+ Responder ao Tópico



  1. #11
    flep
    Citação Postado originalmente por gustavo_marcon
    Aproveitando o tópico, alguém sabe como faço para bloquear o msn para toda a rede e ir liberando somente p.ara alguns usuários?
    Olá. Eu tenho isso aqui na empresa, mas não tenho esse controle de horário, então veja se serve para você:
    - a rede toda passa pelo squid
    - tenho um arquivo chamado de "diretoria", onde estao os IPs dos micros que podem acessar todos os sites e o MSN atraves de uma acl no squid


    # neste arquivo estao os IPs um por um
    acl diretoria src "/etc/squid/diretoria"

    # neste vc poe a rede, ex: 192.168.0.0
    acl outros src "/etc/squid/outros"

    #palavras não permitidas, onde tenho varios endereços de webMSN e a palavra messenger
    acl negados_outros url_regex -i "/etc/squid/negados_outros"

    Dai depois vc vai ter as regras bloqueando ao grupo "outros" os sites de "negados_outros" e liberando tudo ao grupo "diretoria"

    e, para complementar, no meu firewall tenho isso:
    ### bloqueando MSN MESSENGER e ICQ efetivamente mas liberando para diretoria #####
    #---------------------------------------------------------------------------------
    for a in `cat /etc/squid/diretoria`; do
    $IPT -A FORWARD -p tcp -s $a -d 65.54.239.0/24 -j ACCEPT
    $IPT -A FORWARD -p tcp -s $a -d login.icq.com -j ACCEPT
    done
    $IPT -A FORWARD -p tcp -d login.icq.com -j DROP
    $IPT -A FORWARD -p tcp -d 65.54.239.0/24 -j DROP

    é isso =)

    Espero ter ajudado.

  2. Tá aí uma questão interessante. Vamos ver o quanto nós conseguimos destrinchar o assunto.

    O amigo autor do tópico fala que ele utiliza um controle de horário para o MSN. No horário de almoço a galera tá liberada pra utilizar, mas quando o Squid teoricamente não é para permitir mais conexões com destino ao site do MSN, ele aceita.

    Agora, a pergunta que todos devem estar fazendo e que não quer calar de jeito algum: POR QUÊ?.

    Pelo o que eu andei sniffando a rede aqui, descobri que quando uma pessoa faz uma requisição para se conectar ao MSN por HTTP (Passando pelo Squid), ele faz uma requisição à um determinado endereço, aquele famosinho que tem a palavra-chave gateway.dll no meio e que é bloqueado na lista de palavras negadas do Squid. Depois disso não é feita nenhuma outra requisição, pois uma conexão TCP/IP é estabelecida. O tráfego que acontece não deve ser HTTP, por isso ele não rola por cima do Squid.

    A solução do problema seria, de fato, reiniciar o serviço do Squid, mas mesmo assim os usuários não cairiam do MSN por já estarem conectados e utilizando o NAT do Kernel.

    De qualquer forma, é uma sugestão de estudo, pois é um assunto interessante esse e eu estou realmente pensando em como fazer esse controle.


    Um abraço!



  3. #13
    whinston
    Citação Postado originalmente por xstefanox
    Tá aí uma questão interessante. Vamos ver o quanto nós conseguimos destrinchar o assunto.

    O amigo autor do tópico fala que ele utiliza um controle de horário para o MSN. No horário de almoço a galera tá liberada pra utilizar, mas quando o Squid teoricamente não é para permitir mais conexões com destino ao site do MSN, ele aceita.

    Agora, a pergunta que todos devem estar fazendo e que não quer calar de jeito algum: POR QUÊ?.

    Pelo o que eu andei sniffando a rede aqui, descobri que quando uma pessoa faz uma requisição para se conectar ao MSN por HTTP (Passando pelo Squid), ele faz uma requisição à um determinado endereço, aquele famosinho que tem a palavra-chave gateway.dll no meio e que é bloqueado na lista de palavras negadas do Squid. Depois disso não é feita nenhuma outra requisição, pois uma conexão TCP/IP é estabelecida. O tráfego que acontece não deve ser HTTP, por isso ele não rola por cima do Squid.

    A solução do problema seria, de fato, reiniciar o serviço do Squid, mas mesmo assim os usuários não cairiam do MSN por já estarem conectados e utilizando o NAT do Kernel.

    De qualquer forma, é uma sugestão de estudo, pois é um assunto interessante esse e eu estou realmente pensando em como fazer esse controle.


    Um abraço!
    suas colocações foram corretas stefano, mas olha soh..
    tenho cliente que nao tem NAT, pra nao pegar spyware e tal.
    como eles tem mail server local, nao tem necessidade de usar outras portas, entao por isto não tem NAT, apenas o squid.
    o problema acontece da mesma forma.
    axo que eh pq na hora que o cara de autentica, ou na hora da primeira conexao, o squid ve la: bom, hora do rango, o cara pode, libera. os outros pacotes vao tudo no "vacuo", nao precisando mais se autenticar, axo que eh ae que tao problema.
    neste caso, uma solucao seria realmente agendar pro squid reiniciar a cada 300min. por exemplo

  4. #14
    felco
    Citação Postado originalmente por Super_Diaulas
    Não sou um ás em iptables mas não seria uma regra como esta no teu firewall???


    --state ESTABLISHED,RELATED -j ACCEPT
    Exato! nao poderia ser mais preciso.

    Se voce tiver uma regra dessa o -j DROP deve vir antes dela, isso porque o drop vindo depois, nao adianta porque o pacote sera beneficiado por pertecer a uma conexao estabelecida previamente.

    Voce pode fazer o seguinte, porem isso derruba todas as conexoes :twisted:
    No momento que ele vai carregar as regras para bloquear voce faz um DROP geral momentaneo:

    Código :
    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT DROP
    iptables -X
    iptables -F

    Entao depois disso ele deve carregar as regras padrao, pode seria muito mais facil definir um DROP antes do RELATED,ESTABLISHED



  5. #15
    whinston
    com relação ao iptables, tudo bem
    mas e com relação ao squid?






Tópicos Similares

  1. bloqueio do msn não funciona mais
    Por silmar no fórum Servidores de Rede
    Respostas: 19
    Último Post: 01-12-2004, 09:54
  2. Bloqueio do MSN no IPFW
    Por Matuzalem_ no fórum Sistemas Operacionais
    Respostas: 1
    Último Post: 11-05-2004, 10:07
  3. Meu SMTP do Qmail não esta funcionando Rede Externa!!!!
    Por maiconovic no fórum Servidores de Rede
    Respostas: 3
    Último Post: 18-10-2003, 09:08
  4. VirtualHost nao esta 100%
    Por no fórum Servidores de Rede
    Respostas: 2
    Último Post: 17-02-2003, 16:06
  5. O bloqueio do MSN
    Por no fórum Servidores de Rede
    Respostas: 1
    Último Post: 15-01-2003, 12:05

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L