Bloquear IMO e MSN Messenger [RESOLVIDO]

renanvcb
(usa Debian)

Enviado em 12/02/2009 - 10:29h

Fala aí, pessoal!
Tenho duas dúvidas aqui que gostaria de pedir ajuda à vocês para solucionar:

A primeira e mais importante é o bloqueio de um webmessenger chamado imo (https://imo.im). Já adicionei ele na lista de domínios bloqueados do meu Squid e adicionei estas regras ao IPTABLES:
iptables -A FORWARD -d www.imo.im -p tcp --dport 443 -j DROP
iptables -A INPUT -d www.imo.im -p tcp --dport 443 -j DROP
iptables -A FORWARD -d imo.im -p tcp --dport 443 -j DROP
iptables -A INPUT -d imo.im -p tcp --dport 443 -j DROP
iptables -t nat -A OUTPUT -d www.imo.im -p tcp --dport 443 -j DROP
iptables -t nat -A OUTPUT -d imo.im -p tcp --dport 443 -j DROP

Mesmo assim o maldito IMO continua abrindo... E já foi mandado que fosse feito o bloqueio de tudo quanto for webmessenger q eu encontre.

O outro problema é o MSN Messenger, gostaria de saber uma forma de bloqueá-lo de um jeito que funcione na maioria dos casos, inclusive nas versões novas.

Alguem sabe me ajudar em alguma coisa? Fico agradecido desde já.

TothBR
(usa Debian)

Enviado em 12/02/2009 - 11:54h

Olá bom dia!

Seguinte se vc direciona todas as conexões para o squid vc não necessita bloquear nada no firewall a não ser no caso de porta mas ai bloqueio o ip e não por dominio.

Bom aqui faço todos os bloqueios e restrições no squid, onde vc faz por dominio ou por url no seu caso dominio segue abaixo:

Ex crie um arquivo e va acrescentando os dominios e acrescente um abaixo do outro.
arquivo dominios
.imo.im
.orkut.com

acl trabalho_url dstdomain -i "/etc/squid/dominios"
http_access deny dominios

Caso queira bloquear url segue abaixo:
arquivo bloqueios_url
imo.im
orkut.com
sexo

acl bloqueios_url url_regex -i "/etc/squid/bloqueios_url"
http_access deny bloqueios_url

Espero ter ajudado abraços

renanvcb
(usa Debian)

Enviado em 12/02/2009 - 12:02h

Sim, meu squid já possui uma acl de bloqueio de domínios que finciona com qualquer domínio ou palavra-chave que eu colocar lá, porém esse IMO consegue passar pelo bloqueio.

Se você tiver um squid rodando ai, tente bloquear este IMO e veja se funciona.

no squid.conf tem assim:

acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access deny proibidos

e dentro do arquivo "proibidos" tem varias url's e nomes de domínios como:
mabber
wablet
jwchat
easymessenger
.imo.im
nimbuzz
flick.im
youtube

Todas estão bloqueadas, menos o maldito IMO.

hideoux
(usa OpenSuSE)

Enviado em 12/02/2009 - 12:19h

lembre-se de dar uma olhada no redirecionamento de portas...
o imo e meebo usam outra porta...

seu proxy é transparente?

renanvcb
(usa Debian)

Enviado em 12/02/2009 - 13:20h

Onde fica isso, no squid ou pelo iptables?

rrafael
(usa Debian)

Enviado em 12/02/2009 - 13:23h

Fala cara.. blz..

Resolver isso facil d+ =)

Vamos la.. coloque so esse regra no seu squid!!

acl imo url_regex -i imo.im:443
http_access deny imo

Nao foi facil hehehe tem varias maneiras essa e uma delas.. lebre que o proxy no pode ser tranparente nesse caso.. ou seja coloque o proxy nas estacoes de trabalho blz!!

Fui..

richardandrade
(usa Debian)

Enviado em 12/02/2009 - 13:30h

pra bloquear o msn aconselho você usar o layer7... pra isso tu vai precisar recompilar o kernel já o IMO e Meebo post seu squid.conf ae pra nós analisarmos.

valeu e abraço.

renanvcb
(usa Debian)

Enviado em 12/02/2009 - 15:33h

Olha, aqui no meu squid.conf ele tem as regras para proxy transparente:

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

Não consegui identificar se no iptables tem essa regra, isso entao quer dizer que já é transparence, certo?

Ja tentei tudo daqui, mesmo assim nao consigo bloquear este maldito imo...

rrafael
(usa Debian)

Enviado em 12/02/2009 - 15:43h

renanvcb

Aquela regra nao funciona com proxy trasnparente.. ok!! Para que ela funcione voce tem que colocar o proxy e a porta tipo 3128. na estacoes de trabalho?

Posta seu squid.conf aki

renanvcb
(usa Debian)

Enviado em 12/02/2009 - 16:16h

Eu roubei umas configs do morimoto:

# /etc/squid.conf
# Este é o principal arquivo de configuração do Squid.
# Esta versão incluída no Kurumin inclui apenas as opções mais usadas,
# comentadas de forma a facilitar a configuração. Se quiser ver o arquivo
# original incluído no pacote, leia o arquivo /etc/squid.conf.debia
# Comentários por Carlos E. Morimot


# Porta: ª
# Esta é a porta tcp onde o squid ficará ativo. O padrão é a porta 3128

http_port 3128

hierarchy_stoplist cgi-bin ?
acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

# >> Configuração do cache de páginas e arquivos <
# O squid armazena as páginas e arquivos já acessados, para agilizar o
# acesso.
# Ao ativar o proxy transparente no ícone mágico, o cache passar a
# armazenar também todos os downloads feitos pelos clientes, via
# http, ftp e também através do apt-get, que também usa http.

# >> Quantidade de memória RAM dedicada ao cache <<
# Se estiver usando um servidor com muita RAM, você pode aumentar isso
# para até mais ou menos um terço da memória RAM tota

cache_mem 16 MB
#cache_mem 1 MB


# O tamanho máximo dos arquivos que serão guardados no cache fei
# na memória RAM. O resto vai para o cache feito no HD
# O cache na memória é muito mais rápido, mas como a quantidade de
# RAM é muito limitada, melhor deixa-la disponível para páginas web,
# figuras e arquivos pequenos em geral.

maximum_object_size_in_memory 64 KB

# >> Tamanho máximo e mínimo para arquivos serem armazenados no cache <<
# por default, o máximo são downloads de 16 MB e o mínimo é zero, o que
# faz com que mesmo imagens e arquivos pequenos sejam armazenados
# no cache. Sempre é mais rápido ler a partir do cache do que baixar de
# novo da web.
# Se você faz download de arquivos grandes e deseja que eles fiquem
# armazenados no cache, aumente o valor da opção maximum_object_size
# Isto é especialmente útil para quem precisa baixar muitos arquivos
# através do apt-get ou Windows update em muitos micros da rede.

maximum_object_size 16 MB
minimum_object_size 0 KB


# Percentagem de uso do cache que fará o squid começar a descartar os
# arquivos mais antigos. Por padrão isso começa a acontecer quando o
# cache está 90% cheio.

cache_swap_low 90
cache_swap_high 95


# >> Cache em disco <<
# Esta opção é composta por quatro valores. O primeiro, (/var/spool/squid)
# Indica a pasta onde o squid armazena os arquivos do cache. Você pode
# querer alterar para uma pasta em uma partição separada por exemplo.
# O "512" indica a quantidade de espaço no HD (em MB) que será usada para
# o cache. Aumente o valor se você tem muito espaço no HD do servidor e
# quer que o squid guarde os downloads por muito tempo.
# Finalmente, os números 16 256 indicam a quantidade de subpastas que
# serão criadas dentro do diretório. Por padrão temos 16 pastas com 256
# subpastas cada uma.

cache_dir ufs /var/spool/squid 512 16 256


# Arquivo onde são guardados os logs de acesso do Squid.

cache_access_log /var/log/squid/access.log
visible_hostname proxy

# O e-mail que o Squid envia como senha ao acessar um servidor
# FTP anonimo:

ftp_user dinfos@funemac.edu.br


# >> Padrão de atualização do cache <<
# Estas três linhas precisam sempre ser usadas em conjunto. Ou seja,
# você podde alterá-las, mas sempre as três precisam estar presentes
# no arquivo. Eliminando um, o squid ignora as outras duas e usa o
# default.
# Os números indicam o tempo (em minutos) quando o squid irá verificar
# se um ítem do cache (uma página por exemplo) foi atualizado, para
# cada um dos três protocolos.
# O primeiro número (o 15) indica que o squid verificará se todas as
# páginas e arquivos com mais de 15 minutos foram atualizados. Ele
# só verifica checando o tamanho do arquivo, o que é rápido. Se o
# arquivo não mudou, então ele continua mandando o que não está
# no cache para o cliente.
# O terceiro número (o 2280, equivalente a dois dias) indica o tempo
# máximo, depois disso o objeto é sempre verificado.

refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280
#refresh_pattern . 15 20% 100


# >> Controle de acesso <<
# Aqui vai vão as regras de quem acessa ou não o proxy. Por default
# o proxy vem configurado de uma forma liberal, para facilitar o uso.
# à recomendável que você ative o firewall do Kurumin e o configure
# para permitir apenas acessos a partir da rede local.

acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost

# A acl "proibidos" é usada para fazer bloqueio de palavras ou sites
# pelo icone magico do Kurumin. Você pode remove-la se não pretender
# usar o filtro de conteúdo por palavras.

acl livre src "/etc/squid/livre"

acl proibidos dstdom_regex "/etc/squid/proibidos"
http_access deny proibidos !livre

# Regra de bloqueio ao acesso do computador da Recepcao. Adicionado por
# Renan.

#acl recepcao src 192.168.10.40
#http_access deny recepcao

#Bloqueio de downloads por extensao. Adicionado por Renan.
acl bf_permitido url_regex -i "/etc/squid/no_exec/bf_permitidos"
acl bad_file url_regex -i "/etc/squid/no_exec/bad_file"
http_access deny bad_file !bf_permitido !livre

# Regra de bloqueio ao IMO, adicionada por Renan.
acl imo url_regex -i imo.im:443
http_access deny imo


# >> Bloqueio com base no horário <<
# Esta regra faz com que o proxy recuse conexões feitas dentro de determinados
# horários. Você pode combinar várias das regras abaixo para bloquear todos
# os horários em que você não quer que o proxy seja usado:

#acl madrugada time 00:00-06:00
#http_access deny madrugada

#acl manha time 06:00-12:00
#http_access deny manha

#acl almoco time 12:00-14:00
#http_access deny almoco

#acl tarde time 14:00-19:00
#http_access deny tarde

#acl noite time 19:00-24:00
#http_access deny noite



# >> Controle de acesso <<
# Aqui você pode ativar a configuração do Squid que o deixará explicitamente
# disponível apenas para a faixa de endereços da sua rede local, recusando
# acessos provenientes de outras redes, mesmo que o firewall esteja desabilitado.
# Configure a linha abaixo com a faixa de endereços IP e a máscara de
# sub-rede (o 24 equivale à mascara 255.255.255.0) da sua rede local e deixe
# também a linha http_access deny all (mais abaixo) descomentada.

acl redelocal src 192.168.10.0/24
http_access allow redelocal


# >> Proxy com autenticação <<
# Se você quer habilitar o uso de login e senha para acessar através
# do proxy, siga os seguintes pasos:
# 1- Instale o pacote apache-utils (apt-get install apache-utils)
# 2- Crie o arquivo que será usado: touch /etc/squid/squid_passwd
# 3- Cadastre os logins usando o comando:
# htpasswd /etc/squid/squid_passwd kurumin
# (onde o "kurumin" é o usuário que está sendo adicionado).
# Depois de terminar de cadastrar os usuários, descomente as três linhas
# abaixo e reinicie o squid com o comando "service squid restart".
# Quando os usuários tentarem acessar será aberto uma tela pedindo login.

#auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/squid_passwd
#acl autenticados proxy_auth REQUIRED
#http_access allow autenticados


# Ao ativar qualquer uma das regras de controle de acesso, você deve
# descomentar tampém a linha abaixo, que vai recusar as conexões que
# não sejam aceitas nas regras acima.

#http_access deny all


# >> Proxy Transparente <<
# As linhas abaixo, combinadas com uma regra de firewall adicionada pela opção
# no ícone mágico fazem o squid se comportar como um proxy transparente.
# Leia o capítulo 6 do livro do Kurumin para mais detalhes.

httpd_accel_host virtual
httpd_accel_port 80
httpd_accel_with_proxy on
httpd_accel_uses_host_header on

# Para habilitar o proxy transparente, você deve descomentar as 4 linhas acima e
# adicionar a regra do firewall que redireciona o tráfego da porta 80 do servidor
# para a porta 3128 do squid.
# Isto é feito colocando os seguintes comandos no arquivo /etc/rc.d/rc.local:
# (substitua o $placalocal pela placa da rede local, ex: eth0)
# (substitua o $placainternet pela placa ligada na internet, ex: eth1 ou ppp0)

# modprobe iptable_nat
# echo 1 > /proc/sys/net/ipv4/ip_forward
#iptables -t nat -A PREROUTING -i $placalocal -p tcp --dport 80 -j REDIRECT --to-port $porta
# iptables -t nat -A POSTROUTING -o $placainternet -j MASQUERADE

error_directory /usr/share/squid/errors/Portuguese

rrafael
(usa Debian)

Enviado em 12/02/2009 - 16:36h

blz esta certinha..

agora.. voce foi em estacao de trabalho e colocou o proxy na mao..

No internet explore;
em ferramentas-> opcoes da internet -> conexoes -> configuracao de LAN

renanvcb
(usa Debian)

Enviado em 13/02/2009 - 13:42h

Não coloquei em cada máquina ainda, vou testar em uma só, mas queria que bloqueasse sem ter que ir em cada estação e colocar no proxy... Sem contar que vou ter que ir no servidor de dominio e colocar uma diretiva para que nao acessem as opções de conexão do IE, mas o problema é que o firefox eh o browser padrão das máquinas.