Bloqueio msn squid autenticado

[lfernandosg]

Tenho squid autenticado e libero o msn com a acl abaixo:


#MSN S� PARA USUARIOS DESSA ACL##################
acl bloqueiamsn url_regex -i "/etc/squid/bloqueiamsn"
acl g_liberado proxy_auth itamar carlos.eduardo fernandocomercial alisson neide ademario marinalva fernando rmartins vicente handerson
http_access deny bloqueiamsn !g_liberado


dentro do bloqueiamsn teho todos os ips e sites que o msn conecta.


em cada usuário que tem o msn liberado, coloco todos os links permitindo o acesso ao msn mesmo assim dá como negado.
só que a liberação não está funcionando para todo mundo...para funcionar, tenho que colocar alguns sites do msn detro de uma acl que não pede autenticação.

essa acl vem antes da acl acima:

#SITES QUE N�O PRECISAM DE AUTENTICACAO COM SENHA
acl NO_AUTH url_regex -i '/etc/squid/no_auth_url'
http_access allow NO_AUTH


e de dentro do no_auth tenho vários links e ips do msn.

como faço para liberar o msn somente para esses usuários?

[danillorc]

com o msn 9 e 2011 vc só consegue bloquear com o iptables também pq o msn procura outras rotas para abrir, eu faço assim:

no iptables vc coloca os ips dos clientes para liberar ou bloquear
iptables -A FORWARD -s 192.168.1.253 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.1.253 -d loginnet.passport.com -j REJECT

no squid vc coloca as acl

acl mns1 dstdomain "/usr/local/squid/restricoes/msn"
acl msn2 url_regex x-msn
acl msn3 url_regex -i gateway\.dll

http_access deny msn1
http_access deny msn2
http_access deny msn3

no arquivo msn vc coloca os seguinte dominios

br.msn.com
loginnet.passport.com
passport.com
msn.com.br
msn.com
sc.msn.com
MSN | Hotmail | Messenger | Nieuws, sport, entertainment, video, lifestyle, auto en nog veel meer, dat is MSN !
207.46.110.11
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com

[lfernandosg]

Acho que você não entendeu....

Bloquear o msn eu consigo, preciso agora liberar somente para alguns usuários.

faço o bloqueio geral e libero via acl g_liberado para alguns usuários mas o msn continua sem acessar...só volta a funcionar quando coloco os links para não pedir autenticação dentro de no_auth.

OBS: o boloqueio já funciona diretamente no squid como te disse e minha rede é dhcp, logo, não posso utilizar o iptables com regras por ip.

Entendeu agora?

[danillorc]

Pode, eu uso dhcp, amarro o ip ao mac no squid, faço tudo via script as acls do squid, crio as regras de dhcp, com um banco de dados onde fica o ip, mac, etc... e script.
Amigo, depende de vc, se vc pode bloquear vc pode também liberar.
Vc pode criar um banco de dados em mysql onde vc cadastra os usuarios: nome, mac, ip etc...

e criar um scrip em php ou shell

liberacli.php

#----------------------------------------------------------------------------------------------
#!/usr/bin/php -q

<?
{

$link = mysqli_connect("localhost", "root", "senha") or die ("Não foi possível conectar1");
mysqli_select_db($link,"dados") or die("Não foi possível selecionar o banco de dados2");

$select = "SELECT * FROM clientes where msn = true order by codigo";
if ($select != "") {
$Query = mysqli_query($link, $select) or die (mysql_error($link));

$i = 0;
while ($row = mysqli_fetch_array($Query)) {
$i++;
$iptables2 = shell_exec('sudo iptables -F msn');
$iptables2 = shell_exec('sudo iptables -X msn');
$iptables2 = shell_exec('sudo iptables -N msn');
$iptables2 = shell_exec('sudo iptables -A INPUT -j msn');
$iptables2 = shell_exec('sudo iptables -A FORWARD -j msn');
$iptables2 = shell_exec('sudo iptables -F msn');
$iptables2 = shell_exec('iptables -A msn -s '.$row['ip'].' -p tcp --dport 1863 -j REJECT');
$iptables2 = shell_exec('iptables -A msn -s '.$row['ip'].' -d loginnet.passport.com -j REJECT');


}

}

}

?>
#----------------------------------------------------------------------------------------------


Nesse Script, vc filtra os clientes que vão receber restrição ao msn, os outros não serão bloqueados e cria uma chain msn e adciona a regras, se for necessário liberar ou bloquear outros, vc cria uma pagina em php onde os cliente irão receber no campo msn o valor true ou false e depois manda rodar o script quem tiver com o campo msn true fica bloqueado quem não tiver fica liberado.

Add. msn: [email protected]

[lfernandosg]

não tem outra forma sem ter que usar mysql + php?

tipo como estou fazendo acima?

criando um regra de bloqueio e liberando só para alguns usuários?

Sei que mysql é mais robusto mas só vale a pena quando teno muitos usuários e na rede toda s;o tenho 40 usuários e poucos que acessam o mss.

Deve ter uma forma tipo aque estou fazendo...na verdade era para funcionar se seguir a lógica das acls mas não sei porque tenho que colocar os ips e links do hotmail/msn na acl que não precisa de autenticação.

Estranho isso pois se um usuário tem permissão para acessar os links mesmo que seja por autenticação, isso deveria estar liberado para ele não?

[danillorc]

Scrip para o dhcp;

#----------------------------------------------------------------------------------
#!/usr/bin/php -q

<?
{

$link = mysqli_connect("localhost", "root", "senha") or die ("Não foi possível conectar1");
mysqli_select_db($link,"dados") or die("Não foi possível selecionar o banco de dados2");

$select = "SELECT * FROM clientes order by nome";
if ($select != "") {
$Query = mysqli_query($link, $select) or die (mysql_error($link));
$Cliente = fopen("/etc/dhcp3/dhcpd.conf","w");

fwrite($Cliente,'ddns-update-style none;'."\n");
fwrite($Cliente,'default-lease-time 600;'."\n");
fwrite($Cliente,'max-lease-time 7200;'."\n");
fwrite($Cliente,'authoritative;'."\n");

fwrite($Cliente,'#definindo a rede que o dhcp ira funcionar'."\n");
fwrite($Cliente,'subnet 192.168.1.0 netmask 255.255.255.0 {'."\n");
fwrite($Cliente,'#range 192.168.1.1 192.168.1.199;'."\n");
fwrite($Cliente,'option routers 192.168.1.1;'."\n");
fwrite($Cliente,'option domain-name-servers 2.2.2.1,2.2.2.2,2.2.2.3;'."\n");
fwrite($Cliente,'option broadcast-address 192.168.1.255;'."\n");
fwrite($Cliente,''."\n");
fwrite($Cliente,'#maq com ip fixo'."\n");

$i = 0;
while ($row = mysqli_fetch_array($Query)) {
$i++;
$Host = 'host IP'.$i.' {';
$MAC = 'hardware ethernet '.$row['mac'].';';
$IP = 'fixed-address '.$row['ip'].';';

$Todos1 = $Host."\n";
$Todos2 = $MAC."\n";
$Todos3 = $IP."\n";

fwrite($Cliente,$Todos1);
fwrite($Cliente,$Todos2);
fwrite($Cliente,$Todos3);
fwrite($Cliente,'}'."\n");
}


fwrite($Cliente,'}'."\n");
fclose($Cliente);

}

}

$killsquid = system('sudo /etc/init.d/dhcp3-server restart', $retkill);

?>

#----------------------------------------------------------------------------------

[lfernandosg]

Bom dia amigo..como te disse, não tem como fazer isso sem ser por banco de dados? tenho poucos usuários e fica inviável usar banco nesse meu caso.

desde já agradeço,

[danillorc]

vc já tentou fazer a mesma regra só que liberando

#AQUI VC BLOQUEIA
acl bloqueiamsn url_regex -i "/etc/squid/bloqueiamsn"
acl g_liberado proxy_auth itamar carlos.eduardo fernandocomercial
http_access deny bloqueiamsn !g_liberado

#AQUI VC LIBERA
acl bloqueiamsn1 url_regex -i "/etc/squid/bloqueiamsn"
acl g_liberado1 proxy_auth alisson neide ademario marinalva fernando rmartins vicente handerson
http_access allow bloqueiamsn1 !g_liberado1

onde vc bloqueia o: itamar carlos.eduardo fernandocomercial
e libera o: alisson neide ademario marinalva fernando rmartins vicente handerson