Bloquear Msn, usando iptables squid e dansguardian

[gilbertoandrade]

Ola amigos boa tarde...

Estou com um probleminha aqui eheheh... Uso servidor linux que tem squid dansguardian firewall, preciso bloquear o msn em algumas maquinas e liberar 3 maquinas. Já tentei fazer diversas regras de bloqueio no firewall mais tudo o que parece é que ele burlando, e conseguindo conectar pelo proxy, quando bloqueio a palavra gateway.dll no dansguardian ele bloqueia o uso do msn, ja tentei colocar no squid.conf para bloquear o gateway.dll e liberar para os ips q preciso mais nao da, parece que squid joga tudo pro dansguardian.. Tem como eu fazer uma configuração no dansguardian para que alguns ips ele filtre a palavra gateway.dll e libere para algumas??? Abraço a todo....

[4nderson]

Bom dia,

meu caro é bem simples

crie essas seguintes acls para o bloqueio no seu squid.conf
#usuarios permitidos no msn
acl grupo_msn proxy_auth usuario1 usuario2

#acls que contem strings de conexao msn

acl amsn url_regex loginnet.passport.com
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$

#permitindo somente o grupo_msn acessar.

http_access allow amsn grupo_msn
http_access allow msnmessenger grupo_msn
http_access allow MSN grupo_msn

#negando para todo o resto
http_acess deny amsn
http_acess deny msnmessenger
http_acess deny MSN


é isso aí,
abraços

[gilbertoandrade]

Bom Dia amigo..

Valew pela resposta... Minha duvida é a seguinte, essa regra ira funcionar mesmo eu tendo dansguardian? pois tinha colocado essa regra abaixo no squid.conf e nao funcionou

# MSN - IP's LIBERADOS
acl libera_msn src "/etc/ips_msn.txt"
http_access allow libera_msn

# MSN - Bloqueado
acl msn url_regex -i gateway.dll
http_access deny msn

Vou precisar de liberar esses ips 192.168.9.120 192.168.9.108 192.168.9.133 bloquear o resto.. Posso utilizar essa regra que você passou para fazer isso? e aonde coloco ela no squid.conf? Posso colocar ela no inicio do arquivo ou la parte q fala das acls perto de safe ports??? Valew amigo desculpe o livro que escrevi heheheh

[cristianff]

Para liberar os msn para essas três máquinas, você pode desbloquear no firewall, fazendo um MASQUERADE da porta 1863. No iptables ficaria assim:

iptables -t nat -A POSTROUTING -s 192.168.9.120 -p tcp --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.9.108 -p tcp --dport 1863 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 192.168.9.133 -p tcp --dport 1863 -j MASQUERADE

Abraços

[gilbertoandrade]

Ola amigo, verifiquei q quando bloqueio o msn pelo firewall ele consegue burlar-se e conectar pelo proxy, usando isso q vc me passou posso bloquear no dansguardian a palavra gateway dll e liberar no firewall usando estas regras q vc passou?

[cristianff]

Sim amigo, você poderá fazer isso mesmo.

Mas eu não sei como funciona esse dansguardian, o que você tem que fazer é fazer um MASQUERADE da porta 1863 para os ips que você quer liberar.

Veja no seu firewall como "mascarar" a porta 1863 para os ips desejados.

Abraços

[gilbertoandrade]

Valew amigo...

Se eu fizer isso, mesmo eu bloqueando a palavra gateway.dll no proxy, ele ira conseguir conectar???

[cristianff]

Dessa maneira apenas os ips que você fizer a regra que eu falei.
Os outros não conseguirão conectar.

Faça o teste aí depois responda.

Abraço