Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 Bloqueo de Messenger Live Manejo de ACL`s
Primero | Anterior | 1 2| Siguiente | Último
Tema anterior Tema siguiente
   
Santiago Fernandez
Publicado en 30/03/07 07:55 (Leído 13752 veces)  

Participa poco

Estado: desconectado
Forum User

Inscrito: 30/03/07
Publicaciones: 27
País:Hurlingham Buenos Aires Argentina
Estimados, tengo un Squid como Proxy.He logrado que mis users no tengan acceso al Msn ( en todas sus formas ), pero mi problema reside en el uso de ACL`s. He creado una lista administradores con las ip`s de los usuarios que deberian poder conectarse. Realemente no se si estoy errando en el orden de los http_access o es otra cosa. Les posteo mi squid.conf y mi access.log ( En el momento que un integrante de administradores con ip 192.168.0.114 intenta loggearse ). Desde ya muchas gracias. Squid; #Recommended minimum configuration: acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl administradores src "/etc/squid/administradores" acl redlocal src 192.168.0.0/24 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp #acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl msnmessenger req_mime_type -i ^application/x-msn-messenger$ acl msn_url url_regex -i gateway.dll acl msn_port port 1863 acl msn_method method POST # And finally deny all other access to this proxy http_access allow localhost http_access allow administradores http_access deny msnmessenger !administradores http_access deny msn_method msn_url !administradores http_access deny msn_port !administradores http_access deny CONNECT msn_port !administradores http_access allow redlocal http_access deny all Access.log; 1175284128.840 0 192.168.0.7 TCP_DENIED/403 1363 CONNECT urs.microsoft.com:443 - NONE/- text/html 1175284133.610 980 192.168.0.42 TCP_MISS/200 819 GET http://rad.msn.com/ADSAdClient31.dll? - DIRECT/65.54.195.185 text/html 1175284149.391 322 192.168.0.7 TCP_MISS/304 169 GET http://www.metro951.com/upload/display3.swf - DIRECT/200.59.146.9 - 1175284155.168 1 192.168.0.114 TCP_DENIED/403 1357 CONNECT login.live.com:443 - NONE/- text/html 1175284155.168 1 192.168.0.114 TCP_DENIED/403 1357 CONNECT login.live.com:443 - NONE/- text/html Notas: - La 192.168.0.114 acusa CONNECT pero no se conecta, por mas que haga la Reparar en el cliente de messenger. - Las ip`s de la ACL administradores forman parte de la ACL redlocal, tambien. - Tengo que comentar el Safe_Port 443 para que pueda bloquearlos. Lo cual me resulta raro. - En iptables solo ingrese el siguiente comando; iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128 Mi nombre es Santiago, soy de Argentina. Joel te agradezco mucho, por que con tus manuales he dado los primeros pasos en este mundo del GNU/Linux y realmente el estado de alegria ante algo funcionando es una alegria inmensa. Saludos y Gracias.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 30/03/07 08:13  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Hoy por la noche vuelvo a publicar el viejo articulo, actualizado, para bloquear MSN y Yahoo. Dame unas horas en lo que preparo el documento.
 
Perfil Sitio Web
 Citar
Santiago Fernandez
Publicado en 30/03/07 08:17  

Participa poco

Estado: desconectado
Forum User

Inscrito: 30/03/07
Publicaciones: 27
País:Hurlingham Buenos Aires Argentina
Muchas gracias Joel, espero que se haya entendido lo que postee. Igual me vas a tener por aca...Suerte y gracias.
 
Perfil
 Citar
Joel Barrios Dueñas
Publicado en 30/03/07 08:23  

Admin

Estado: desconectado
Site Admin

Inscrito: 17/02/07
Publicaciones: 1626
País:Mexico
Leyendo bien, de nuevo, ¿Quieres dar salida? En esta es necesario especifiques en los clientes de MSN que se va a usar proxy, no jala en transparente porque tiene que realizarse cierto tipo de conexiones extras. Activas por el método HTTP Proxy.

 
Perfil Sitio Web
 Citar
Santiago Fernandez
Publicado en 30/03/07 08:53  

Participa poco

Estado: desconectado
Forum User

Inscrito: 30/03/07
Publicaciones: 27
País:Hurlingham Buenos Aires Argentina
Los clientes serian los de la ACL administradores, estos son los que quiero que se puedan conectar. HTTP Proxy ya esta ON.
 
Perfil
 Citar
gutierrezr
Publicado en 01/04/07 04:45  

Moderador

Estado: desconectado
Forum User

Inscrito: 28/03/07
Publicaciones: 175
si tienes NAT para toda la red , pues comienza quitando esa reglita en tu firewall , solo pon NAT a los usuarios admin , un ejemplo verdad , el messenger no se puede bloquear teniendo activo el nat en toda la red, despues de eso prueba a poner esta regla en tu msn squid

acl msnmessenger req_mime_type -i ^application/x-msn-messenger$

y despues le anexas a tu lista de accesso de usuarios mortales !msnmessenger

saludosss , si no te sirve esperas a joel con las reglas , eso lo tengo en suse 10.1 y en CentOS debe funcionar

 
Perfil
 Citar
german jimenez leal
Publicado en 02/04/07 08:40  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 15/03/07
Publicaciones: 44
País:/Mexico/Baja C.Sur/Cabo San Lucas
Saben yo utilizo NAT y squid. Y bueno yo utilize lo siguiente en Squid para seleccionar que ips tendran acceso al msn.
cerre en shorewall/rules los puertos TCP que utiliza el msn para funcionar.

y esto es lo que tengo en el squid y funciona:
#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
#follow_x_forwarded_for allow localhost
#acl_uses_indirect_client on
#log_uses_indirect_client on
acl pornurlregex url_regex -i ^http://this.is.a.porn/url
acl msn1 url_regex "/etc/squid/nomsn1"
acl msn urlpath_regex "/etc/squid/nomsn"
acl permitidos src "/etc/squid/permitidos"
acl listextensiones urlpath_regex "/etc/squid/listextensiones"
acl porndomains dstdomain "/etc/squid/blacklists/porn/domains.ok"
acl pornips dst "/etc/squid/blacklists/porn/ips.ok"
acl warezdomains dstdomain "/etc/squid/blacklists/warez/domains.ok"
acl adsdomains dstdomain "/etc/squid/blacklists/ads/domains.ok"
acl to_localhost dst 127.0.0.0/8
redirector_access deny localhost
http_reply_access allow all
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

# TAG: http_access

#Recommended minimum configuration:
#
# Se bloquea el messenger para algunos usuarios
http_access deny msn1 !permitidos
http_access deny msn !permitidos
# Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports
Saludos..!

okis, solo una cosa no se como echar andar el dansguardian, no le encuentro ni pies ni cabeza, si pueden darme una ayudadita se los agradecere...!

el dansguardin lo tengo instalado y en mis reglas en shorewall no entiendo como direccionarlo, por que el squid para hacerlo funcionar direccionas todo el trafico de http al 8120 y el de dansguardian que? como donde, tengo que afectar tambien el archivo squid.

gracias, agradezco tus atenciones..!

Espero te sirva..!

saludos.

gjl
 
Perfil
 Citar
Santiago Fernandez
Publicado en 02/04/07 09:50  

Participa poco

Estado: desconectado
Forum User

Inscrito: 30/03/07
Publicaciones: 27
País:Hurlingham Buenos Aires Argentina
Buenas muchachos, por suerte el POST se empezo a mover. Seguramente podamos aclarar nuestros problemas. Mañana empiezo con las pruebas de lo que me comentan.

Man; me quede pensando en 2 lineas de tu squid

acl msn1 url_regex "/etc/squid/nomsn1"
acl msn urlpath_regex "/etc/squid/nomsn"


Que contiene?

Gracias y seguimos en contancto. Apenas termine con esto empiezo con en DNSGUARDIAN y lo desmenuzamos.

Saludos
 
Perfil
 Citar
german jimenez leal
Publicado en 02/04/07 10:59  

Participa mucho

Estado: desconectado
Forum User

Inscrito: 15/03/07
Publicaciones: 44
País:/Mexico/Baja C.Sur/Cabo San Lucas
el contenido de nomsn y nomsn1
es:

messenger.msn.com
gateway.dll

saludos...!

gjl
 
Perfil
 Citar
gutierrezr
Publicado en 03/04/07 03:56  

Moderador

Estado: desconectado
Forum User

Inscrito: 28/03/07
Publicaciones: 175
con lo que te pase , puedes hacerlo funcionar , lo unico que tienes que hacer es denegar la palabra messenger
 
Perfil
 Citar
Santiago Fernandez
Publicado en 03/04/07 01:04  

Participa poco

Estado: desconectado
Forum User

Inscrito: 30/03/07
Publicaciones: 27
País:Hurlingham Buenos Aires Argentina
Buenas muchachos! Seguimos con el tema. Gutierrez muchas gracias por los datos.

A que te refieres con eso de dejar haciendo NAT a los usuarios admin? ( Pongo en los admin como GATEWAY el Squid? )

Si no es asi, te pido que me guies, para hacer el trabajo con iptables. Desde ya mil gracias.
 
Perfil
 Citar
gutierrezr
Publicado en 03/04/07 06:28  

Moderador

Estado: desconectado
Forum User

Inscrito: 28/03/07
Publicaciones: 175
la idea es la siguiente quita el nat para toda tu red y solo dale nat a los usuarios admin , despues que quites el nat , agrega la regla que te envie en el mensaje anterior , a esa regla le agregas la negacion a una lista de usuarios mortales

ejemplo:

http_access allow aglobal !wwwnoacces !extensiones !msnmessenger

pero antes tengo definida una acl que se llama aglobal...

saludos
 
Perfil
 Citar
zeo3
Publicado en 14/05/07 08:52  

Nuevo

Estado: desconectado
Forum User

Inscrito: 14/05/07
Publicaciones: 2
amigos... yo tengo casi el mismo problema, tengo montado un servidor proxy con firewall con OpenSusE 10.2, el proxy trabaja en modo transparente con el squid 2.6 y el firewall es manejado con el SusEFirewall2, el servidor posee 2 tarjetas de red la eth0 es la WAN y la eth1 es la LAN, ahi todo genial... cual es el problema?? los usuarios de la LAN no pueden salir afuera utilizando el puerto 22 (Putty) como salen al puerto 22??? a traves del enmaascaramiento de red del yast en yast > seguridad y usuarios > cortafuegos > enmascaramiento y marcar la casilla enmascarar redes, pero al momento de marcar es casilla los usuarios que no deberian de tener MSN, ya tienen privilegios del MSN.. en sintesis el problema es el Firewall, me gustaria saber cual seria la solucion para que salgan al puerto 22 sin usar el enmascaramiento de redes del YasT??? desde ya gracias de antemano!

Saludos!!
 
Perfil
 Citar
gutierrezr
Publicado en 22/05/07 05:20  

Moderador

Estado: desconectado
Forum User

Inscrito: 28/03/07
Publicaciones: 175
no te entiendo mucho , pregunta para que quieres que salgan al puerto 22? van a administrar el servidor linux Geek , ahora yo casi nunca o mejor dicho no he configurado susefirewall2 con yast2 , porque yast2 siempre hace lo quiere , no lo que tu quieres , puedes moficar el susefirewall2 a mano limpia en /etc/sysconfig/SuseFirewall2

deten el susefirewall2 del yast y haslo a mano limpia


saludosss
 
Perfil
 Citar
zeo3
Publicado en 22/05/07 06:50  

Nuevo

Estado: desconectado
Forum User

Inscrito: 14/05/07
Publicaciones: 2
te explico.. los usuarios salen al port 22 para controlar servidores que estan afuera y el susefirewall2 no me deja, a esa solucion quiero llegar
 
Perfil
 Citar
Primero | Anterior | 1 2| Siguiente | Último
Contenido generado en: 0,19 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 04:54 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado