Controle de portas com o SQUID

**ricardodru** · 17-04-2007, 12:03

Senhores

Tenho o SQUID 2.5 e iptables rodando em um server na minha rede.
Sempre tive o msn e webmail bloqueado para a rede interna.
Para bloquear o msn, fecho a porta 1863 e uso uma ACL no squid para bloquear inumeras URL's que o msn acessa.
Mas o fato é o seguinte, o gerente da empresa em que trabalho, me pediu para liberar o msn e webmail no horario de almoço.
Ja criei a ACL com o horario e dias que estao liberados. O webmail funcionou perfeito, mas o msn nao funcionou, porque tenho que ir manualmente no firewall, e descomentar a linha que bloqueia o acesso a porta 1863 para a rede interna.
Esta linha eu libero o acesso ao msn, mas se for comentada, bloqueia o msn:

iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.0/24 -p tcp --dport 1863 -o eth0

Entao todos os dias tenho que alterar o script do iptables liberando a porta 1863 e depois do horario, fechar novamente esta porta.

COMANDOS USADOS

Após a linha onde redireciono a porta 80 para 3128 do squid, coloquei a seguinte linha:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128

No squid.conf, antes das ACL's de bloqueio e liberação, coloquei a seguinte ACL:

acl porta_msn port 1863
http_access allow porta_msn

E tambem, nas ACL's que decrevem as portas seguras, tambem adicionei a seguinte linha:

acl Safe_ports port 1863

Com estas configurações acima, ainda nao funcionou.
Lembrando que, mesmo tendo regras no squid para bloquear as URL's do msn, mas se a porta 1863 estiver liberada, o msn se conecta normalmente. Fico observando no log, o squid da DENIED em todas as URL's do msn, mas o maldito ainda continua conectado e mandando mensagens.
Entao só consigo bloquea-lo fechando a porta 1863 !

Gostaria de saber, se com o squid é possivel controlar portas de comunicação alem da porta 80 !
Se for possivel, dai tenho a opção de alem de liberar as URL's do msn em horario programado, e liberar o trafefo na porta 1863 tambem em horario programado, evitando de ficar alterando o script todos os dias.

Desde ja sou grato
Abraços

Ricardo

**ShadowRed** · 17-04-2007, 13:04

Postado originalmente por ricardodru

Senhores

Tenho o SQUID 2.5 e iptables rodando em um server na minha rede.
Sempre tive o msn e webmail bloqueado para a rede interna.
Para bloquear o msn, fecho a porta 1863 e uso uma ACL no squid para bloquear inumeras URL's que o msn acessa.
Mas o fato é o seguinte, o gerente da empresa em que trabalho, me pediu para liberar o msn e webmail no horario de almoço.
Ja criei a ACL com o horario e dias que estao liberados. O webmail funcionou perfeito, mas o msn nao funcionou, porque tenho que ir manualmente no firewall, e descomentar a linha que bloqueia o acesso a porta 1863 para a rede interna.
Esta linha eu libero o acesso ao msn, mas se for comentada, bloqueia o msn:

iptables -I POSTROUTING -j MASQUERADE -t nat -s 10.11.0.0/24 -p tcp --dport 1863 -o eth0

Entao todos os dias tenho que alterar o script do iptables liberando a porta 1863 e depois do horario, fechar novamente esta porta.

COMANDOS USADOS

Após a linha onde redireciono a porta 80 para 3128 do squid, coloquei a seguinte linha:

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 1863 -j REDIRECT --to-port 3128

No squid.conf, antes das ACL's de bloqueio e liberação, coloquei a seguinte ACL:

acl porta_msn port 1863
http_access allow porta_msn

E tambem, nas ACL's que decrevem as portas seguras, tambem adicionei a seguinte linha:

acl Safe_ports port 1863

Com estas configurações acima, ainda nao funcionou.
Lembrando que, mesmo tendo regras no squid para bloquear as URL's do msn, mas se a porta 1863 estiver liberada, o msn se conecta normalmente. Fico observando no log, o squid da DENIED em todas as URL's do msn, mas o maldito ainda continua conectado e mandando mensagens.
Entao só consigo bloquea-lo fechando a porta 1863 !

Gostaria de saber, se com o squid é possivel controlar portas de comunicação alem da porta 80 !
Se for possivel, dai tenho a opção de alem de liberar as URL's do msn em horario programado, e liberar o trafefo na porta 1863 tambem em horario programado, evitando de ficar alterando o script todos os dias.

Desde ja sou grato
Abraços

Ricardo

Uma saida ia ser voce usar no cron um script para liberar e depois bloquer com o iptables em horarios programados.

Existe tambem uma flag no iptables para horarios. da uma olhada tanto no cron como no man do iptables que é interessante esta regra.

qualquer coisa posta ai. aqui uso layer 7 para msn skype etc, e controlo horarios no cron com scripts.

**mastellaro** · 17-04-2007, 14:28

eu acho interessante o uso do cron tb.... tipo às 11 da manha o cron irá rodar um script q libera o msn... às 13:00 ele roda um script q fecha tudo novamente...

assim vc nao precisa fazer o trabalho manualmente...

tipo, dá pra vc criar duas regras de firewall , uma com a regra de bloqueio do msn rodando e uma com o bloqueio desativado... aí as 11 carrega a liberada e as 13 carrega a bloqueada

ps. lembrando de colocar nessas regras de firewall o flush das chains

flw

**wppitpmp** · 18-04-2007, 10:17

e normal sim, se vc nao bloquear no firewall a porta, o msn se conecta mesmo, mesmo vc bloqueando no squid, so funciona usando em conjunto mesmo...

**ricardodru** · 25-04-2007, 08:26

Senhores

Realmente o squid nao consegue trancar a porta 1863 !
Entao resolvi o problema da seguinte forma:

Criei uma copia do meu script de firewall, no qual inseri uma linha abrindo a porta 1863.
Entao fiquei com 2 scripts de firewall semelhantes. Sendo que um abre a porta 1863 e o outro tranca a porta 1863.
Depois configurei o cron para executa-los nos horarios desejados.

Agradeço a todos que colaboraram !!

Abraços

Ricardo

Controle de portas com o SQUID

Ferramentas de Tópicos

Controle de portas com o SQUID

Controle de portas com o SQUID [RESOLVIDO !!]