+ Responder ao Tópico



  1. 29-01-2008, 17:55 #1
    Edilmar
    Edilmar está desconectado
    Avatar de Edilmar
    Ingresso
    Aug 2005
    Posts
    197

    Padrão msn novo 1 x 0 {iptables + squid}

    Ola,

    Tenho um servidor Fedora 7 com os segtes softwares:
    - kernel: 2.6.23.12-52.fc7
    - squid: squid-2.6.STABLE16-2.fc7
    - iptables: iptables-1.3.8-6.fc7

    Minha rede deve permitir que todo mundo acesse o MSN menos um usuario (IP = 192.168.0.171). Contudo, todo mundo, inclusive o 171, esta acessando...

    Meu script de firewall tem estas regras:
    Código :
    iptables -t filter -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j REJECT
iptables -t filter -A FORWARD -s 192.168.0.171 -d messenger.msn.com -j REJECT
iptables -t filter -A FORWARD -s 192.168.0.171 -d webmessenger.msn.com -j REJECT
iptables -t filter -A FORWARD -s 192.168.0.171 -d login.passport.net -j REJECT
iptables -t filter -A FORWARD -s 192.168.0.171 -d loginnet.passport.com -j REJECT
    No squid.conf:
    Código :
    acl acessar_MSN src 192.168.0.0/24
acl naoacessar_MSN src 192.168.0.171/32
acl regra_MSN1 dstdomain "/etc/squid/msn1.txt"
acl regra_MSN2 url_regex "/etc/squid/msn2.txt"
acl regra_MSN3 url_regex -i /gateway/gateway.dll
    e depois tem tambem:
    Código :
    http_access allow acessar_MSN
http_access deny naoacessar_MSN regra_MSN1
http_access deny naoacessar_MSN regra_MSN2
http_access deny naoacessar_MSN regra_MSN3
    sendo que o arquivo msn1 contem a lista de sites que o MSN costuma usar e msn2.txt contem x-msn.

    O que sera que esta faltando na minha configuracao?

    Agradeco a ajuda...
    Citação Citação
  2. 30-01-2008, 04:46 #2
    lucianogf
    lucianogf está desconectado
    - Avatar de lucianogf
    Ingresso
    Apr 2003
    Posts
    3.735
    Posts de Blog
    16

    Padrão

    experimenta colocar uma regra em PREROUTING bloqueando o msn antes da regra de redirecionamento para o proxy
    Citação Citação
  3. 30-01-2008, 11:07 #3
    Edilmar
    Edilmar está desconectado
    Avatar de Edilmar
    Ingresso
    Aug 2005
    Posts
    197

    Padrão

    Tentei fazer esta regra antes do redirect pro squid, de forma a mudar para uma porta invalida:

    Código :
    iptables -t nat -A PREROUTING -s 192.168.0.171 -p tcp --dport $MSN -j REDIRECT --to-port 65535
    e o status do firewall ficou assim em um trecho do nat:
    Código :
    -------------------------------
Listar configuracao: nat ...
-------------------------------
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination
REDIRECT   tcp  --  192.168.0.171        anywhere            tcp dpt:msnp redir ports 65535
REDIRECT   tcp  --  192.168.0.0/24      !200.201.174.0/24    tcp dpt:http redir ports 3128
    Mesmo assim esta conectando...
    Citação Citação
  4. 30-01-2008, 16:33 #4
    lucianogf
    lucianogf está desconectado
    - Avatar de lucianogf
    Ingresso
    Apr 2003
    Posts
    3.735
    Posts de Blog
    16

    Padrão

    tente bloquear por string..
    Citação Citação
  5. 30-01-2008, 17:58 #5
    Edilmar
    Edilmar está desconectado
    Avatar de Edilmar
    Ingresso
    Aug 2005
    Posts
    197

    Padrão

    Eu nao tenho instalado aqui aquele modulo que bloqueia por string no iptables, pois nao quiz recompilar o kernel com suporte para isso. Ate porque ja me falaram o servidor comeca a ficar bem lento.
    Citação Citação
  6. 31-01-2008, 15:47 #6
    zenun
    zenun está desconectado
    Avatar de zenun
    Ingresso
    Sep 2005
    Localização
    Rio de Janeiro
    Posts
    502
    Posts de Blog
    10

    Padrão

    Olha cara... a melhor forma de bloquear o msn é recompilar seu kernel com suporte a layer7!
    Citação Citação



« Tópico Anterior | Próximo Tópico »