+ Responder ao Tópico



  1. #1

    Padrão Bloq WWW e libera MSN no Squid

    Olá, Parece meio bobo mas preciso que algumas maquinas da minha rede não tenha acesso na web, mas preciso usar MSN. Se bloqueio o ip no Squid não passa o MSN e se libero o MSN a WEB tb passa.

    Será q alguem pode me dar uma dica?

    Grato.

    Wellington TI Small

  2. #2
    pflamellas
    Visitante

    Padrão Bloq WWW e libera MSN no Squid

    Amigo,
    deixa eu ver se entendi o q vc quer.............
    Exemplo
    máquina 10.0.0.1 --pode acessar o MSN, mas não pode navegar na web
    se for isso usa uma regra tipo assim..
    #não navega pelo http diretamente
    iptables -A INPUT -s 10.0.0.1 -p tcp -dport 80 -j DROP
    #não acessa o squid
    iptables -A INPUT -s 10.0.0.1 -p tcp -dport 3128 -j DROP
    # não navega em https diretamente
    iptables -A INPUT -s 10.0.0.1 -p tcp -dport 443 -j DROP

    bom até aqui essa máquina não navega na internete
    agora vamos liberar o MSN
    iptables -A FORWARD -s 64.4.13.0/24 -d 10.0.0.1 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 1863 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 5190 -j ACCEPT
    iptables -A FORWARD -p tcp --dport 6901 -j ACCEPT
    iptables -A FROWARD -p udp --dport 6901 -j ACCEPT
    iptables -A FROWARD -p tcp --dport 6891:6900 -j ACCEPT
    iptables -A FORWARD -p udp --dport 6891:6900 -j ACCEPT

    com isso essa máquina não vai acessar a internet mas vai se conectar no MSN



  3. #3

    Padrão Bloq WWW e libera MSN no Squid

    Bom, complementando a visão do amigo.

    O Squid trabalha estritamente com alguns protocolos, não todos. Todos os protocolos que ele utiliza, ele pode oferecer um controle, como o que passa, o que não passa. No caso dos sites e dos clientes que não estão permitidos a utilizar a internet, você bloqueia no Squid. As outras coisas como ICQ, MSN e similares, você bloqueia por IPTables.

    Para isso, você pode criar uma lista com os IP's que NÃO podem acessar a internet (ou definir uma range, caso os IP's sejam seguidos) e bloquear o acesso do seguinte modo.

    Cria a lista no diretório /etc/squid/listas/permitidosmsn

    # touch /etc/squid/listas/nananana

    OK, feito isso, insira nela os endereços IP's que você precisa, lembrando que vale um por linha só.
    Depois adicione no Squid a seguinte acl:

    acl nananana src "/etc/squid/listas/nananana"
    http_access deny nananana

    Outro modo: Se os IP's forem todos consecutivos, você pode definir uma range, tipo:

    acl nananana src 192.168.0.1-192.168.0.10
    http_access deny nananana

    Mas para isso, você precisa que o seu IPTables não esteja bloqueando o MSN, é claro.


    Qualquer coisa, me manda MP ou e-mail, de preferência com o assunto definido, porque senão eu cafundo. Hehehe.


    Abraços!


    [/b]

  4. #4
    pflamellas
    Visitante

    Padrão Bloq WWW e libera MSN no Squid

    xstefanox,
    sua visão dentro do squid está perfeita...porém se ele estiver usando um MASQUERADE e os clientes desabilitarem o proxy ...todos irão navegar na internete....ele ainda vai ter que bloquear via iptables os clientes...somente neste caso
    Um abraço
    Paulo Fernando Lamellas



  5. #5

    Padrão Bloq WWW e libera MSN no Squid

    Ok, todas as postagens funcionaram muito bem estou até em duvida qual vou manter como permanente, quanto o problema do mascaramento no meu caso fica tudo bloqueado e só é possivel sair sem uma regra especifica atravez do Squid.

    Mais uma vez gostaria de agradecer a ajuda.

    Wellington TI Small

  6. #6

    Padrão Bloq WWW e libera MSN no Squid

    Citação Postado originalmente por pflamellas
    xstefanox,
    sua visão dentro do squid está perfeita...porém se ele estiver usando um MASQUERADE e os clientes desabilitarem o proxy ...todos irão navegar na internete....ele ainda vai ter que bloquear via iptables os clientes...somente neste caso
    Um abraço
    Paulo Fernando Lamellas
    Concordo plenamente com com seu ponto de vista. Existem meios para ele bloquear isso, um ótimo meio é utilizando o redirecionamento de portas na seguinte forma:

    # iptables -t nat -A PREROUTING -p tcp -i eth1 --dport 80 -j REDIRECT --to-port 3128

    Porém muito depende da forma que a rede dele é feita. Para efetuar isso, o gateway da internet e o Squid devem ser a mesma máquina.

    Outra maneira de fazer é bloquear o acesso a essas mudanças utilizando o registro. O usuário poderia logar-se no SAMBA e já ter o seu registro alterado.

    EU acho que é mais fácil bloquear o MSN utilizando IPTABLES + Squid do que instalar um módulo para bloquear ele...

    Qualquer coisa, lê o meu guia falando sobre isso, disponível em http://www.facic.fuom.br/~guilherme/stefano

    A versão disponível lá é a 1.0, porém a 1.1 está falando sobre o lance de redirecionamento de portas, se quiser eu envio por e-mail. (Mal, mas propaganda é a alma do negócio, hehehe).


    Abraços!