Bloqueio do MSN não está 100%
Citação:
Postado originalmente por gustavo_marcon
Aproveitando o tópico, alguém sabe como faço para bloquear o msn para toda a rede e ir liberando somente p.ara alguns usuários?
Olá. Eu tenho isso aqui na empresa, mas não tenho esse controle de horário, então veja se serve para você:
- a rede toda passa pelo squid
- tenho um arquivo chamado de "diretoria", onde estao os IPs dos micros que podem acessar todos os sites e o MSN atraves de uma acl no squid
# neste arquivo estao os IPs um por um
acl diretoria src "/etc/squid/diretoria"
# neste vc poe a rede, ex: 192.168.0.0
acl outros src "/etc/squid/outros"
#palavras não permitidas, onde tenho varios endereços de webMSN e a palavra messenger
acl negados_outros url_regex -i "/etc/squid/negados_outros"
Dai depois vc vai ter as regras bloqueando ao grupo "outros" os sites de "negados_outros" e liberando tudo ao grupo "diretoria"
e, para complementar, no meu firewall tenho isso:
### bloqueando MSN MESSENGER e ICQ efetivamente mas liberando para diretoria #####
#---------------------------------------------------------------------------------
for a in `cat /etc/squid/diretoria`; do
$IPT -A FORWARD -p tcp -s $a -d 65.54.239.0/24 -j ACCEPT
$IPT -A FORWARD -p tcp -s $a -d login.icq.com -j ACCEPT
done
$IPT -A FORWARD -p tcp -d login.icq.com -j DROP
$IPT -A FORWARD -p tcp -d 65.54.239.0/24 -j DROP
é isso =)
Espero ter ajudado.
Bloqueio do MSN não está 100%
Tá aí uma questão interessante. Vamos ver o quanto nós conseguimos destrinchar o assunto.
O amigo autor do tópico fala que ele utiliza um controle de horário para o MSN. No horário de almoço a galera tá liberada pra utilizar, mas quando o Squid teoricamente não é para permitir mais conexões com destino ao site do MSN, ele aceita.
Agora, a pergunta que todos devem estar fazendo e que não quer calar de jeito algum: POR QUÊ?.
Pelo o que eu andei sniffando a rede aqui, descobri que quando uma pessoa faz uma requisição para se conectar ao MSN por HTTP (Passando pelo Squid), ele faz uma requisição à um determinado endereço, aquele famosinho que tem a palavra-chave gateway.dll no meio e que é bloqueado na lista de palavras negadas do Squid. Depois disso não é feita nenhuma outra requisição, pois uma conexão TCP/IP é estabelecida. O tráfego que acontece não deve ser HTTP, por isso ele não rola por cima do Squid.
A solução do problema seria, de fato, reiniciar o serviço do Squid, mas mesmo assim os usuários não cairiam do MSN por já estarem conectados e utilizando o NAT do Kernel.
De qualquer forma, é uma sugestão de estudo, pois é um assunto interessante esse e eu estou realmente pensando em como fazer esse controle.
Um abraço!
Bloqueio do MSN não está 100%
Citação:
Postado originalmente por Super_Diaulas
Não sou um ás em iptables mas não seria uma regra como esta no teu firewall???
--state ESTABLISHED,RELATED -j ACCEPT
Exato! nao poderia ser mais preciso.
Se voce tiver uma regra dessa o -j DROP deve vir antes dela, isso porque o drop vindo depois, nao adianta porque o pacote sera beneficiado por pertecer a uma conexao estabelecida previamente.
Voce pode fazer o seguinte, porem isso derruba todas as conexoes :twisted:
No momento que ele vai carregar as regras para bloquear voce faz um DROP geral momentaneo:
Código :
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP
iptables -X
iptables -F
Entao depois disso ele deve carregar as regras padrao, pode seria muito mais facil definir um DROP antes do RELATED,ESTABLISHED