La libertad del conocimiento al alcance de quien la busca.
Bienvenido(a) a Alcance Libre 06/06/2023, 23:24
Alcance Libre Foros
|
||||||||
 |
Índice del foro > Todo acerca de Linux > Redes y Servidores |
New Topic
Post Reply
|
 Squid+Iptables no bloquean messenger
|
||
| cowboy |
|
|||||||
Participa poco   Estado: desconectado  Identificado: 08/27/09 Mensajes: 15 |
Hola a todos, soy un principiante y bueno les comento que he seguido los comos de esta web para instalar el iptables y el squid y aramar un proxy transparente en mi web.
les explico un poco de mas o menos como esta son 3 grupos y cada grupo tiene lugares diferentes en restriccion por ejemplo medios esta restringido por el archivo listanegra operativos esta restringido por el archivo listanegraoper e informatica no tiene restriciones todo esto funciona de maravilla y las restricciones estan muy bien en todos los grupos, no hay problemas con eso. Ahora el problema es el siguiente estoy intentando bloquear el messenguer para medios y he buscado por infinidad de paginas ya casi tengo 4 dias buscando por todas parte y ninguna me funciona.... intentos 1.- Intente bloqueando el puesto del messenger con la siguiente instruccion iptables -I FORWARD -p tcp --dport 1863 -j REJECT con esto me lo bloquea y se supone que entonces intentara salir por el puerto http y entonces es cuando el squid lo agarra y ya puedo hacer mis restricciones. el archivo squid.conf queda asi: PHP Formatted Code acl todalared src 192.168.6.0/255.255.255.0 acl medios src "/etc/squid/medios" acl operativos src "/etc/squid/operativos" acl informatica src "/etc/squid/informatica" acl listanegra url_regex "/etc/squid/listanegra" acl listanegraoper url_regex "/etc/squid/listanegraoper" acl msn url_regex "/etc/squid/msn" acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access allow localhost http_access deny listanegra medios http_access deny msn medios http_access deny listanegraoper operativos http_access allow informatica http_access allow operativos http_access allow medios http_access deny todalared http_access deny all pero esto no sucede asi como se plantea y el messenguer sigue bloqueado no importa lo que haga no me deja salir #**************************************************************# 2.- Con las instrucciones que ponen aca de como bloquear el messenger he dejado el archivo squid de la siguiente manera PHP Formatted Code acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 #Definimos toda la red y despues definimos medios, ********************************************* # Operativos e informatica acl todalared src 192.168.6.0/255.255.255.0 acl medios src "/etc/squid/medios" acl operativos src "/etc/squid/operativos" acl informatica src "/etc/squid/informatica" #Creamos restrccion del messenger por archivo******************************************** acl msnmime req_mime_type ^application/x-msn-messenger acl msngw url_regex -i gateway.dll #Creamos el archivo listanegra y lo definimos asi para restringir medios acl listanegra url_regex "/etc/squid/listanegra" #Creamos el archivo listanegraoper y lo definimos asi para restringir operativos acl listanegraoper url_regex "/etc/squid/listanegraoper" #Lista de paginas para hotmail y mensajeria acl msn url_regex "/etc/squid/msn" acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Only allow cachemgr access from localhost http_access allow manager localhost http_access deny manager # Deny requests to unknown ports http_access deny !Safe_ports # Deny CONNECT to other than SSL ports http_access deny CONNECT !SSL_ports # And finally deny all other access to this proxy http_access allow localhost #permitimos el acceso a medios con los lugares restringidos http_access deny listanegra medios http_access deny msn medios #permitimos el acceso a operativos con los lugares restringidos http_access deny listanegraoper operativos #acceso total a informatica sin restricciones http_access allow informatica http_access allow operativos http_access allow medios #bloqueamos messenger en medios ***************************************************** http_access deny msnmime todalared http_access deny msngw todalared #dejamos acceso denegado a todo el que se conecte ************************************** http_access deny todalared http_access deny all #Allow ICP queries from everyone icp_access allow all y tampoco con eso me hace las restricciones a ver si alguien me puede hechar una mano con esto por favor qya que estoy desesperado y no se que hacer MUCHISIMAS GRACIAS ENTICIPADAS! |
|||||||
|
||||||||
| cowboy |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 08/27/09 Mensajes: 15 |
me falto decir que en la opcion 2 limpie la instuccion y el messenger esta saliendo sin restriccion es al intentar restringirlo cuando no lo hace y se sale sin ningun problema
|
|||||||
|
||||||||
| cowboy |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 08/27/09 Mensajes: 15 |
Nadie
 ???Alguien que me heche un cable ????alguien que sepa mas o menos que pueda ser mi problema ?? |
|||||||
|
||||||||
| ilidan |
|
|||||||
|
Participa mucho  Estado: desconectado Identificado: 06/05/08 Mensajes: 41 Localización:Ecuador |
Saludos,
Mira lo que el Sr. Barrios publica con las líneas de Squid si funciona y de manera general y específica, simplemente debes saber como admnistrar bien tus listas, según me di cuenta tienes un poco de listas para blanqueo y veteo, yo hacía lo mismo que tu al principio, hasta que aprendí leyendo el siguiente artículo, a manipular el squid: http://www.alcancelibre.org/staticpages/index.php/ejercicio-dhcp-dnd-squid-shorewall Otra cosa, en el iptables primero define las variables, vaciado y políticas por defecto asi: PHP Formatted Code # Defino variables para las interfaces y subredes respectivamente i_wan='eth0' ## Interfaz conectada al router i_lan='eth1' ## Interfaz conectada a la LAN s_wan='xxx.xxx.xxx.xxx/255.255.255.248' ## Subred de mi WAN s_lan='192.168.10.0/24' ## Subred de mi LAN ## (FLUSH) Vaciando las reglas actuales iptables -F iptables -F INPUT iptables -F FORWARD iptables -F OUTPUT iptables -F -t nat iptables -X iptables -Z iptables -t nat -F ## Establecemos las políticas por defecto iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT iptables -P FORWARD ACCEPT iptables -t nat -P PREROUTING ACCEPT iptables -t nat -P POSTROUTING ACCEPT Luego cuando empieces a definir las reglas, pon primero las reglas para la apertura de puertos, después las que hacen el nateo y redireccionamiento y al final las de cierre de puertos, ejemplo: PHP Formatted Code ## Reglas de apertura## Abrimos el puerto 80 puesto que es un servidor WEB iptables -A INPUT -p tcp --dport 80 -j ACCEPT ## Reglas de redireccionamiento y nateo iptables -t nat -A POSTROUTING -s $s_lan -o $i_wan -j MASQUERADE echo 1 > /proc/sys/net/ipv4/ip_forward ## sirve para habilitar el IP_FORWARD muy necesario ## Reglas de cierre de puertos (cierre de un rango de 1 a 1024 en tcp/udp) iptables -A INPUT -s 0.0.0.0/0 -i $i_wan -p tcp --dport 1:1024 -j DROP iptables -A INPUT -s 0.0.0.0/0 -i $i_wan -p udp --dport 1:1024 -j DROP ## Cierre de puertos uno por uno (por si acaso) ## Cierre del puerto de salida y entrada del messenger iptables -A INPUT -s 0.0.0.0/0 -i $i_wan -p tcp --dport 1863 -j DROP iptables -A OUTPUT -s 0.0.0.0/0 -i $i_wan -p tcp --dport 1863 -j DROP Aquí cabe aclarar que 0.0.0.0/0 es para cualquier red y listo con eso bastaría, espero haberte ayudado cualquier duda simplemente no dudes en preguntar. \../_ Metal por sobre todas las cosas _\../ |
|||||||
|
||||||||
| cowboy |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 08/27/09 Mensajes: 15 |
Hola muchisimas gracias por responder he estado buscando por otros foros pero aun no encuentro la forma de bloquear el messenger
Aplique el script que me pones aca pero me marca el siguiente error iptables v1.3.5: Can't use -i with OUTPUT Try `iptables -h' or 'iptables --help' for more information. creo que es debido a la ultima instruccion, aun sigue sin jalar MUCHISIMAS GRACIAS POR TU TIEMPO Y TUS CONOCIMIENTOS PD Agregue esta linea al script para que pasara por el squid y me funcioaran las reglas ya que no estaban funcionando iptables -t nat -A PREROUTING -i $i_lan -p tcp --dport 80 -j REDIRECT --to-port 3128 y en la ultima le cambie el -i por -o y quedo de la siguiente manera iptables -A OUTPUT -s 0.0.0.0/0 -o $i_wan -p tcp --dport 1863 -j DROP Pero aun asi me esta dejando pasar libremente el messenguer sin que pieda restringirlo |
|||||||
|
||||||||
| rudy |
|
|||||||
|
Nuevo  Estado: desconectado Identificado: 09/02/09 Mensajes: 10 Localización:Mexico D.F. |
Mira independientemente de tu archivo de squid.conf te recomiendo que bloquees con iptables
Ojo el msn de hotmail sale por el puerto 1863 y 80 en protocolo tcp iptables -t nat -A PREROUTING -s <ips a bloquer> -p tcp --dport 1863 -j REDIRECT --to 3128 iptables -t nat -A PREROUTING -s <ips a bloquer> -p tcp --dport 80 -j REDIRECT --to 3128 Y en el squid.conf creas acl con los destinos (IPS) para aceptart y bloquear por ej. acl msn port 1863 acl medios src "/etc/squid/medios" (tus ips restringidas supongo) http_access medios msn Igual para el puerto 80 .... Ing. Isaac Sanchez Msn. backstreet_06@hotmail.com |
|||||||
|
||||||||
| cowboy |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 08/27/09 Mensajes: 15 |
Hola muchas gracias por contestar, pues te comento que ya agregue la instruccion que me pusiste en mi script pero au me sigue sin funcionar ya que me marca el siguiente error
Bad argument `tcp' > Try `iptables -h' or 'iptables --help' for more informatio a ver si me hechas una manita muchas gracias... |
|||||||
|
||||||||
| rudy |
|
|||||||
|
Nuevo Estado: desconectado Identificado: 09/02/09 Mensajes: 10 Localización:Mexico D.F. |
cuando copie y pegue la instruccion se me olvido poner que en la opcion -s va el IP que vas a bloquear de tu red local saludos ....
Ing. Isaac Sanchez Msn. backstreet_06@hotmail.com |
|||||||
|
||||||||
| Will Lpz Jimnz |
|
|||||||
Admin  Estado: desconectado  Identificado: 02/19/07 Mensajes: 181 Localización:Mexico |
Agrega a tu lista de ACL las siguiente listas .. estas para servicios MSN
PHP Formatted Code acl msn_messenger req_mime_type -i ^application/x-msn-messenger$acl msn_url url_regex -i gateway.dll acl msn_url url_regex -i ADSAdClient31.dll acl msn_port port 1863 acl msn_method method POST acl msn_browser browser ^Mozilla.compatible;.MSN Messenger. Y nos cuentas ... Saludos !! .:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]] |
|||||||
|
||||||||
| cowboy |
|
|||||||
|
Participa poco Estado: desconectado Identificado: 08/27/09 Mensajes: 15 |
Gracias a todos por sus respuestas, pero me estoy enterando que el nuevo messenger live cuando el puerto 1863 esta bloqueado no busca otra salida y se simplemente ya no se conecta, por eso al hacer la restriccion del puerto ya no hay conexion
pero para conseguir esto se puede hacer por medio de iptables se deja conectar primero a las IP's o mac's que requieran conexion y despues bloqueamos todas las demas dejando parte de mi script de la siguiente manera les dejo como hacerle con IP y con macs ya que me encontre con ese problema y no le sabia como moverle hasta que di con la solucion PHP Formatted Code i_wan='eth0' ##Interfaz conectada al router i_lan='eth1' ##Interfaz concetada a la LAN s_wan='192.168.1.0/255.255.255.248' ##SUbred de mi wan s_lan='192.168.6.0/24' ##Subred de mi lan #*************ips o macs con messenger desde aca************* iptables -A FORWARD -s 192.168.6.5 -i $i_lan -p tcp --dport 1863 -j ACCEPT iptables -A FORWARD -mmac --mac-source 00:24:D2:4B:FA:85 -i $i_lan -p tcp --dport 1863 -j ACCEPT #*************POr ultimo bloqueamos todas las demas************* iptables -A FORWARD -s $s_lan -i $i_lan -p tcp --dport 1863 -j REJECT Con eso hago la restriccion por medio de iptables y me funciona de maravilla, mantengo las reglas que me dieron para bloquear el messenger por el squid por si alguien intentara conectarse con messenger anteriores... Les doy mis mas sinceros agradesimientos a todos los que me apoyaron y me dieron ayuda en este problema que tenia ya que me dieron muchas ideas de como hacerlo en especial a: Paul Vaca rudy William Lopez Jimenez |
|||||||
|
||||||||
09/02/09 10:45AM (Leído 4,084 veces) 
Quote| Contenido generado en: 0.40 segundos |
New Topic
Post Reply
|
| Todas las horas son CST. Hora actual 11:24 PM. |
|
|
