+ Responder ao Tópico



  1. #1

    Padrão Bloquear MSN com Squid e Dansguardian

    Galera, blz? Estou apanhando para bloquear o MSN sem bloquear o e-mail do hotmail.
    A Microsoft mudou a forma de autenticação do Messenger.
    Estava acompanhando o log do dansguardian e verifiquei o seguinte:

    Se entrar no site do hotmail ele utiliza o seguinte domínio, pela porta 80:
    TCP_MISS/200 1376 GET http://login.live.com/favicon.ico - DEFAULT_PARENT/127.0.0.1 text/html

    Mas o MSN Messenger ele utiliza o mesmo domínio citado acima, porém na porta 443:
    TCP_MISS/200 17393 CONNECT https://login.live.com:443 - DEFAULT_PARENT/127.0.0.1 -

    Vejam... não estou conseguindo barrar o Messenger sem barrar o e-mail do hotmail.

    Alguém tem alguma solução?

  2. #2

    Padrão

    Albernaz, esse favicon.ico é aquele ícone miniatura que os navegadores mais novos dão suporte, quando você abre a url, antes ele mostro um ícone em miniatura do site. Creio que isso não está interferindo no bloqueio ou não do msn aí na sua rede.

    Vide: Favicon.ico - Logo do site na barra de endereço - Homehost

    Na minha rede aqui eu bloqueio o msn apenas negando a palavra "gateway.dll" numa acl de expressões negadas. As máquinas que são permitidas eu faço a conexão direta pelo firewall, liberando a porta 1863.

    Como estão suas regras para o bloqueio do msn?
    Grande abraço



  3. #3

    Padrão

    Citação Postado originalmente por cristianff Ver Post
    Albernaz,

    Na minha rede aqui eu bloqueio o msn apenas negando a palavra "gateway.dll" numa acl de expressões negadas. As máquinas que são permitidas eu faço a conexão direta pelo firewall, liberando a porta 1863.

    Como estão suas regras para o bloqueio do msn?
    Grande abraço
    Obrigado pela resposta...
    Minhas regras de bloqueio do MSN ficam no squid.conf em uma ACL, inclusive esta bloqueando o "gateway.dll", mas não funciona.
    Pelos fórums que li eu percebi que o problema é comum, mas não li nenhuma resposta que funcione. Dizem que o Dansguardian anulam as ACL's do squid.
    Não consigo implementar no dansguardian o controle de horário, a limitação de banda, e por isto tenho que fazer no squid.conf.
    Última edição por albernaz; 02-10-2007 às 11:18. Razão: Correção

  4. #4

    Padrão

    Caro Cristianff
    Complementando ...
    Também tentei bloquear pelo Dansguardian o MSN ... assim:

    No arquivo bannedmimetypelist inseri a seguinte linha:
    application/x-msn-messenger
    e no arquivo bannedregexpurllist inseri as seguintes linhas:
    (gateway.dll|msnmsgr.exe|msmsgs.exe)
    (loginnet.passport.com)

    Mas também não funcionou !!!

    Mas além disso, há outra dúvida !!! ... é que alguns sites, como o orkut.com é para ser bloqueado, mas liberado no horário de almoço... Acho que pelo Dansguardian não tem como fazer isto, então faço pelo squid.conf ... hehe, mas também não funciona... veja:
    acl worktimemanha time MTWHF 08:00-12:00
    acl worktimetarde time MTWHF 14:00-18:00
    acl urlsnaolivres dstdomain -i "/etc/squid/sitesblock"
    http_access allow urlsnaolivres !worktimemanha !worktimetarde


    Abraços.



  5. #5

  6. #6

    Padrão

    Citação Postado originalmente por rogeriokde Ver Post
    IPTABLES te intereça??
    O problema citado acima eu já até resolvi por ACL's mesmo... era as ordens das ACL's que não deixava funcionar... agora está OK... agradeço a todos.

    O problema que estou tendo com o Squid + Dansguardian é que só chega para o squid requisições como 127.0.0.1 (localhost) e por isto não consigo fazer ACL's por IP.
    No meu trampo há regras que liberam o ORKUT e MSN no horário de almoço e após as 18h00 para todos... este já está prontinho (segue modelo abaixo) ... mas para alguns IP's é necessário que fique liberado o dia inteiro... AFFF

    Acho que terei que fazer o seguinte: Liberar o MSN em alguma porta específica e fazer regras de IPTABLES para sairem não passando pelo Dansguardian na 8080 ... única solução que encontrei até o momento...

    squid.conf

    # Acl para definicao de horario de acesso
    acl manha time MTWHF 06:00-07:59
    acl almoco time MTWHF 12:00-13:59
    acl noite time MTWHF 18:00-21:00

    # ACLs para bloquear o acesso ao Messenger, Orkut e Gtalk
    acl orkut url_regex -i orkut.com
    acl gmail url_regex -i chatenabled.mail.google.com talk.google.com b.mail.google.com

    http_access deny orkut !manha !almoco !noite
    http_access deny gmail !manha !almoco !noite

    acl msn req_mime_type -i ^application/x-msn-messenger$
    acl msn1 url_regex -i gateway.dll gateway.html gateway2.html sqmserver.dll
    acl msn2 url_regex -i ADSAdClient31.dll
    acl msn3 dstdomain loginnet.passport.com config.messenger.msn.com omega.contacts.msn.com
    #acl libmsn src '/etc/squid/ip_msn'

    http_access deny msn !almoco !noite
    http_access deny msn1 !almoco !noite
    http_access deny msn2 !almoco !noite
    http_access deny msn3 !almoco !noite
    .................................



  7. #7

    Padrão

    Bom dia albernaz, creio que agora a solução está fácil. Se você necessita liberar certas máquinas o dia inteiro (chefia, seu micro, etc), basta você usar uma regra do iptables pra liberar a porta 1863:

    ### Regra para liberar o ip 192.168.0.12
    iptables -t nat -A POSTROUTING -s 192.168.0.12 -p tcp --dport 1863 -j MASQUERADE

    Assim por diante para as máquinas que você queira que o msn funcione o dia inteiro! Apenas verifique suas regras FORWARD, se está ACCEPT para a rede interna, senão você terá que liberar o tráfego que está passando pelo seu firewall para os ips específicos na porta 1863, mas se a política estiver ACCEPT para a rede interna, basta acrescentar a regra acima.

    Espero ter ajudado, qualquer dúvida posta aí.

    Abraços

  8. #8

    Thumbs up

    Valeu Cristianff pela dica... irei testá-la...