Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Redes y Servidores Nuevo tema Publicar Respuesta
 Squid+Iptables no bloquean messenger
Tema anterior Tema siguiente
   
cowboy
Publicado en 02/09/09 03:45 (Leído 3687 veces)  

Participa poco
confused
Forum User

Inscrito: 27/08/09 Publicaciones: 15
Hola a todos, soy un principiante y bueno les comento que he seguido los comos de esta web para instalar el iptables y el squid y aramar un proxy transparente en mi web.

les explico un poco de mas o menos como esta

son 3 grupos y cada grupo tiene lugares diferentes en restriccion
por ejemplo
medios esta restringido por el archivo listanegra
operativos esta restringido por el archivo listanegraoper
e informatica no tiene restriciones

todo esto funciona de maravilla y las restricciones estan muy bien en todos los grupos, no hay problemas con eso.

Ahora el problema es el siguiente

estoy intentando bloquear el messenguer para medios y he buscado por infinidad de paginas ya casi tengo 4 dias buscando por todas parte y ninguna me funciona....

intentos

1.- Intente bloqueando el puesto del messenger con la siguiente instruccion

iptables -I FORWARD -p tcp --dport 1863 -j REJECT


con esto me lo bloquea y se supone que entonces intentara salir por el puerto http y entonces es cuando el squid lo agarra y ya puedo hacer mis restricciones.
el archivo squid.conf queda asi:

PHP Formatted Code

acl todalared src 192.168.6.0/255.255.255.0
acl medios src "/etc/squid/medios"
acl operativos src "/etc/squid/operativos"
acl informatica src "/etc/squid/informatica"
acl listanegra url_regex "/etc/squid/listanegra"

acl listanegraoper url_regex "/etc/squid/listanegraoper"

acl msn url_regex "/etc/squid/msn"

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
http_access allow manager localhost
http_access deny manager

http_access deny !Safe_ports

http_access deny CONNECT !SSL_ports


http_access allow localhost

http_access deny listanegra medios
http_access deny msn medios
http_access deny listanegraoper operativos

http_access allow informatica
http_access allow operativos
http_access allow medios
http_access deny todalared
http_access deny all

 





pero esto no sucede asi como se plantea y el messenguer sigue bloqueado no importa lo que haga no me deja salir

#**************************************************************#

2.- Con las instrucciones que ponen aca de como bloquear el messenger he dejado el archivo squid de la siguiente manera

PHP Formatted Code

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255

 #Definimos toda la red y despues definimos medios, *********************************************
# Operativos e informatica
acl todalared src 192.168.6.0/255.255.255.0
acl medios src "/etc/squid/medios"
acl operativos src "/etc/squid/operativos"
acl informatica src  "/etc/squid/informatica"


          #Creamos restrccion del messenger por archivo********************************************
acl msnmime req_mime_type ^application/x-msn-messenger
acl msngw url_regex -i gateway.dll


  #Creamos el archivo listanegra y lo definimos asi para restringir medios
acl listanegra url_regex "/etc/squid/listanegra"

  #Creamos el archivo listanegraoper y lo definimos asi para restringir operativos
acl listanegraoper url_regex "/etc/squid/listanegraoper"

  #Lista de paginas para hotmail y mensajeria
acl msn url_regex "/etc/squid/msn"

acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80                                    # http
acl Safe_ports port 21                                    # ftp
acl Safe_ports port 443                                   # https
acl Safe_ports port 70                                    # gopher
acl Safe_ports port 210                                   # wais
acl Safe_ports port 1025-65535                            # unregistered ports
acl Safe_ports port 280                                   # http-mgmt
acl Safe_ports port 488                                   # gss-http
acl Safe_ports port 591                                   # filemaker
acl Safe_ports port 777                                   # multiling http
acl CONNECT method CONNECT

                          # Only allow cachemgr access from localhost
http_access allow manager localhost
http_access deny manager
                          # Deny requests to unknown ports
http_access deny !Safe_ports
                          # Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

                          # And finally deny all other access to this proxy
http_access allow localhost


                          #permitimos el acceso a medios con los lugares restringidos
http_access deny listanegra medios
http_access deny msn medios

                          #permitimos el acceso a operativos con los lugares restringidos
http_access deny listanegraoper operativos

                          #acceso total a informatica sin restricciones
http_access allow informatica
http_access allow operativos
http_access allow medios

                          #bloqueamos messenger en medios *****************************************************
http_access deny msnmime todalared
http_access deny msngw todalared
                          #dejamos acceso denegado a todo el que se conecte **************************************
http_access deny todalared
http_access deny all

                          #Allow ICP queries from everyone
icp_access allow all

 



y tampoco con eso me hace las restricciones

a ver si alguien me puede hechar una mano con esto por favor qya que estoy desesperado y no se que hacer


MUCHISIMAS GRACIAS ENTICIPADAS!

 
Perfil
 Citar
cowboy
Publicado en 02/09/09 03:53  

Participa poco
Forum User

Inscrito: 27/08/09 Publicaciones: 15
me falto decir que en la opcion 2 limpie la instuccion y el messenger esta saliendo sin restriccion es al intentar restringirlo cuando no lo hace y se sale sin ningun problema
 
Perfil
 Citar
cowboy
Publicado en 03/09/09 08:25  

Participa poco
Forum User

Inscrito: 27/08/09 Publicaciones: 15
Nadie Exclamación ???
Alguien que me heche un cable Idea ????
alguien que sepa mas o menos que pueda ser mi problema Confundido ??


Llorar
 
Perfil
 Citar
ilidan
Publicado en 03/09/09 08:57  

Participa mucho
Forum User

Inscrito: 05/06/08 Publicaciones: 41
País:Ecuador
Saludos,

Mira lo que el Sr. Barrios publica con las líneas de Squid si funciona y de manera general y específica, simplemente debes saber como admnistrar bien tus listas, según me di cuenta tienes un poco de listas para blanqueo y veteo, yo hacía lo mismo que tu al principio, hasta que aprendí leyendo el siguiente artículo, a manipular el squid:

http://www.alcancelibre.org/staticpages/index.php/ejercicio-dhcp-dnd-squid-shorewall

Otra cosa, en el iptables primero define las variables, vaciado y políticas por defecto asi:
PHP Formatted Code

# Defino variables para las interfaces y subredes respectivamente
i_wan='eth0'     ## Interfaz conectada al router
i_lan='eth1'       ## Interfaz conectada a la LAN
s_wan='xxx.xxx.xxx.xxx/255.255.255.248'        ## Subred de mi WAN
s_lan='192.168.10.0/24'                                        ## Subred de mi LAN

## (FLUSH) Vaciando las reglas actuales
iptables -F
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F -t nat
iptables -X
iptables -Z
iptables -t nat -F
## Establecemos las políticas por defecto
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT


Luego cuando empieces a definir las reglas, pon primero las reglas para la apertura de puertos, después las que hacen el nateo y redireccionamiento y al final las de cierre de puertos, ejemplo:
PHP Formatted Code
## Reglas de apertura
## Abrimos el puerto 80 puesto que es un servidor WEB
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

## Reglas de redireccionamiento y nateo
iptables -t nat -A POSTROUTING -s $s_lan -o $i_wan -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward   ## sirve para habilitar el IP_FORWARD muy necesario

## Reglas de cierre de puertos (cierre de un rango de 1 a 1024 en tcp/udp)
iptables -A INPUT -s 0.0.0.0/0 -i $i_wan -p tcp --dport 1:1024 -j DROP
iptables -A INPUT -s 0.0.0.0/0 -i $i_wan -p udp --dport 1:1024 -j DROP

## Cierre de puertos uno por uno (por si acaso)
## Cierre del puerto de salida y entrada del messenger
iptables -A INPUT -s 0.0.0.0/0 -i $i_wan -p tcp --dport 1863 -j DROP
iptables -A OUTPUT -s 0.0.0.0/0 -i $i_wan -p tcp --dport 1863 -j DROP


Aquí cabe aclarar que 0.0.0.0/0 es para cualquier red y listo con eso bastaría, espero haberte ayudado cualquier duda simplemente no dudes en preguntar.

\../_ Metal por sobre todas las cosas _\../
 
Perfil
 Citar
cowboy
Publicado en 04/09/09 06:07  

Participa poco
Forum User

Inscrito: 27/08/09 Publicaciones: 15
Hola muchisimas gracias por responder he estado buscando por otros foros pero aun no encuentro la forma de bloquear el messenger
Aplique el script que me pones aca pero me marca el siguiente error

iptables v1.3.5: Can't use -i with OUTPUT

Try `iptables -h' or 'iptables --help' for more information.



creo que es debido a la ultima instruccion, aun sigue sin jalar


MUCHISIMAS GRACIAS POR TU TIEMPO Y TUS CONOCIMIENTOS

PD

Agregue esta linea al script para que pasara por el squid y me funcioaran las reglas ya que no estaban funcionando

iptables -t nat -A PREROUTING -i $i_lan -p tcp --dport 80 -j REDIRECT --to-port 3128

y en la ultima le cambie el -i por -o y quedo de la siguiente manera

iptables -A OUTPUT -s 0.0.0.0/0 -o $i_wan -p tcp --dport 1863 -j DROP


Pero aun asi me esta dejando pasar libremente el messenguer sin que pieda restringirlo
 
Perfil
 Citar
rudy
Publicado en 05/09/09 06:48  

Nuevo
Forum User

Inscrito: 02/09/09 Publicaciones: 10
País:Mexico D.F.
Mira independientemente de tu archivo de squid.conf te recomiendo que bloquees con iptables
Ojo el msn de hotmail sale por el puerto 1863 y 80 en protocolo tcp

iptables -t nat -A PREROUTING -s <ips a bloquer> -p tcp --dport 1863 -j REDIRECT --to 3128

iptables -t nat -A PREROUTING -s <ips a bloquer> -p tcp --dport 80 -j REDIRECT --to 3128

Y en el squid.conf creas acl con los destinos (IPS) para aceptart y bloquear
por ej.

acl msn port 1863

acl medios src "/etc/squid/medios" (tus ips restringidas supongo)

http_access medios msn

Igual para el puerto 80 ....

Ing. Isaac Sanchez Msn. backstreet_06@hotmail.com
 
Perfil Sitio Web
 Citar
cowboy
Publicado en 07/09/09 02:19  

Participa poco
Forum User

Inscrito: 27/08/09 Publicaciones: 15
Hola muchas gracias por contestar, pues te comento que ya agregue la instruccion que me pusiste en mi script pero au me sigue sin funcionar ya que me marca el siguiente error


Bad argument `tcp'
> Try `iptables -h' or 'iptables --help' for more informatio


a ver si me hechas una manita muchas gracias...
 
Perfil
 Citar
rudy
Publicado en 07/09/09 10:12  

Nuevo
Forum User

Inscrito: 02/09/09 Publicaciones: 10
País:Mexico D.F.
cuando copie y pegue la instruccion se me olvido poner que en la opcion -s va el IP que vas a bloquear de tu red local saludos ....

Ing. Isaac Sanchez Msn. backstreet_06@hotmail.com
 
Perfil Sitio Web
 Citar
Will Lpz Jimnz
Publicado en 07/09/09 10:45  

Admin
Site Admin

Inscrito: 19/02/07 Publicaciones: 181
País:Mexico
Agrega a tu lista de ACL las siguiente listas .. estas para servicios MSN
PHP Formatted Code
acl msn_messenger req_mime_type -i ^application/x-msn-messenger$
acl msn_url url_regex -i gateway.dll
acl msn_url url_regex -i ADSAdClient31.dll
acl msn_port port 1863
acl msn_method method POST
acl msn_browser browser ^Mozilla.compatible;.MSN Messenger.
 


Y nos cuentas ...

Saludos !! Sr. verde

.:: Cuando el Alumno esta listo, el maestro aparece ::. [[http://koalasoft.wordpress.com ::BLog::]]
 
Perfil Sitio Web
 Citar
cowboy
Publicado en 07/09/09 11:08  

Participa poco
Forum User

Inscrito: 27/08/09 Publicaciones: 15
Gracias a todos por sus respuestas, pero me estoy enterando que el nuevo messenger live cuando el puerto 1863 esta bloqueado no busca otra salida y se simplemente ya no se conecta, por eso al hacer la restriccion del puerto ya no hay conexion


pero para conseguir esto se puede hacer por medio de iptables
se deja conectar primero a las IP's o mac's que requieran conexion y despues bloqueamos todas las demas

dejando parte de mi script de la siguiente manera
les dejo como hacerle con IP y con macs ya que me encontre con ese problema y no le sabia como moverle hasta que di con la solucion

PHP Formatted Code

i_wan='eth0'       ##Interfaz conectada al router
i_lan='eth1'       ##Interfaz concetada a la LAN
s_wan='192.168.1.0/255.255.255.248'  ##SUbred de mi wan
s_lan='192.168.6.0/24'   ##Subred de mi lan


#*************ips o macs con messenger desde aca*************
iptables -A FORWARD -s 192.168.6.5 -i $i_lan -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -mmac --mac-source 00:24:D2:4B:FA:85  -i $i_lan -p tcp --dport 1863 -j ACCEPT

#*************POr ultimo bloqueamos todas las demas*************

iptables -A FORWARD -s $s_lan -i $i_lan -p tcp --dport 1863 -j REJECT

 



Con eso hago la restriccion por medio de iptables y me funciona de maravilla, mantengo las reglas que me dieron para bloquear el messenger por el squid por si alguien intentara conectarse con messenger anteriores...

Les doy mis mas sinceros agradesimientos a todos los que me apoyaron y me dieron ayuda en este problema que tenia ya que me dieron muchas ideas de como hacerlo

en especial a:

Paul Vaca
rudy
William Lopez Jimenez




 
Perfil
 Citar
Contenido generado en: 0,71 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 05:58 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado