+ Responder ao Tópico



  1. Senhores

    Tenho o SQUID 2.5 e iptables rodando em um server na minha rede.
    Sempre tive o msn e webmail bloqueado para a rede interna.
    Para bloquear o msn, fecho a porta 1863 e uso uma ACL no squid para bloquear inumeras URL's que o msn acessa.
    Mas o fato é o seguinte, o gerente da empresa em que trabalho, me pediu para liberar o msn e webmail no horario de almoço.
    Ja criei a ACL com o horario e dias que estao liberados. O webmail funcionou perfeito, mas o msn nao funcionou, porque tenho que ir manualmente no firewall, e descomentar a linha que bloqueia o acesso a porta 1863 para a rede interna.
    Esta linha eu libero o acesso ao msn, mas se for comentada, bloqueia o msn:

    iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.0/24 -p tcp --dport 1863 -o eth0


    Entao todos os dias tenho que alterar o script do iptables liberando a porta 1863 e depois do horario, fechar novamente esta porta.

    COMANDOS USADOS

    Após a linha onde redireciono a porta 80 para 3128 do squid, coloquei a seguinte linha:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128

    No squid.conf, antes das ACL's de bloqueio e liberação, coloquei a seguinte ACL:

    acl porta_msn port 1863
    http_access allow porta_msn


    E tambem, nas ACL's que decrevem as portas seguras, tambem adicionei a seguinte linha:

    acl Safe_ports port 1863

    Com estas configurações acima, ainda nao funcionou.
    Lembrando que, mesmo tendo regras no squid para bloquear as URL's do msn, mas se a porta 1863 estiver liberada, o msn se conecta normalmente. Fico observando no log, o squid da DENIED em todas as URL's do msn, mas o maldito ainda continua conectado e mandando mensagens.
    Entao só consigo bloquea-lo fechando a porta 1863 !

    Gostaria de saber, se com o squid é possivel controlar portas de comunicação alem da porta 80 !
    Se for possivel, dai tenho a opção de alem de liberar as URL's do msn em horario programado, e liberar o trafefo na porta 1863 tambem em horario programado, evitando de ficar alterando o script todos os dias.

    Desde ja sou grato
    Abraços


    Ricardo

  2. Citação Postado originalmente por ricardodru Ver Post
    Senhores

    Tenho o SQUID 2.5 e iptables rodando em um server na minha rede.
    Sempre tive o msn e webmail bloqueado para a rede interna.
    Para bloquear o msn, fecho a porta 1863 e uso uma ACL no squid para bloquear inumeras URL's que o msn acessa.
    Mas o fato é o seguinte, o gerente da empresa em que trabalho, me pediu para liberar o msn e webmail no horario de almoço.
    Ja criei a ACL com o horario e dias que estao liberados. O webmail funcionou perfeito, mas o msn nao funcionou, porque tenho que ir manualmente no firewall, e descomentar a linha que bloqueia o acesso a porta 1863 para a rede interna.
    Esta linha eu libero o acesso ao msn, mas se for comentada, bloqueia o msn:

    iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.0/24 -p tcp --dport 1863 -o eth0


    Entao todos os dias tenho que alterar o script do iptables liberando a porta 1863 e depois do horario, fechar novamente esta porta.

    COMANDOS USADOS

    Após a linha onde redireciono a porta 80 para 3128 do squid, coloquei a seguinte linha:

    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128

    No squid.conf, antes das ACL's de bloqueio e liberação, coloquei a seguinte ACL:

    acl porta_msn port 1863
    http_access allow porta_msn


    E tambem, nas ACL's que decrevem as portas seguras, tambem adicionei a seguinte linha:

    acl Safe_ports port 1863

    Com estas configurações acima, ainda nao funcionou.
    Lembrando que, mesmo tendo regras no squid para bloquear as URL's do msn, mas se a porta 1863 estiver liberada, o msn se conecta normalmente. Fico observando no log, o squid da DENIED em todas as URL's do msn, mas o maldito ainda continua conectado e mandando mensagens.
    Entao só consigo bloquea-lo fechando a porta 1863 !

    Gostaria de saber, se com o squid é possivel controlar portas de comunicação alem da porta 80 !
    Se for possivel, dai tenho a opção de alem de liberar as URL's do msn em horario programado, e liberar o trafefo na porta 1863 tambem em horario programado, evitando de ficar alterando o script todos os dias.

    Desde ja sou grato
    Abraços


    Ricardo

    Uma saida ia ser voce usar no cron um script para liberar e depois bloquer com o iptables em horarios programados.

    Existe tambem uma flag no iptables para horarios. da uma olhada tanto no cron como no man do iptables que é interessante esta regra.

    qualquer coisa posta ai. aqui uso layer 7 para msn skype etc, e controlo horarios no cron com scripts.



  3. eu acho interessante o uso do cron tb.... tipo às 11 da manha o cron irá rodar um script q libera o msn... às 13:00 ele roda um script q fecha tudo novamente...

    assim vc nao precisa fazer o trabalho manualmente...

    tipo, dá pra vc criar duas regras de firewall , uma com a regra de bloqueio do msn rodando e uma com o bloqueio desativado... aí as 11 carrega a liberada e as 13 carrega a bloqueada


    ps. lembrando de colocar nessas regras de firewall o flush das chains


    flw

  4. e normal sim, se vc nao bloquear no firewall a porta, o msn se conecta mesmo, mesmo vc bloqueando no squid, so funciona usando em conjunto mesmo...



  5. Senhores

    Realmente o squid nao consegue trancar a porta 1863 !
    Entao resolvi o problema da seguinte forma:

    Criei uma copia do meu script de firewall, no qual inseri uma linha abrindo a porta 1863.
    Entao fiquei com 2 scripts de firewall semelhantes. Sendo que um abre a porta 1863 e o outro tranca a porta 1863.
    Depois configurei o cron para executa-los nos horarios desejados.

    Agradeço a todos que colaboraram !!

    Abraços

    Ricardo






Tópicos Similares

  1. Squid para controle de upload com CBQ
    Por beroso no fórum Sistemas Operacionais
    Respostas: 7
    Último Post: 27-12-2008, 15:01
  2. Porta 80 fica sem controle de banda com proxy
    Por phmenoni no fórum Redes
    Respostas: 6
    Último Post: 19-07-2006, 07:53
  3. Redirecionamento de porta com squid
    Por no fórum Servidores de Rede
    Respostas: 19
    Último Post: 14-12-2004, 15:01
  4. Controle de acesso com squid
    Por lcacjr no fórum Servidores de Rede
    Respostas: 1
    Último Post: 08-10-2004, 11:14
  5. Firewall com controle de portas
    Por haas no fórum Servidores de Rede
    Respostas: 2
    Último Post: 29-03-2004, 15:27

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L