bloqueia a palavra gateway.dll no squid
Versão Imprimível
bloqueia a palavra gateway.dll no squid
Uso uma acl assim:
acl msn url_regex -i loginnet.passport.com nexus.passport.com services.msn.com bay7.oe.hotmail.com gateway.messenger.hotmail.com oe.hotmail.com webmessenger.net e-messenger.net gateway.dll
http_access deny msn
E no iptables:
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 1863 -j REJECT --reject-with icmp-host-prohibited
Conosco tem funcionado. ;)
[]'s
https://under-linux.org/noticia4730.html
leia esse artigo e os poste nele, fui eu que escrevi, se mesmo assim não conseguir, posta ae que eu te ajudo.. abraço
olá
o msn usa a porta 1863 para se conectar caso não consiga estabelecer
comunicação ele procura na porta 80 os outros servidores....
então
bloquei a porta 1863, e bloquei a porta 80 e cire uma acl com as palavras usadas
nos servidores do msn como,
gateway.dll ,msn ,menssager, etc.
fiz isso e bloqueou ...
espero ter ajudado...
hehehe, essa é a grande dor de cabeça de muita gente e a cada versão as incansáveis regras do squid acabam sendo furradas.
Seguinte pessoal, depois de muito estudar o caso e passar horas mesmos fazendo refinamentos, o único jeito de bloquear o msn pelo squid é esse aqui.
Antes de criar as novas acls adicionar mais uma porta para a acl Safe_ports.
acl Safe_ports port 1863 # Messenger
Agora vamos criar as nossas.
# MSN
acl msn dstdomain "/etc/squid/acls/msn"
Nessa acl adicionar os endereços de conexão do messenger
gateway.messenger.hotmail.com
messenger.hotmail.com
webmessenger.msn.com
messenger.msn.com
g.msn.com
svcs.microsoft.com
microsoft.com
msn.com.br
msn.com
rad.msn.com
loginnet.passport.com
passportimages.com
acl msndst dst "/etc/squid/acls/msndst"
Aqui está o segredo do negócio. Observe que quando vc conecta no messenger a sua estação estabelece conexão com um ip da faixa 207.x.x.x.
Então alimente o esta acl com o valor
207.0.0.0./8
Sei que esta rede é classe C mas só funcionou pondo como classe A
acl msnhosts src "/etc/squid/acls/msnhosts"
Nesta acl alimente os ips que vão ser liberados para acessar o messenger.
192.168.1.10
192.168.1.55
...
# Liberar hosts para msn
http_access allow msnhosts msn
http_access allow msnhosts msndst
Bom, é isso ai, trabalhe com suas demais regras e prontinho. Ponha essas regras no inicio dos http_access antes de liberar sua rede para navegação. Não precisa fazer deny em nemhuma das regras, mas se quizer faça assim.
http_access allow msnhosts msn
http_access allow msnhosts msndst
http_access deny msndst
Obs.: No seu iptables bloquei a saida na porta 1863 e porta 80 se seu proxy não for transparente. E assim vc vai forçar a saida de HTTP e Messenger pelo proxy configurando o seu browser manualmente.
Caso seu proxy seja transparente só basta bloquear a porta 1863 já que vc está redirecionando toda conexão HTTP para o seu proxy.
Com certeza isso vai dar certo, tenho trocentos servidores e funfa 100%.
valeu!