Bloquear MSN via Squid

[Garcia]

Bom dia colegas,

Consegui bloquear o MSN via Iptables. As regras abaixo liberam o acessos somente para o host 192.168.100.2.

$IPTABLES -A OUTPUT -s 192.168.100.2 -o $IF_EXT -d 207.46.96.0/19 -j ACCEPT
$IPTABLES -A FORWARD -s 192.168.100.2 -o $IF_EXT -d 207.46.96.0/19 -j ACCEPT
$IPTABLES -A OUTPUT -d 207.46.96.0/19 -j DROP
$IPTABLES -A FORWARD -d 207.46.96.0/19 -j DROP

Só que pelo Squid não consigo nem por reza. Já tentei todas (ou quase todas) as regras usando as dicas fornecidas em sites específicos, tais como:

acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type ^application/x-msn-messenger$

...entre outras.

Segue as acl's de meu squid.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl ips src 192.168.100.4 192.168.100.5
acl rede src 192.168.100.0/24
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl CONNECT method CONNECT
acl liberado url_regex -i "/usr/local/squid/etc/whitelist/liberado"
acl hacking url_regex -i "/usr/local/squid/etc/blacklist/hacking"
acl outros url_regex -i "/usr/local/squid/etc/blacklist/outros"
acl porno url_regex -i "/usr/local/squid/etc/blacklist/porno"
acl download urlpath_regex \.exe$ \.zip$ \.arj$ \.rar$ \.avi$ \.mpg$ \.mpeg$ \.mpe$ \.wav$ \.wma$ \.wmv$ \.mp3$ \.mov$ \.asf$ \.com$ \.pif$ \.scr$ \.bat$ \.vqf$ \.tar.gz$ \.gz$ \.bz2$ \.rpm$ \.ram$ \.rm$ \.iso$ \.raw$

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow liberado
http_access allow ips
http_access allow rede !hacking !outros !porno !download
http_access deny all

Quais regras posso adicionar e em qual ordem de leitura para que estas sejam válidas?

Desde já, agradeço a atenção.

[Brenno]

olá, bom dia, vou te ajudar nessa

seguinte:


O msn ele utiliza duas maneiras pra se autenticar, uma eh a porta 1863, e a outra ele utiliza a porta 80 e busca o arquivo chamado gateway.dll, pra barra o msn vc precisa do squid + iptables

iptables vc barra a porta de forward 1863
squid vc utiliza pra barra o gateway.dll

então no arquivo onde vc coloca os sites que n deveram acessa, vc coloca esse nome gateway.dll

agora bora deixa seu squid transparente...

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j DNAT --to-destination 192.168.1.1:3128

se squid tiver na mesma maquina onde ta o firewall, troque o DNAT por REDIRECT

iptables -t nat -A PREROUTING -s 192.168.1.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128

lembrando que 192.168.1.0/24 é o ip da sua rede interna e o 192.168.1.1 é o ip onde ta o squid.

aqui, como ta tudo drop, eu n barro a porta 1863, eu só faço liberar pra algumas maquinas, mas vou manda a regra pra barra-la

iptables -A FORWARD -s 182.168.1.0/24 -p tcp --dport 1863 -j DROP

qualquer duvida posta ae
espero ter ajudado pelo menos um pouco

[Brenno]

só pra lembrar, pra seu squid aceita o modo transparente, vc tem que adiciona no squid.conf isso

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

fui

[Garcia]

Meu squid está configurado como proxy transparente sim e já possuo uma regra de redirecionamento.

Consegui o que queria, graças à sua ajuda Brenno. Acrescentei duas acl's e também pequenas modificações, fazendo assim exatamente o planejo por mim, que é não só bloquear o MSN, mas liberar para determinados hosts/ips. Segue abaixo as modificações:

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl ips src 192.168.100.4 192.168.100.5
acl msn_ips src 192.168.100.6 #libera msn para este host
acl rede src 192.168.100.0/24
acl all src 0.0.0.0/0.0.0.0
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl CONNECT method CONNECT
acl msn url_regex -i gateway.dll
acl liberado url_regex -i "/usr/local/squid/etc/whitelist/liberado"
acl hacking url_regex -i "/usr/local/squid/etc/blacklist/hacking"
acl outros url_regex -i "/usr/local/squid/etc/blacklist/outros"
acl porno url_regex -i "/usr/local/squid/etc/blacklist/porno"
acl download urlpath_regex \.exe$ \.zip$ \.arj$ \.rar$ \.avi$ \.mpg$ \.mpeg$ \.mpe$ \.wav$ \.wma$ \.wmv$ \.mp3$ \.mov$ \.asf$ \.com$ \.pif$ \.scr$ \.bat$ \.vqf$ \.tar.gz$ \.gz$ \.bz2$ \.rpm$ \.ram$ \.rm$ \.iso$ \.raw$

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow liberado
http_access allow msn_ips msn
http_access allow ips !msn
http_access allow redes !hacking !outros !porno !download !msn
http_access deny all

Obrigado pela ajuda,

Mauro Garcia Jr.

[Brenno]