Messenger 2011 está passando "por fora" do proxy [RESOLVIDO]

lucascatani
(usa Ubuntu)

Enviado em 16/06/2012 - 19:37h

Tenho um servidor rodando um proxy e um firewall.

As estações usam o proxy definido no navegador.

No firewall tenho somente:

#!/bin/bash

INTERNET="eth1"
REDELOCAL="eth0"

modprobe ip_tables
modprobe iptable_nat


iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 80,8080 -j DROP
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 443 -j LOG
iptables -A FORWARD -i $REDELOCAL -o $INTERNET -p tcp -m multiport --dports 443 -j DROP

# Compartilhando a internet com a REDELOCAL
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
echo 1 > /proc/sys/net/ipv4/ip_forward


Sites, está tudo certinho. Passam pelo squid, tanto 443, quanto 80.

O detalhe é que o MESSENGER 2011 está passando por fora do SQUID, sendo bloqueado na porta 443 do FW.

Segue o squid

cache_mem 1024 MB
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 20000 16 256
cache_access_log /var/log/squid3/access.log
cache_log /var/log/squid3/cache.log
cache_store_log /var/log/squid3/store.log
emulate_httpd_log on
error_directory /usr/share/squid3/errors/Portuguese

refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

acl manager url_regex -i ^cache_object:// +i ^https?://[^/]+/squid-internal-mgr/

acl localhost src 127.0.0.1/32 ::1
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32 ::1

acl localnet src 192.168.0.0/24 # REDE

acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT

####################################################
# acl pessoais
####################################################
acl proibir_sites dstdomain -i "/etc/squid3/sites"
acl proibir_palavras url_regex -i "/etc/squid3/palavras.txt"

####################################################
# Política das acls pessoais
####################################################
http_access deny proibir_sites
http_access deny proibir_palavras


http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow localhost
http_access allow localnet
http_access deny all

Por que o MSN 2011 não está passando pelo squid, se ele usa a porta 443? Como eu faço para ele passar?

BPINHEIRO
(usa Debian)

Enviado em 17/06/2012 - 12:14h

Bom dia.
Estou com um problema bem parecido, eu precisava liberar a conexão para dois usuários utilizarem o msn 2011 e não ia de jeito nenhum e tudo liberado, foi só colocar o msn 2009 e tudo resolvido.
Esse 2011 é muito ruim, vou tentar utilizar o novo....

jptudobem
(usa Debian)

Enviado em 18/06/2012 - 10:56h

Já tentaram liberar, além da porta 443 no firewall, as portas 7001 e 1863 para os determinados ips do usuários?

bpinheiro
(usa Debian)

Enviado em 18/06/2012 - 12:04h

Não, eu liberei apenas a porta 443.

lucascatani
(usa Ubuntu)

Enviado em 18/06/2012 - 12:13h

O firewall só bloqueia a 80 e 443. O problema é que o msn 2011 ta passando por fora do proxy, conseqüentemente sendo bloqueado. Não da pra abrir a 443. Senão https://facebook.com vai ficar liberado... só pode navegar pela 3128.

jptudobem
(usa Debian)

Enviado em 18/06/2012 - 13:17h

Ai que tá, se quer que o MSN passe fora do Proxy, é obrigatório liberar as portas 443, 1863 e 7001 no firewall. Claro, como consequência, os sites que usam https serão também liberados, um preço a se pagar.

MSN e Proxy não se bicam.

lucascatani
(usa Ubuntu)

Enviado em 18/06/2012 - 13:25h

Eu não quero que passe! O problema é justamente esse, está passando.

johnnyfsan
(usa CentOS)

Enviado em 18/06/2012 - 13:54h

## LIBERAR - MSN MESSENGER - WINDOWS LIVE ##

iptables -A FORWARD -s $REDELOCAL -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s $REDELOCAL -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s $REDELOCAL -d messenger.hotmail.com -j ACCEPT
iptables -A FORWARD -s $REDELOCAL -d webmessenger.msn.com -j ACCEPT
iptables -A FORWARD -p tcp --dport 1080 -j ACCEPT
iptables -A FORWARD -s $REDELOCAL -p tcp --dport 1080 -j ACCEPT

lucascatani
(usa Ubuntu)

Enviado em 18/06/2012 - 14:11h

E aí Johnny, beleza?

AS seguintes regras não são necessárias no meu caso, pois está tudo ACCEPT, exceto FORWARD da 443 e 80.
iptables -A FORWARD -s $REDELOCAL -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1080 -j ACCEPT
iptables -A FORWARD -s $REDELOCAL -p tcp --dport 1080 -j ACCEPT

Quanto a essas:
iptables -A FORWARD -s $REDELOCAL -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s $REDELOCAL -d messenger.hotmail.com -j ACCEPT
iptables -A FORWARD -s $REDELOCAL -d webmessenger.msn.com -j ACCEPT

Podem até servir, mas eu já fiz uma "gambiarra" desse estilo, para o pessoal ir usando, liberando a faixa de ips da microsoft na cadeira FORWARD porta 443, da seguinte maneira.

iptables -A FORWARD -p tcp --dport 443 -d 65.54.0.0/16 -j ACCEPT

O detalhe é saber por que o MESSENGER 2011 passa for fora do squid, e como fazer para ele passar pelo squid.


Um abraço!

johnnyfsan
(usa CentOS)

Enviado em 18/06/2012 - 14:15h

Entendi, já tive muitos problemas com esse MSN 2011, rsrsrs!
Quem sabe criar uma ACL no proxy contendo os IPs e Links da microsoft, passando sem autenticação pelo squid.

Abraço!

lucascatani
(usa Ubuntu)

Enviado em 18/06/2012 - 14:29h

Na verdade não adianta criar nada no proxy, pois está passando reto. Abraço!

lucascatani
(usa Ubuntu)

Enviado em 24/07/2012 - 19:15h

Eis uma solução, não descobri o motivo de não passar pelo squid.

Liberei a rede do msn antes de bloquear o FORWARD 443

iptables -A FORWARD -p tcp --dport 443 -d 65.54.00/16 -j ACCEPT

Obrigado a todos.