msn ainda continua entrando squid autenticado

[lfernandosg]

Estou com o squid autenticado 2.7 + iptables então se o browser estiver configurado o msn só funciona com os usuários do squid que eu quero..mas se não estiver o usuário não navega em nada mas consegue entrar no msn..como bloquear isso para ele não ter acesso a internet de forma alguma já que o squid é autenticado??



exemplo: chega um cliente de fora e conecta na nossa rede quando vejo o cara não navega em nada mas já está no msn e isso não pode acontecer.


se eu forçar a configuração do proxy via GPO no windows 2003 até que funciona mas no caso da rede interna que loga no domínio mas tenho usuários que usam notebooks ai eles saeem do dominio e logam localmente então entram no msn..não sei mais o que fazer.

[zenun]

Olá amigo...
Então este assunto realmente as vezes aparece por aqui no fórum...
Eu nunca precisei bloquear o msn da galera... mas resolvi fazer uns testes aqui ja que hoje estou com um tempo livre!
Fiz uma pequenina rede local (só com meu computador) e instalei o squid por APT.

Agreguei essas linhas ao meu squid.conf

Código :

acl localnet src 192.168.67.0/255.255.255.0
acl msn url_regex -i gateway.dll
acl msn2 req_mime_type -i ^application/x-msn-messenger$
http_access deny msn
http_access deny msn2
http_access allow localhost
http_access allow localnet

E meu msn (o programa, não o webmessenger) não funcionou mais...
Eu estou usando um squid 2.6.STABLE5 e ele não é autenticado nem transparente...
Bem simples mesmo... mas funcionou... veja ai se te ajuda!

[zenun]

Haaa esqueci de dizer que não estou usando nenhuma regra de iptables!
Não habilitei encaminhamento de ipv4 no meu linux!
E agreguei isso na FORWARD, para ter certeza de que não passará nada:

Código :

iptables -t filter -P FORWARD DROP
sysctl -w net.ipv4.ip_forward=0

Falowww

[lfernandosg]

eu tb consigo bloquear se a máquina estiver com o proxy configurado no browser o problema é quando a pessoa desmarca as configurações no browser.

[zenun]

eu tb consigo bloquear se a máquina estiver com o proxy configurado no browser o problema é quando a pessoa desmarca as configurações no browser.

Opa... então amigo...
Testei depois sem isso e tive que agregar essas regras de iptables que estão descritas neste site --> Squid-Cache.org.br - A Casa Brasileira do Squid - Bloqueando MSN / WebMsn com iptables, ipchains e Squid

Código :

iptables -t filter -N msn
iptables -t filter -A msn -p tcp --dport 1863 -j REJECT
iptables -t filter -A msn -d loginnet.passport.com -j REJECT

Desta forma o msn não vai conseguir sair pela forma tradicional, usando nat, e irá tentar fazer usando porta 80!
Ai você para ele no squid!

Tenta aee

[zenun]

haaaaa claro qu e você vai ter que redirecionar o trafego para essa nova chain!

Código :

iptables -t filter -I FORWARD -j msn

Eu fiz aqui assim e funcionou que é uma blz!!
Tenta aee!!

[lfernandosg]

certo vou tentar segunda pois hoje estou fora da empresa mas uma dúvida:

1)vou conseguir entrar com os usuários permitidos ou o iptables vai bloquear tudo? pois me parece que essa regra bloqueia o msn geral??
2)tenho maquinas como a minha/diretoria que estão fora do proxy e acessam tudo essas regras não vão barrar o msn delas??

[zenun]

certo vou tentar segunda pois hoje estou fora da empresa mas uma dúvida:

1)vou conseguir entrar com os usuários permitidos ou o iptables vai bloquear tudo? pois me parece que essa regra bloqueia o msn geral??
2)tenho maquinas como a minha/diretoria que estão fora do proxy e acessam tudo essas regras não vão barrar o msn delas??

Concerteza irá barrar tudo...
Mas ai é de você permitir essas máquinas antes..
Ou ainda de fazer isso no seu proxy... porém acho mais simples fazer no iptables mesmo...

[lfernandosg]

esse é o problema barrar tudo eu tb sei...quero liberar somente os usuários permitidos no proxy....mas essa regar ai no iptables barra tudo eu for liberando as máquinas que quero vou ter ums lista absurdas de mac pois nessa época que a empresa exporta fruta vem inspetores do japão e EUA e eles tem um usuári chamado inspetor e sua senha no proxy para acessar msn...a cada uma semana muda de inspetor agora imagine se toda que ficar adicionando macs no servidor...vai ficar muito desorganizado.quero liberar por usuário!!

[zenun]

Então cara... você deixa isso assim (bloqueando no iptables) e faz suas regras no proxy!
Faz que determinados usuários tem permissão de acesso ao msn... no squid...

[zenun]

Da uma olhada naquele site que te passei...
Ele mostra como fazer as excessões!

[rmedice]

Prezado,

E também não esqueça de bloquear no proxy, através de uma ACL, o ip correspondente ao msn, pois, quando se bloqueia endereços ou palavras no proxy, os usuários continuam a ter acesso ao site caso na barra de endereço seja digitado o ip do site, ao invés do nome.

[lfernandosg]

já estão bloqueados na acl..mas vou ver o site que o andre falou e testar...

[osmano807]

Seta o proxy no internet explorer, depois vai no msn, e termina de configurar com o usuário e a senha.

[lfernandosg]

osmano807,

isso eu já faço nas máquinas da rede...como informei o problema está quando chega inspetores que vem do esterior...ou usuários "malas" que já sabem e desmarcam o proxy ou pior...usuários que trabalham com notebook que não loga no domínio e sim na sua conta pessoal...e ai como resolver dessa forma?

[osmano807]

Bom, o único modo que vem na cabeça agora é um proxy transparente, ou +-, definil algumas regra de iptables para redirecionar os endereços do msn para o proxy.

[zenun]

Bom, o único modo que vem na cabeça agora é um proxy transparente, ou +-, definil algumas regra de iptables para redirecionar os endereços do msn para o proxy.

Isso é o comportamento do msn quando você coloca um DROP nas portas dele na chain FORWARD!
O que ele faz quando não consegue sair da forma tradicional é tentar na porta 80!
Se o proxy estiver bem configurado, como mostrei e indiquei também um site, o msn não se conectará!

Faloww

[lfernandosg]

vou dar uma olhada com calma nesse final de semana no link que vc passou....vi que vc manja de QoS com htb+iptables...como faço para priorizar a voz no htb+tc? fiz uns testes mas não funcionou...preciso priorizar as portas: 5060-5061, 10000-20000,ips do provedor voip, como faço?

[zenun]

vou dar uma olhada com calma nesse final de semana no link que vc passou....vi que vc manja de QoS com htb+iptables...como faço para priorizar a voz no htb+tc? fiz uns testes mas não funcionou...preciso priorizar as portas: 5060-5061, 10000-20000,ips do provedor voip, como faço?

Então camarada...

Para priorizar trafego você precisar criar suas regras de tc mudando o tipo de fila da interface que por padrão é pfifo_fast
para htb. Isso é o primeiro passo! O que muita gente não se liga é que para o controle de banda ser realizado com sucesso
é necessário criar a qdisc de entrada e a de saida!!. Exemplo:

Código :

tc qdisc add dev eth0 root handle 1:0 htb default 255 # qdisc
tc class add dev eth0 parent 1:0 classid 1:1 htb rate 100mbit  # root class
tc class add dev eth0 parent 1:1 classid 1:11 htb rate 512kbit # child class
tc class add dev eth0 parent 1:11 classid 1:112 htb rate 256kbit ceil 512kbit      # child class
tc class add dev eth0 parent 1:11 classid 1:113 htb rate 256kbit ceil 512kbit      # child class
tc qdisc add dev eth0 parent 1:112 handle 12:0 sfq # qdisc
tc qdisc add dev eth0 parent 1:113 handle 13:0 sfq # qdisc

Para você colocar o trafego dentro dessas regras de qos existem formas que pode ser com iptables ou mesmo com o aplicativo tc... No meu blog tem explicando como classificar o trafego para qos... da uma olhada...
Não se esqueça que só se consegue fazer uma limitação de banda efetiva na SAÍDA de cada interface!

[lfernandosg]

olha para vc entender..meu link é de um 1mb preciso pegar 512 para dados e os outros 512 priorizar todo para voz então fiz assim:

placa interna do firewall eth1:


#!/bin/bash

tc qdisc del dev eth1 root

tc qdisc add dev eth1 root handle 1:0 htb default 50
tc class add dev eth1 parent 1:0 classid 1:1 htb rate 1024kbit

tc class add dev eth1 parent 1:1 classid 1:10 htb rate 512kbit ceil 512kbit prio 1 # voip
tc class add dev eth1 parent 1:1 classid 1:20 htb rate 100kbit ceil 200kbit prio 2 # DNS / ACK / SYN / FIN
tc class add dev eth1 parent 1:1 classid 1:30 htb rate 250kbit ceil 512kbit prio 3 # Terminal service
tc class add dev eth1 parent 1:1 classid 1:40 htb rate 128kbit ceil 300kbit prio 4 # HTTP
tc class add dev eth1 parent 1:1 classid 1:50 htb rate 128kbit ceil 400kbit prio 5 # Geral


tc qdisc add dev eth1 parent 1:10 handle 10: pfifo limit 10
tc qdisc add dev eth1 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev eth1 parent 1:30 handle 30: sfq perturb 10
tc qdisc add dev eth1 parent 1:40 handle 40: sfq perturb 10
tc qdisc add dev eth1 parent 1:50 handle 50: sfq perturb 10


tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 5060 0xffff flowid 1:10
tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 5061 0xffff flowid 1:10
tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 10000 0xffff flowid 1:10
tc filter add dev eth1 parent 1:0 protocol ip prio 1 u32 match ip sport 20000 0xffff flowid 1:10
tc filter add dev eth1 parent 1:0 protocol ip prio 2 u32 match ip sport 53 0xffff flowid 1:20
tc filter add dev eth1 parent 1:0 protocol ip prio 3 u32 match ip sport 3389 0xffff flowid 1:30
tc filter add dev eth1 parent 1:0 protocol ip prio 4 u32 match ip sport 80 0xffff flowid 1:40


placa do externa(ip válido):

#!/bin/bash

tc qdisc del dev eth0 root

tc qdisc add dev eth0 root handle 1:0 htb default 50
tc class add dev eth0 parent 1:0 classid 1:1 htb rate 1024kbit

tc class add dev eth0 parent 1:1 classid 1:10 htb rate 512kbit ceil 512kbit prio 1 # voip
tc class add dev eth0 parent 1:1 classid 1:20 htb rate 100kbit ceil 200kbit prio 2 # DNS / ACK / SYN / FIN
tc class add dev eth0 parent 1:1 classid 1:30 htb rate 250kbit ceil 512kbit prio 3 # Terminal service
tc class add dev eth0 parent 1:1 classid 1:40 htb rate 128kbit ceil 300kbit prio 4 # HTTP
tc class add dev eth0 parent 1:1 classid 1:50 htb rate 128kbit ceil 400kbit prio 5 # Geral


tc qdisc add dev eth0 parent 1:10 handle 10: pfifo limit 10
tc qdisc add dev eth0 parent 1:20 handle 20: sfq perturb 10
tc qdisc add dev eth0 parent 1:30 handle 30: sfq perturb 10
tc qdisc add dev eth0 parent 1:40 handle 40: sfq perturb 10
tc qdisc add dev eth0 parent 1:50 handle 50: sfq perturb 10


tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 5060 0xffff flowid 1:10
tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 5061 0xffff flowid 1:10
tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 10000 0xffff flowid 1:10
tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip dport 20000 0xffff flowid 1:10
tc filter add dev eth0 parent 1:0 protocol ip prio 2 u32 match ip dport 53 0xffff flowid 1:20
tc filter add dev eth0 parent 1:0 protocol ip prio 3 u32 match ip dport 3389 0xffff flowid 1:30
tc filter add dev eth0 parent 1:0 protocol ip prio 4 u32 match ip dport 80 0xffff flowid 1:40


o que posso melhorar ai? preciso priorizar a voz em 512k como te disse e na parte de dados colocar um limite apra o terminal service.


se puder me ajudar agradeço muito.