SQUID + MSN = Ninguem resolve!!!

[rsoto]

Oi, trabalho numa escola e estou com um serio problema, nao consigo + barrar o msn dos laboratorios depois que instalei o squid e nao posso barrar ele todo pelo squid porque a administração ultiliza, como estou trabalhando com apenas 1 faixa de ip nao consigo. Como posso bloquear o msn em apenas alguns ip´s????

iptables -A FORWARD -p tcp -s ipquequerbloquear -d ipdomsn -j DROP

[rsoto]

Essa linha de comando funcionava ate o squid estragar tudo... Como ultilizo proxy transparente na consigo, eles se conectam pelo squid.

[The-shadow]

bem.. n sei se funciona, mas é uma questão de investigar.. uma boa solução seria n bloquear os clientes, mas blokear o servidor msn. vc instala um sniffer (o ettercap é mto bom para isso) e verifica onde os msn's se estão a ligar..depois disso configura o squid para n deixar ng se ligar a esse servidor.. deve resultar.. experimente

[MAJOR]

Ok rsoto vou explicar para vc como eu fiz aqui na faculdade.

tenho um servidor de proxy que tambem é meu firewall.

fiz assim no meu firewall disponibilizei o repasse de pacote apenas para a maquinas que eu quero q tenha acesso ao msn.


no squid dei denny na palavra msn

tambem configurei meu servidor dhcpd para identificar o hardware das maquinas que tem o repasse de pacote ativado assim configurando um ip fixo pra elas.
ai depois é so instalar o msn na maquina que vc liberou o repasse que ja era , enquanto as outras fica com deny na palavra msn!

espero ter ajudado e se tiver alguma duvida posta ai, pois agora estou um pouco apressado!

abracos! :wink:

[rsoto]

Certo, essas saidas todas eu sei, so que vc continuam a nao entender... Todos os meus clientes passam pelo squid e se barrar o msn pelo squid eu barro todo mundo.. o grande problema aqui é esse: Nao posso barrar o msn de todo mundo.. entendem... so dos clientes do laboratorio..

[edisonlcp]

bloqueia o input desses ips.
8O

[linuxfull]

Faz o seguinte, no seu firewall bloqueie a porta 1863

no meu caso uso o ipchains

/sbin/ipchains -A input -p TCP -b --sport 1863 -j DENY
/sbin/ipchains -A input -p TCP -b --dport 1863 -j DENY

depois vai no squid e cria a seguinte acl´s:

acl messenger urlpath_regex gateway.dll

e depois bloqueia:

http_access deny messenger

isso irá bloquear todas as máquinas que passam pelo squid, já para liberar máquinas em específico faça o seguinte.

- crie um arquivo em algum diretorio, pode ser do squid mesmo

touch ip_liberado

abra o arquivo

vi ip_liberado

coloque os ip´s que vc quer liberar o aceso dentro do arquivo, pode ser um embaixo do outro. Salve e vai até o squid e cria a acl antes da acl do messneger

acl ip_liberado src "/etc/squid/ip_liberado"

e o http_access tb antes do messenger

http_access allow ip_liberado

restart o squid e ira funcionar, bom pelo menos no meu sistema resolveu e está funcionando.

Até mais

Linuxfull

[Mav3r1ck]

mando bem linuxfull, mas o segredo de como barrar o msn pelo squid demorei muito para desvendar, mas felizmente hoje só acessa o msn quem está liberado.

só tenho uma sugestão/alteração a fazer:

troque:
acl messenger urlpath_regex gateway.dll

por:
acl messenger req_mime_type ^application/x-msn-messenger$

E definitivamente funciona.

Mav3r1ck

[linuxfull]

eu tb ja tinha visto neste esquema que vc falou.....é que já estou usando esse a algum tempo e está funcionando bem...mas pelo que vi e ouvi falar tb funciona bem... valeu fera....
té mais


LinuxFull

Não rsoto, acho que vc nao entendeu.


se vc so passar pacotes para os micros que vc queira que entrem no msn, uma vez instalado o msn eles vao entrar. certeza.

e
enquanto o seu laboratorio que nao tem repasse de pacote, vai parar no squid.

entende?


Abracos

MAJOR :wink:

Po pessoal achei uma maneira bem mais simples.
apenas coloquei entre as palavras proibidas msn, assim quando o msn vai se altenticar ele para ai.
Rsoto, acho que vc nao entendeu.

se vc so passar pacotes para os micros que vc queira que entrem no msn, uma vez instalado o msn eles vao entrar. certeza.

e
enquanto o seu laboratorio que nao tem repasse de pacote, vai parar no squid.

entende?

Abracos

MAJOR :wink:

[rsoto]

Valew galera muito obrigado mesmo... Consegui barrar a minha lista ultilizando o iptables o squid nao deixa mais passar nada... Muito obrigado...

[fmbraga]

mando bem linuxfull, mas o segredo de como barrar o msn pelo squid demorei muito para desvendar, mas felizmente hoje só acessa o msn quem está liberado.

só tenho uma sugestão/alteração a fazer:

troque:
acl messenger urlpath_regex gateway.dll

por:
acl messenger req_mime_type ^application/x-msn-messenger$

E definitivamente funciona.

Mav3r1ck

eu possuo a regra do gateway.dll, funciona entre "´s . quando eu faço o mascaramento da rede interna ele nao funciona, o msn nem precisa colocar o proxy nas configurações do msn. quando nao faço o mascaramento ele passa pelo proxy e fica bloqueado. Eu possuo autenticação no proxy e a permissao do msn eh dada por usuario. outra coisa para esclarecer, qdo fecho o FORWARD todo ele passaelo proxy e conseqentemente bloqueia. eu preciso fazer o mascaramento por causa do outlook e etc... Alguém tem alguma explicação, eh urgente....

Não rsoto, acho que vc nao entendeu.


se vc so passar pacotes para os micros que vc queira que entrem no msn, uma vez instalado o msn eles vao entrar. certeza.

e
enquanto o seu laboratorio que nao tem repasse de pacote, vai parar no squid.

entende?


Abracos

MAJOR :wink:

[gatoseco]

Faz o seguinte mano usa essas regras que vou colocar aqui abaixo:
Coloca elas pra rodar no seu rc.local ou no seu script de firewall que vai dar certo !!!


# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d loginnet.passport.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/32 -d loginnet.passport.com -j REJECT

# Host liberados
iptables -A FORWARD -s 192.168.0.2/32 -d webmessenger.msn.com -j ACCEPT
# Bloqueando os demais
iptables -A FORWARD -s 192.168.0.0/32 -d webmessenger.msn.com -j REJECT

Pelo squid mesmo utilizando acls vc pode fazer o seguinte

acl msn dstdomain loginnet.passport.com
http_access deny msn
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
http_access deny msnmessenger

http_access deny MSN
Bloqueando WebMensseger
acl webmsn dstdomain webmessenger.msn.com
http_access deny webmsn

e ai pra galera que vc quer que use cria uma acl pra liberar tudo

acl maqliberada src 192.168.0.0/255.255.255.255
http_access maqliberada allow


Mas e mais simples e rapido e confiavel fazer com iptables


Valeu mano qualquer coisa posta ai !!!