Bienvenido(a) a Alcance Libre 28/09/2022, 01:57

Alcance Libre Foros

 Índice del foro > Todo acerca de Linux > Seguridad New Topic Post Reply
 Bloqueo de Messenger Live Manejo de ACL`s

Page navigation

Primero | Anterior | 1 2| Siguiente | Ultimo
Tópico anterior Tópico siguiente
   
Santiago Fernandez
 03/30/07 01:55PM (Leído 16,977 veces)  

Participa poco

Estado: desconectado
Forum User

Identificado: 03/30/07
Mensajes: 27
Localización:Hurlingham Buenos Aires Argentina
Estimados, tengo un Squid como Proxy.He logrado que mis users no tengan acceso al Msn ( en todas sus formas ), pero mi problema reside en el uso de ACL`s. He creado una lista administradores con las ip`s de los usuarios que deberian poder conectarse. Realemente no se si estoy errando en el orden de los http_access o es otra cosa. Les posteo mi squid.conf y mi access.log ( En el momento que un integrante de administradores con ip 192.168.0.114 intenta loggearse ). Desde ya muchas gracias. Squid; #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl administradores src "/etc/squid/administradores" acl redlocal src 192.168.0.0/24 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp #acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl msnmessenger req_mime_type -i ^application/x-msn-messenger$ acl msn_url url_regex -i gateway.dll acl msn_port port 1863 acl msn_method method POST # And finally deny all other access to this proxy http_access allow localhost http_access allow administradores http_access deny msnmessenger !administradores http_access deny msn_method msn_url !administradores http_access deny msn_port !administradores http_access deny CONNECT msn_port !administradores http_access allow redlocal http_access deny all Access.log; 1175284128.840 0 192.168.0.7 TCP_DENIED/403 1363 CONNECT urs.microsoft.com:443 - NONE/- text/html 1175284133.610 980 192.168.0.42 TCP_MISS/200 819 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.54.195.185 text/html 1175284149.391 322 192.168.0.7 TCP_MISS/304 169 GET http://www.metro951.com/upload/display3.swf - DIRECT/200.59.146.9 - 1175284155.168 1 192.168.0.114 TCP_DENIED/403 1357 CONNECT login.live.com:443 - NONE/- text/html 1175284155.168 1 192.168.0.114 TCP_DENIED/403 1357 CONNECT login.live.com:443 - NONE/- text/html Notas: - La 192.168.0.114 acusa CONNECT pero no se conecta, por mas que haga la Reparar en el cliente de messenger. - Las ip`s de la ACL administradores forman parte de la ACL redlocal, tambien. - Tengo que comentar el Safe_Port 443 para que pueda bloquearlos. Lo cual me resulta raro. - En iptables solo ingrese el siguiente comando; iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 Mi nombre es Santiago, soy de Argentina. Joel te agradezco mucho, por que con tus manuales he dado los primeros pasos en este mundo del GNU/Linux y realmente el estado de alegria ante algo funcionando es una alegria inmensa. Saludos y Gracias.
 
Profile Email
 Quote
Joel Barrios Dueñas
 03/30/07 02:13PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Hoy por la noche vuelvo a publicar el viejo articulo, actualizado, para bloquear MSN y Yahoo. Dame unas horas en lo que preparo el documento.
 
Profile Email Website
 Quote
Santiago Fernandez
 03/30/07 02:17PM  

Participa poco

Estado: desconectado
Forum User

Identificado: 03/30/07
Mensajes: 27
Localización:Hurlingham Buenos Aires Argentina
Muchas gracias Joel, espero que se haya entendido lo que postee. Igual me vas a tener por aca...Suerte y gracias.
 
Profile Email
 Quote
Joel Barrios Dueñas
 03/30/07 02:23PM  

Admin

Estado: desconectado
Site Admin

Identificado: 02/17/07
Mensajes: 1761
Localización:Mexico
Leyendo bien, de nuevo, ¿Quieres dar salida? En esta es necesario especifiques en los clientes de MSN que se va a usar proxy, no jala en transparente porque tiene que realizarse cierto tipo de conexiones extras. Activas por el método HTTP Proxy.

 
Profile Email Website
 Quote
Santiago Fernandez
 03/30/07 02:53PM  

Participa poco

Estado: desconectado
Forum User

Identificado: 03/30/07
Mensajes: 27
Localización:Hurlingham Buenos Aires Argentina
Los clientes serian los de la ACL administradores, estos son los que quiero que se puedan conectar. HTTP Proxy ya esta ON.
 
Profile Email
 Quote
gutierrezr
 03/31/07 10:45PM  

Moderador

Estado: desconectado
Forum User

Identificado: 03/28/07
Mensajes: 179
si tienes NAT para toda la red , pues comienza quitando esa reglita en tu firewall , solo pon NAT a los usuarios admin , un ejemplo verdad , el messenger no se puede bloquear teniendo activo el nat en toda la red, despues de eso prueba a poner esta regla en tu msn squid

acl msnmessenger req_mime_type -i ^application/x-msn-messenger$

y despues le anexas a tu lista de accesso de usuarios mortales !msnmessenger

saludosss , si no te sirve esperas a joel con las reglas , eso lo tengo en suse 10.1 y en CentOS debe funcionar

 
Profile Email
 Quote
german jimenez leal
 04/02/07 03:40PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/15/07
Mensajes: 44
Localización:/Mexico/Baja C.Sur/Cabo San Lucas
Saben yo utilizo NAT y squid. Y bueno yo utilize lo siguiente en Squid para seleccionar que ips tendran acceso al msn.
cerre en shorewall/rules los puertos TCP que utiliza el msn para funcionar.

y esto es lo que tengo en el squid y funciona:
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#follow_x_forwarded_for allow localhost
#acl_uses_indirect_client on
#log_uses_indirect_client on
acl pornurlregex url_regex -i ^http://this.is.a.porn/url
acl msn1 url_regex "/etc/squid/nomsn1"
acl msn urlpath_regex "/etc/squid/nomsn"
acl permitidos src "/etc/squid/permitidos"
acl listextensiones urlpath_regex "/etc/squid/listextensiones"
acl porndomains dstdomain "/etc/squid/blacklists/porn/domains.ok"
acl pornips dst "/etc/squid/blacklists/porn/ips.ok"
acl warezdomains dstdomain "/etc/squid/blacklists/warez/domains.ok"
acl adsdomains dstdomain "/etc/squid/blacklists/ads/domains.ok"
acl to_localhost dst 127.0.0.0/8
redirector_access deny localhost
http_reply_access allow all
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# TAG: http_access

#Recommended minimum configuration:
#
# Se bloquea el messenger para algunos usuarios
http_access deny msn1 !permitidos
http_access deny msn !permitidos
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
Saludos..!

okis, solo una cosa no se como echar andar el dansguardian, no le encuentro ni pies ni cabeza, si pueden darme una ayudadita se los agradecere...!

el dansguardin lo tengo instalado y en mis reglas en shorewall no entiendo como direccionarlo, por que el squid para hacerlo funcionar direccionas todo el trafico de http al 8120 y el de dansguardian que? como donde, tengo que afectar tambien el archivo squid.

gracias, agradezco tus atenciones..!

Espero te sirva..!

saludos.

gjl
 
Profile Email
 Quote
Santiago Fernandez
 04/02/07 04:50PM  

Participa poco

Estado: desconectado
Forum User

Identificado: 03/30/07
Mensajes: 27
Localización:Hurlingham Buenos Aires Argentina
Buenas muchachos, por suerte el POST se empezo a mover. Seguramente podamos aclarar nuestros problemas. Mañana empiezo con las pruebas de lo que me comentan.

Man; me quede pensando en 2 lineas de tu squid

acl msn1 url_regex "/etc/squid/nomsn1"
acl msn urlpath_regex "/etc/squid/nomsn"


Que contiene?

Gracias y seguimos en contancto. Apenas termine con esto empiezo con en DNSGUARDIAN y lo desmenuzamos.

Saludos
 
Profile Email
 Quote
german jimenez leal
 04/02/07 05:59PM  

Participa mucho

Estado: desconectado
Forum User

Identificado: 03/15/07
Mensajes: 44
Localización:/Mexico/Baja C.Sur/Cabo San Lucas
el contenido de nomsn y nomsn1
es:

messenger.msn.com
gateway.dll

saludos...!

gjl
 
Profile Email
 Quote
gutierrezr
 04/02/07 10:56PM  

Moderador

Estado: desconectado
Forum User

Identificado: 03/28/07
Mensajes: 179
con lo que te pase , puedes hacerlo funcionar , lo unico que tienes que hacer es denegar la palabra messenger
 
Profile Email
 Quote
Santiago Fernandez
 04/03/07 08:04AM  

Participa poco

Estado: desconectado
Forum User

Identificado: 03/30/07
Mensajes: 27
Localización:Hurlingham Buenos Aires Argentina
Buenas muchachos! Seguimos con el tema. Gutierrez muchas gracias por los datos.

A que te refieres con eso de dejar haciendo NAT a los usuarios admin? ( Pongo en los admin como GATEWAY el Squid? )

Si no es asi, te pido que me guies, para hacer el trabajo con iptables. Desde ya mil gracias.
 
Profile Email
 Quote
gutierrezr
 04/03/07 01:28PM  

Moderador

Estado: desconectado
Forum User

Identificado: 03/28/07
Mensajes: 179
la idea es la siguiente quita el nat para toda tu red y solo dale nat a los usuarios admin , despues que quites el nat , agrega la regla que te envie en el mensaje anterior , a esa regla le agregas la negacion a una lista de usuarios mortales

ejemplo:

http_access allow aglobal !wwwnoacces !extensiones !msnmessenger

pero antes tengo definida una acl que se llama aglobal...

saludos
 
Profile Email
 Quote
zeo3
 05/14/07 03:52PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/14/07
Mensajes: 2
amigos... yo tengo casi el mismo problema, tengo montado un servidor proxy con firewall con OpenSusE 10.2, el proxy trabaja en modo transparente con el squid 2.6 y el firewall es manejado con el SusEFirewall2, el servidor posee 2 tarjetas de red la eth0 es la WAN y la eth1 es la LAN, ahi todo genial... cual es el problema?? los usuarios de la LAN no pueden salir afuera utilizando el puerto 22 (Putty) como salen al puerto 22??? a traves del enmaascaramiento de red del yast en yast > seguridad y usuarios > cortafuegos > enmascaramiento y marcar la casilla enmascarar redes, pero al momento de marcar es casilla los usuarios que no deberian de tener MSN, ya tienen privilegios del MSN.. en sintesis el problema es el Firewall, me gustaria saber cual seria la solucion para que salgan al puerto 22 sin usar el enmascaramiento de redes del YasT??? desde ya gracias de antemano!

Saludos!!
 
Profile Email
 Quote
gutierrezr
 05/22/07 12:20PM  

Moderador

Estado: desconectado
Forum User

Identificado: 03/28/07
Mensajes: 179
no te entiendo mucho , pregunta para que quieres que salgan al puerto 22? van a administrar el servidor linux Geek , ahora yo casi nunca o mejor dicho no he configurado susefirewall2 con yast2 , porque yast2 siempre hace lo quiere , no lo que tu quieres , puedes moficar el susefirewall2 a mano limpia en /etc/sysconfig/SuseFirewall2

deten el susefirewall2 del yast y haslo a mano limpia


saludosss
 
Profile Email
 Quote
zeo3
 05/22/07 01:50PM  

Nuevo

Estado: desconectado
Forum User

Identificado: 05/14/07
Mensajes: 2
te explico.. los usuarios salen al port 22 para controlar servidores que estan afuera y el susefirewall2 no me deja, a esa solucion quiero llegar
 
Profile Email
 Quote

Page navigation

Primero | Anterior | 1 2| Siguiente | Ultimo
Contenido generado en: 0.45 segundos New Topic Post Reply
 Todas las horas son CDT. Hora actual 01:57 AM.
Tópico normal Tópico normal
Tópico Pegado Tópico Pegado
Tópico bloqueado Tópico bloqueado
Mensaje Nuevo Mensaje Nuevo
Tópico pegado con nuevo mensaje Tópico pegado con nuevo mensaje
Tópico bloqueado con nuevo mensaje Tópico bloqueado con nuevo mensaje
Ver mensajes anónimos 
Los usuarios anónimos pueden enviar 
Se permite HTML Filtrado 
Contenido censurado