+ Responder ao Tópico



  1. #1

    Exclamation Controle de portas com o SQUID

    Senhores

    Tenho o SQUID 2.5 e iptables rodando em um server na minha rede.
    Sempre tive o msn e webmail bloqueado para a rede interna.
    Para bloquear o msn, fecho a porta 1863 e uso uma ACL no squid para bloquear inumeras URL's que o msn acessa.
    Mas o fato é o seguinte, o gerente da empresa em que trabalho, me pediu para liberar o msn e webmail no horario de almoço.
    Ja criei a ACL com o horario e dias que estao liberados. O webmail funcionou perfeito, mas o msn nao funcionou, porque tenho que ir manualmente no firewall, e descomentar a linha que bloqueia o acesso a porta 1863 para a rede interna.
    Esta linha eu libero o acesso ao msn, mas se for comentada, bloqueia o msn:

    iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.0/24 -p tcp --dport 1863 -o eth0


    Entao todos os dias tenho que alterar o script do iptables liberando a porta 1863 e depois do horario, fechar novamente esta porta.

    COMANDOS USADOS

    Após a linha onde redireciono a porta 80 para 3128 do squid, coloquei a seguinte linha:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128

    No squid.conf, antes das ACL's de bloqueio e liberação, coloquei a seguinte ACL:

    acl porta_msn port 1863
    http_access allow porta_msn


    E tambem, nas ACL's que decrevem as portas seguras, tambem adicionei a seguinte linha:

    acl Safe_ports port 1863

    Com estas configurações acima, ainda nao funcionou.
    Lembrando que, mesmo tendo regras no squid para bloquear as URL's do msn, mas se a porta 1863 estiver liberada, o msn se conecta normalmente. Fico observando no log, o squid da DENIED em todas as URL's do msn, mas o maldito ainda continua conectado e mandando mensagens.
    Entao só consigo bloquea-lo fechando a porta 1863 !

    Gostaria de saber, se com o squid é possivel controlar portas de comunicação alem da porta 80 !
    Se for possivel, dai tenho a opção de alem de liberar as URL's do msn em horario programado, e liberar o trafefo na porta 1863 tambem em horario programado, evitando de ficar alterando o script todos os dias.

    Desde ja sou grato
    Abraços


    Ricardo

  2. #2

    Padrão

    Citação Postado originalmente por ricardodru Ver Post
    Senhores

    Tenho o SQUID 2.5 e iptables rodando em um server na minha rede.
    Sempre tive o msn e webmail bloqueado para a rede interna.
    Para bloquear o msn, fecho a porta 1863 e uso uma ACL no squid para bloquear inumeras URL's que o msn acessa.
    Mas o fato é o seguinte, o gerente da empresa em que trabalho, me pediu para liberar o msn e webmail no horario de almoço.
    Ja criei a ACL com o horario e dias que estao liberados. O webmail funcionou perfeito, mas o msn nao funcionou, porque tenho que ir manualmente no firewall, e descomentar a linha que bloqueia o acesso a porta 1863 para a rede interna.
    Esta linha eu libero o acesso ao msn, mas se for comentada, bloqueia o msn:

    iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.0/24 -p tcp --dport 1863 -o eth0


    Entao todos os dias tenho que alterar o script do iptables liberando a porta 1863 e depois do horario, fechar novamente esta porta.

    COMANDOS USADOS

    Após a linha onde redireciono a porta 80 para 3128 do squid, coloquei a seguinte linha:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128

    No squid.conf, antes das ACL's de bloqueio e liberação, coloquei a seguinte ACL:

    acl porta_msn port 1863
    http_access allow porta_msn


    E tambem, nas ACL's que decrevem as portas seguras, tambem adicionei a seguinte linha:

    acl Safe_ports port 1863

    Com estas configurações acima, ainda nao funcionou.
    Lembrando que, mesmo tendo regras no squid para bloquear as URL's do msn, mas se a porta 1863 estiver liberada, o msn se conecta normalmente. Fico observando no log, o squid da DENIED em todas as URL's do msn, mas o maldito ainda continua conectado e mandando mensagens.
    Entao só consigo bloquea-lo fechando a porta 1863 !

    Gostaria de saber, se com o squid é possivel controlar portas de comunicação alem da porta 80 !
    Se for possivel, dai tenho a opção de alem de liberar as URL's do msn em horario programado, e liberar o trafefo na porta 1863 tambem em horario programado, evitando de ficar alterando o script todos os dias.

    Desde ja sou grato
    Abraços


    Ricardo

    Uma saida ia ser voce usar no cron um script para liberar e depois bloquer com o iptables em horarios programados.

    Existe tambem uma flag no iptables para horarios. da uma olhada tanto no cron como no man do iptables que é interessante esta regra.

    qualquer coisa posta ai. aqui uso layer 7 para msn skype etc, e controlo horarios no cron com scripts.



  3. #3

    Padrão

    eu acho interessante o uso do cron tb.... tipo às 11 da manha o cron irá rodar um script q libera o msn... às 13:00 ele roda um script q fecha tudo novamente...

    assim vc nao precisa fazer o trabalho manualmente...

    tipo, dá pra vc criar duas regras de firewall , uma com a regra de bloqueio do msn rodando e uma com o bloqueio desativado... aí as 11 carrega a liberada e as 13 carrega a bloqueada


    ps. lembrando de colocar nessas regras de firewall o flush das chains


    flw

  4. #4

    Padrão

    e normal sim, se vc nao bloquear no firewall a porta, o msn se conecta mesmo, mesmo vc bloqueando no squid, so funciona usando em conjunto mesmo...



  5. #5

    Talking Controle de portas com o SQUID [RESOLVIDO !!]

    Senhores

    Realmente o squid nao consegue trancar a porta 1863 !
    Entao resolvi o problema da seguinte forma:

    Criei uma copia do meu script de firewall, no qual inseri uma linha abrindo a porta 1863.
    Entao fiquei com 2 scripts de firewall semelhantes. Sendo que um abre a porta 1863 e o outro tranca a porta 1863.
    Depois configurei o cron para executa-los nos horarios desejados.

    Agradeço a todos que colaboraram !!

    Abraços

    Ricardo