Bloq MSN + Squid

Nombre original, so sue us. Si tienen dudas o sugerencias sobre programas particulares, discutámoslas aquí.

Bloq MSN + Squid

Notapor safernandez el Vie Mar 23, 2007 11:02 am

Buenas, soy nuevo en el foro.
Mi nombre es Santiago, soy de Hurlingham Argentina.

Les pido una mano.
He logrado bloquear el msn en todas sus formas. Ahora cree la ACL ADMINISTRADORES para ingresar las ip`s de las maquinas que si utilizarian MSN. Pero no logro que funcion. A simple vista que error ven? o Me dicen que harian uds?

Mil gracias.
Les pego la parte de mi squid.conf

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl redlocal src 192.168.0.0/255.255.255.0
acl administradores src “/etc/squid/administradores”
acl msnmessenger req_mime_type -i ^application/x-msn-messenger$
acl msn_url url_regex -i gateway.dll
acl msn_port port 1863
acl msn_method method POST
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT


# And finally deny all other access to this proxy
http_access deny all
http_access allow localhost
http_access deny msnmessenger !administradores
http_access deny msn_method msn_url !administradores
http_access deny msn_port !administradores
http_access deny CONNECT msn_port !administradores
safernandez
 
Posts: 3
Registrado: Vie Mar 23, 2007 10:56 am

Bloq MSN + Squid

Sponsor

Sponsor
 

Re: Bloq MSN + Squid

Notapor buanzo el Vie Mar 23, 2007 5:53 pm

Pero, que te dice el access.log de squid?
Avatarde Usuario
buanzo
Administrador
 
Posts: 673
Registrado: Sab Dic 09, 2006 11:17 am
Ubicación: Buanzonia (ok, Florida, Buenos Aires)

Re: Bloq MSN + Squid

Notapor Vampii el Lun Mar 26, 2007 6:33 pm

Creo que en ese caso estas usando a squid como proxy del messenger, en el squid.conf deberias hacer algo similar a esto:

# identificas al messenger en Squid
acl msnmessenger req_mime_type ^application/x-msn-messenger$
# listas los usuarios que van a poder usar messenger
# supongamos que vamos a dejar pasar desde la 192.168.1.21 a la 192.168.1.24
acl usan_messenger src 192.168.1.21/255.255.255.255
192.168.1.22/255.255.255.255 192.168.1.23/255.255.255.255
192.168.1.24/255.255.255.255

# luego permitis usar el messenger solo a esos usuarios
http_access allow msnmessenger usan_messenger
http_access deny msnmessenger <----- esta linea la pones para que los demas NO USEN messenger.

Por otro lado, en los clientes MSN Messenger de las máquinas windows les configuras para que usen proxy http. O no le configuras nada y lo haces proxy transparente... Es mas saludables...

Listo! Wink

Aca http://dns.bdat.net/documentos/squid/x30.html hay mas informacion "amable" sobre Squid...

¿O Quizas por una de esas casualidades no estas usando proxy transparente?

Algo asi como agregar esto quizas, dentro del /etc/rc.d/init.d/rc.firewall (depende de tu distro, eso es Slackware):

# Magicamente todo lo que vaya a cualquier puerto 80 lo redirigimos al proxy
$IPTABLES -t nat -A PREROUTING -p tcp -s $LAN_RED --dport 80 -j DNAT --to-destination $LAN_IP:3128
$IPTABLES -t nat -A PREROUTING -p tcp -s $LAN_RED --dport 443 -j DNAT --to-destination $LAN_IP:3128
$IPTABLES -t nat -A PREROUTING -p tcp -s $LAN_RED --dport 1863 -j DNAT --to-destination $LAN_IP:3128

donde $LAN_RED es el grupo de direcciones de tu red LOCAL ( o LAN, ej. 192.168.0.0/24) y $LAN_IP es la direccion INTERNA de la maquina que te saca por el Squid y que esta conectada a Internet. Sino de otra forma estarian saltandose el proxy...

De todas formas postea el access.log del Squid... No todos tenemos la bola de cristal y la lechuza que nos interprete las cosas Laughing
I'm powered by linux: Reg #105977
Adicto a Linux registrado #105977
Acentos omitidos intencionadamente
Faltas ortograficas puestas aleatoriamente
Imagen
Avatarde Usuario
Vampii
Amigo del Jefe
 
Posts: 183
Registrado: Lun Dic 11, 2006 4:49 pm
Ubicación: Argentonia

Re: Bloq MSN + Squid

Notapor safernandez el Mar Mar 27, 2007 6:11 pm

Buenas gracias por la ayuda...empece de nuevo y pegue el squid que me estaba funcionando pero hice macana...todo funca...pego el log donde la ip 192.168.0.114 esta conectado a msn

ts.msn.com:443 - NONE/- text/html
1175027984.624 243 192.168.0.114 TCP_DENIED/403 1395 GET http://rad.msn.com/A DSAdClient31.dll? - NONE/- text/html
1175028014.628 0 192.168.0.114 TCP_DENIED/403 1395 GET http://rad.msn.com/A DSAdClient31.dll? - NONE/- text/html
1175028044.610 980 192.168.0.114 TCP_DENIED/403 1395 GET http://rad.msn.com/A DSAdClient31.dll? - NONE/- text/html
1175028057.994 1 192.168.0.114 TCP_DENIED/403 1359 CONNECT rsi.hotmail.com: 443 - NONE/- text/html
1175028074.612 1 192.168.0.114 TCP_DENIED/403 1395 GET http://rad.msn.com/A DSAdClient31.dll? - NONE/- text/html
1175028104.614 995 192.168.0.114 TCP_DENIED/403 1395 GET http://rad.msn.com/A DSAdClient31.dll? - NONE/- text/html

Mi problema esta en la sentencia de iptables me parece no? Hago un iptables -L a ver si les sirve;


Chain INPUT (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain FORWARD (policy ACCEPT)
target prot opt source destination
RH-Firewall-1-INPUT all -- anywhere anywhere

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Chain RH-Firewall-1-INPUT (2 references)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT icmp -- anywhere anywhere icmp any
ACCEPT ipv6-crypt-- anywhere anywhere
ACCEPT ipv6-auth-- anywhere anywhere
ACCEPT udp -- anywhere 224.0.0.251 udp dpt:5353
ACCEPT udp -- anywhere anywhere udp dpt:ipp
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:https
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ssh
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:telnet
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:smtp
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:http
ACCEPT tcp -- anywhere anywhere state NEW tcp dpt:ftp
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited


Tendria que pasar la policy a DENY, creo que lo tenia asi antes...pero como? Una vez hecho eso recien ahi hacer

iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

Esto es correcto?

Mil gracias
safernandez
 
Posts: 3
Registrado: Vie Mar 23, 2007 10:56 am

Re: Bloq MSN + Squid

Notapor safernandez el Mie Mar 28, 2007 5:53 pm

Chicos paso las cosas en limpio:

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl administradores src "/etc/squid/administradores"
acl redlocal src 192.168.0.0/255.255.255.0
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
#acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl msnmessenger req_mime_type -i ^application/x-msn-messenger$
acl msn_url url_regex -i gateway.dll
acl msn_port port 1863
acl msn_method method POST


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports

#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
#
http_access allow localhost
http_access allow redlocal
http_access allow administradores
http_access deny msnmessenger !administradores
http_access deny msn_method msn_url !administradores
http_access deny msn_port !administradores
http_access deny CONNECT msn_port !administradores
http_access deny all

Asi quedo el squid y esta bloqueado el MSN ( gracias a Dios ).

El problema es que quiero que la ACL administradores (192.168.0.114 192.168.0.7 ) pueda utilizarlo. Por lo que lei comentandola con ! estaria...pero no pasa nada. Sera por el hecho que esas 2 ip`s pertenecen a redlocal?

Me pueden dar una mano. Gracias.

PD: He probado poniendo la acl administradores antes que redlocal y biceversa y nada.

Desde ya muchas gracias.
safernandez
 
Posts: 3
Registrado: Vie Mar 23, 2007 10:56 am

Re: Bloq MSN + Squid

Notapor TkLinuX el Lun Ago 27, 2007 3:28 am

Hola a todos.

Lo que quiero hacer es con el squid es montar un proxy,pero ke salga por otro proxy que tengo en la red.

Ejemplo:

servidor principal de proxy :192.168.0.13 port:3128

mi server 192.168.0.54 port:8080

al usar el proxy de mi server por el 8080 este lo rediredcione para el 192.168.0.13 por el 3128

Nota:si alguien sabe tambien como lo puedo hacer teniendo en otro server principal un proxy con contraseña

Ejemplo:

servidor proxy secundario con Autenticación:192.168.0.34 porto 3128

mi server 192.168.0.54 port 8080

pero sin ke le pida al usuario ke pida mi server Autenticación. y le navege.

pido ayuda por que la verdad ya e buscado por todo el google y no encuentro como pusiera hacerlo.
TkLinuX
 
Posts: 2
Registrado: Lun Ago 27, 2007 3:19 am

Re: Bloq MSN + Squid

Notapor buanzo el Lun Ago 27, 2007 9:25 am

Fijate donde configuras los cache_peers, que tiene parametros para autenticar.
Avatarde Usuario
buanzo
Administrador
 
Posts: 673
Registrado: Sab Dic 09, 2006 11:17 am
Ubicación: Buanzonia (ok, Florida, Buenos Aires)

Re: Bloq MSN + Squid

Notapor TkLinuX el Mar Ago 28, 2007 4:14 am

La verdad que no tengo ni idea de donde esta eso,porque soy nuevo en el linux y quisiera saber como pudiera hacerlo y los pasos ke debo realisar
TkLinuX
 
Posts: 2
Registrado: Lun Ago 27, 2007 3:19 am

Re: Bloq MSN + Squid

Notapor lopu el Mar Nov 27, 2007 7:22 pm

Espero que te sirva, me llevo varias horas intentarlo desde el firewall

ipfwadm -I -a deny -P tcp -W eth0 -D 0/0 1863 -o -y

y finalmente bloquea:

gateway.messenger.hotmail.com

Yo lo tengo de esta manera y me funciona.

Fijate que dentro del msn hay una opcion para que te cree logs de la conexion eso me ayudo bastante.-
Suerte
lopu
 
Posts: 3
Registrado: Mar Nov 27, 2007 6:56 pm

Re: Bloq MSN + Squid

Notapor wwperseo el Mie Abr 16, 2008 12:05 pm

hola, tengo instalado squid en una pc que a la vez hace de firewall y un servidor web, tomcat, oc4j en otra pc, el problema es que desde que configure para que cada cliente pase por el proxi ya no tengo messenger y no puedo acceder al servidor web desde mi lan, lo curioso es que cuando hago en el navegador conexion directa a internet sin pasar por el proxy si puedo acceder al servidor web de mi lan pero no tengo acceso a internet, lo que quiero es bloquear el messenger por las mananas y por las tardes liberarlo a excepcion de los administradores que si puedan tener messenger todo el dia, bueno aqui lo que hice, espero que me puedan ayudar gracias:
pd. lo unico que hice en el iptables es : politica por defecto aceptar, enmascarar las ip de mi lan y redireccionar las peticiones de mi lan al puerto 80 a squid (3128):
iptables -t nat -A POSTROUTING -s 192.168.5.0/24 -o eth0 -j MASQUERADE
iptables -t nat -A PREROUTING -i eth1 -s 192.168.5.0/24 -p tcp --dport 80 -jREDIRECT --to-port 3128
Squid:
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 873 # rsync
acl Safe_ports port 80 # http
acl Safe_ports port 20 #ftpdata
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 631 # cups
acl Safe_ports port 873 # rsync
acl Safe_ports port 901 # SWAT
acl Safe_ports port 8520 #tomcat
acl Safe_ports port 8080 #algo por qeb
acl Safe_ports port 8988 #server java
acl Safe_ports port 4848 #javadmin
acl Safe_ports port 8181 #java
acl Safe_ports port 8988 #oc4j
acl purge method PURGE
acl CONNECT method CONNECT
#el archivo gerentes.conf contiene ips de pc con acceso a todo
acl gerentes src "/etc/squid/gerentes.conf"
acl miRed src 192.168.5.0/24
#denegados.conf contiene words no permitidas
acl denegados url_regex -i "/etc/squid/denegados.conf"
acl permitidos url_regex -i "/etc/squid/permitidos.conf"
acl msn-port port 1863
acl msn-app req_mime_type -i ^application/x-msn-messenger$
acl msn-gat url_regex -i gateway.dll
acl msn-method method POST
acl tiempoMsn time MTWHAS 15:30-20:30
##############################
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Only allow purge requests from localhost
http_access allow purge localhost
http_access deny purge
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow gerentes
http_access allow msn-app gerentes
http_access allow msn-gat gerentes
http_access allow msn-method msn-gat gerentes
http_access allow CONNECT msn-port gerentes
http_access allow tiempoMsn miRed !msn-app
http_access deny denegados
http_access allow permitidos
http_access deny !permitidos
http_access allow miRed
#http_access allow localhost
# And finally deny all other access to this proxy
http_access deny all
wwperseo
 
Posts: 1
Registrado: Mie Abr 16, 2008 12:00 pm


Volver a Software

¿Quién está conectado...?

Usuarios navegando este Foro: No hay usuarios registrados visitando el Foro y 1 invitado

cron