+ Responder ao Tópico



  1. Bom dia colegas,

    Consegui bloquear o MSN via Iptables. As regras abaixo liberam o acessos somente para o host 192.168.100.2.

    $IPTABLES -A OUTPUT -s 192.168.100.2 -o $IF_EXT -d 207.46.96.0/19 -j ACCEPT
    $IPTABLES -A FORWARD -s 192.168.100.2 -o $IF_EXT -d 207.46.96.0/19 -j ACCEPT
    $IPTABLES -A OUTPUT -d 207.46.96.0/19 -j DROP
    $IPTABLES -A FORWARD -d 207.46.96.0/19 -j DROP

    Só que pelo Squid não consigo nem por reza. Já tentei todas (ou quase todas) as regras usando as dicas fornecidas em sites específicos, tais como:

    acl msnmessenger url_regex -i gateway.dll
    acl MSN req_mime_type ^application/x-msn-messenger$

    ...entre outras.

    Segue as acl's de meu squid.conf

    acl manager proto cache_object
    acl localhost src 127.0.0.1/32
    acl ips src 192.168.100.4 192.168.100.5
    acl rede src 192.168.100.0/24
    acl all src 0.0.0.0/0.0.0.0
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl CONNECT method CONNECT
    acl liberado url_regex -i "/usr/local/squid/etc/whitelist/liberado"
    acl hacking url_regex -i "/usr/local/squid/etc/blacklist/hacking"
    acl outros url_regex -i "/usr/local/squid/etc/blacklist/outros"
    acl porno url_regex -i "/usr/local/squid/etc/blacklist/porno"
    acl download urlpath_regex \.exe$ \.zip$ \.arj$ \.rar$ \.avi$ \.mpg$ \.mpeg$ \.mpe$ \.wav$ \.wma$ \.wmv$ \.mp3$ \.mov$ \.asf$ \.com$ \.pif$ \.scr$ \.bat$ \.vqf$ \.tar.gz$ \.gz$ \.bz2$ \.rpm$ \.ram$ \.rm$ \.iso$ \.raw$

    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow liberado
    http_access allow ips
    http_access allow rede !hacking !outros !porno !download
    http_access deny all

    Quais regras posso adicionar e em qual ordem de leitura para que estas sejam válidas?

    Desde já, agradeço a atenção.

  2. olá, bom dia, vou te ajudar nessa

    seguinte:


    O msn ele utiliza duas maneiras pra se autenticar, uma eh a porta 1863, e a outra ele utiliza a porta 80 e busca o arquivo chamado gateway.dll, pra barra o msn vc precisa do squid + iptables

    iptables vc barra a porta de forward 1863
    squid vc utiliza pra barra o gateway.dll

    então no arquivo onde vc coloca os sites que n deveram acessa, vc coloca esse nome gateway.dll

    agora bora deixa seu squid transparente...

    iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128

    se squid tiver na mesma maquina onde ta o firewall, troque o DNAT por REDIRECT

    iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

    lembrando que 192.168.1.0/24 é o ip da sua rede interna e o 192.168.1.1 é o ip onde ta o squid.

    aqui, como ta tudo drop, eu n barro a porta 1863, eu só faço liberar pra algumas maquinas, mas vou manda a regra pra barra-la

    iptables -A FORWARD -s 182.168.1.0/24 -p tcp --dport 1863 -j DROP

    qualquer duvida posta ae
    espero ter ajudado pelo menos um pouco



  3. só pra lembrar, pra seu squid aceita o modo transparente, vc tem que adiciona no squid.conf isso

    httpd_accel_host virtual
    httpd_accel_port 80
    httpd_accel_with_proxy on
    httpd_accel_uses_host_header on
    fui

  4. Meu squid está configurado como proxy transparente sim e já possuo uma regra de redirecionamento.

    Consegui o que queria, graças à sua ajuda Brenno. Acrescentei duas acl's e também pequenas modificações, fazendo assim exatamente o planejo por mim, que é não só bloquear o MSN, mas liberar para determinados hosts/ips. Segue abaixo as modificações:

    acl manager proto cache_object
    acl localhost src 127.0.0.1/32
    acl ips src 192.168.100.4 192.168.100.5
    acl msn_ips src 192.168.100.6 #libera msn para este host
    acl rede src 192.168.100.0/24
    acl all src 0.0.0.0/0.0.0.0
    acl SSL_ports port 443 563
    acl Safe_ports port 80 # http
    acl Safe_ports port 21 # ftp
    acl Safe_ports port 443 563 # https, snews
    acl Safe_ports port 70 # gopher
    acl Safe_ports port 210 # wais
    acl Safe_ports port 1025-65535 # unregistered ports
    acl Safe_ports port 280 # http-mgmt
    acl Safe_ports port 488 # gss-http
    acl Safe_ports port 591 # filemaker
    acl Safe_ports port 777 # multiling http
    acl Safe_ports port 901 # SWAT
    acl CONNECT method CONNECT
    acl msn url_regex -i gateway.dll
    acl liberado url_regex -i "/usr/local/squid/etc/whitelist/liberado"
    acl hacking url_regex -i "/usr/local/squid/etc/blacklist/hacking"
    acl outros url_regex -i "/usr/local/squid/etc/blacklist/outros"
    acl porno url_regex -i "/usr/local/squid/etc/blacklist/porno"
    acl download urlpath_regex \.exe$ \.zip$ \.arj$ \.rar$ \.avi$ \.mpg$ \.mpeg$ \.mpe$ \.wav$ \.wma$ \.wmv$ \.mp3$ \.mov$ \.asf$ \.com$ \.pif$ \.scr$ \.bat$ \.vqf$ \.tar.gz$ \.gz$ \.bz2$ \.rpm$ \.ram$ \.rm$ \.iso$ \.raw$

    http_access allow manager localhost
    http_access deny manager
    http_access deny !Safe_ports
    http_access deny CONNECT !SSL_ports
    http_access allow localhost
    http_access allow liberado
    http_access allow msn_ips msn
    http_access allow ips !msn
    http_access allow redes !hacking !outros !porno !download !msn

    http_access deny all

    Obrigado pela ajuda,

    Mauro Garcia Jr.









Tópicos Similares

  1. Como colocar Banner no MSN via squid?
    Por ccampus no fórum Redes
    Respostas: 3
    Último Post: 07-09-2009, 10:34
  2. Bloquear MSN com Squid e Dansguardian
    Por albernaz no fórum Servidores de Rede
    Respostas: 7
    Último Post: 30-10-2007, 09:23
  3. Bloquear MSN pelo Squid :: Sem utilizar iptables
    Por petrolina360graus no fórum Sistemas Operacionais
    Respostas: 10
    Último Post: 06-06-2006, 16:26
  4. Como faço para bloquear o MSN via ipchains?
    Por DigoSampa no fórum Servidores de Rede
    Respostas: 4
    Último Post: 15-01-2003, 10:20
  5. Bloquear via Squid
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 09-11-2002, 23:40

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L