sair da forma tradicional é tentar na porta 80!
    Se o proxy estiver bem configurado, como mostrei e indiquei também um site, o msn não se conectará!

    Faloww

  18. #18

    Padrão

    vou dar uma olhada com calma nesse final de semana no link que vc passou....vi que vc manja de QoS com htb+iptables...como faço para priorizar a voz no htb+tc? fiz uns testes mas não funcionou...preciso priorizar as portas: 5060-5061, 10000-20000,ips do provedor voip, como faço?

  19. #19

    Padrão

    Citação Postado originalmente por lfernandosg Ver Post
    vou dar uma olhada com calma nesse final de semana no link que vc passou....vi que vc manja de QoS com htb+iptables...como faço para priorizar a voz no htb+tc? fiz uns testes mas não funcionou...preciso priorizar as portas: 5060-5061, 10000-20000,ips do provedor voip, como faço?
    Então camarada...

    Para priorizar trafego você precisar criar suas regras de tc mudando o tipo de fila da interface que por padrão é pfifo_fast
    para htb. Isso é o primeiro passo! O que muita gente não se liga é que para o controle de banda ser realizado com sucesso
    é necessário criar a qdisc de entrada e a de saida!!. Exemplo:

    Código :
    tc qdisc add dev eth0 root handle 1:0 htb default 255 # qdisc
    tc class add dev eth0 parent 1:0 classid 1:1 htb rate 100mbit  # root class
    tc class add dev eth0 parent 1:1 classid 1:11 htb rate 512kbit # child class
    tc class add dev eth0 parent 1:11 classid 1:112 htb rate 256kbit ceil 512kbit      # child class
    tc class add dev eth0 parent 1:11 classid 1:113 htb rate 256kbit ceil 512kbit      # child class
    tc qdisc add dev eth0 parent 1:112 handle 12:0 sfq # qdisc
    tc qdisc add dev eth0 parent 1:113 handle 13:0 sfq # qdisc

    Para você colocar o trafego dentro dessas regras de qos existem formas que pode ser com iptables ou mesmo com o aplicativo tc... No meu blog tem explicando como classificar o trafego para qos... da uma olhada...
    Não se esqueça que só se consegue fazer uma limitação de banda efetiva na SAÍDA de cada interface!

  20. #20

    Padrão

    olha para vc entender..meu link é de um 1mb preciso pegar 512 para dados e os outros 512 priorizar todo para voz então fiz assim:

    placa interna do firewall eth1:


    #!/bin/bash

    tc qdisc del dev eth1 root

    tc qdisc add dev eth1 root handle 1:0 htb default 50
    tc class add dev eth1 parent 1:0 classid 1:1 htb rate 1024kbit

    tc class add dev eth1 parent 1:1 classid 1:10 htb rate 512kbit ceil 512kbit prio 1 # voip
    tc class add dev eth1 parent 1:1 classid 1:20 htb rate 100kbit ceil 200kbit prio 2 # DNS / ACK / SYN / FIN
    tc class add dev eth1 parent 1:1 classid 1:30 htb rate 250kbit ceil 512kbit prio 3 # Terminal service
    tc class add dev eth1 parent 1:1 classid 1:40 htb rate 128kbit ceil 300kbit prio 4 # HTTP
    tc class add dev eth1 parent 1:1 classid 1:50 htb rate 128kbit ceil 400kbit prio 5 # Geral


    tc qdisc add dev eth1 parent 1:10 handle 10: pfifo limit 10
    tc qdisc add dev eth1 parent 1:20 handle 20: sfq perturb 10
    tc qdisc add dev eth1 parent 1:30 handle 30: sfq perturb 10
    tc qdisc add dev eth1 parent 1:40 handle 40: sfq perturb 10
    tc qdisc add dev eth1 parent 1:50 handle 50: sfq perturb 10


    tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 5060 0xffff flowid 1:10
    tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 5061 0xffff flowid 1:10
    tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 10000 0xffff flowid 1:10
    tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 20000 0xffff flowid 1:10
    tc filter add dev eth1 parent 1:0 protocol ip prio 2 u32 match ip sport 53 0xffff flowid 1:20
    tc filter add dev eth1 parent 1:0 protocol ip prio 3 u32 match ip sport 3389 0xffff flowid 1:30
    tc filter add dev eth1 parent 1:0 protocol ip prio 4 u32 match ip sport 80 0xffff flowid 1:40


    placa do externa(ip válido):

    #!/bin/bash

    tc qdisc del dev eth0 root

    tc qdisc add dev eth0 root handle 1:0 htb default 50
    tc class add dev eth0 parent 1:0 classid 1:1 htb rate 1024kbit

    tc class add dev eth0 parent 1:1 classid 1:10 htb rate 512kbit ceil 512kbit prio 1 # voip
    tc class add dev eth0 parent 1:1 classid 1:20 htb rate 100kbit ceil 200kbit prio 2 # DNS / ACK / SYN / FIN
    tc class add dev eth0 parent 1:1 classid 1:30 htb rate 250kbit ceil 512kbit prio 3 # Terminal service
    tc class add dev eth0 parent 1:1 classid 1:40 htb rate 128kbit ceil 300kbit prio 4 # HTTP
    tc class add dev eth0 parent 1:1 classid 1:50 htb rate 128kbit ceil 400kbit prio 5 # Geral


    tc qdisc add dev eth0 parent 1:10 handle 10: pfifo limit 10
    tc qdisc add dev eth0 parent 1:20 handle 20: sfq perturb 10
    tc qdisc add dev eth0 parent 1:30 handle 30: sfq perturb 10
    tc qdisc add dev eth0 parent 1:40 handle 40: sfq perturb 10
    tc qdisc add dev eth0 parent 1:50 handle 50: sfq perturb 10


    tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 5060 0xffff flowid 1:10
    tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 5061 0xffff flowid 1:10
    tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 10000 0xffff flowid 1:10
    tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 20000 0xffff flowid 1:10
    tc filter add dev eth0 parent 1:0 protocol ip prio 2 u32 match ip dport 53 0xffff flowid 1:20
    tc filter add dev eth0 parent 1:0 protocol ip prio 3 u32 match ip dport 3389 0xffff flowid 1:30
    tc filter add dev eth0 parent 1:0 protocol ip prio 4 u32 match ip dport 80 0xffff flowid 1:40


    o que posso melhorar ai? preciso priorizar a voz em 512k como te disse e na parte de dados colocar um limite apra o terminal service.


    se puder me ajudar agradeço muito.