http://www.zago.eti.br/squid/modelo-msn.txt

Neste documento contém respostas esclarecedoras relacionadas ao Squid com msn
modelo de squid.conf com controle por IP e regras de iptables.

Outros FAQ e documentos relacionados....

FAQ sobre msn
http://www.zago.eti.br/msn.txt

Regras de iptables para bloqueio do MSN:
http://www.zago.eti.br/firewall/msn-bloquear.txt

Página principal sobre Squid
http://www.zago.eti.br/squid/A-menu-squid.html

Página principal sobre Firewall - iptables
http://www.zago.eti.br/firewall/A-menu-firewall.html

Use CTRL+F para refinar a pesquisa.

Linha de:   ****************   separa mensagens ou tópicos.

********************************************************
Zago
http://www.zago.eti.br/menu.html
FAQ  e artigos sobre Linux


********************************************************

De: 	Deuzenildo F. Nascimento <deuferna@gmail.com>
Para: 	linux-br@bazar2.conectiva.com.br
Assunto: 	(linux-br)Descoberta - msn bloc, para todos da lista
Data: 	Thu, 4 May 2006 21:05:30 -0300


Estou disponibilizando aqui pois algumas pessoas nao receberam e
gostariam de analisar. Depois eu coloarei um script de firewall que
uso, muito bom.

veja meu squid.conf, desse jeito vc proibe o acesso a todos os sites
que euiser para todos e libera msn somente para quem quiser usando o
ip da maquina, tem como combinar o ip + endereço mac, porem nao é o
meu caso aqui. qqer duvida posta ai.

http_port 3128
cache_mem 128 MB
maximum_object_size 4096 KB
cache_dir ufs /var/cache/squid 100 16 256
cache_access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
emulate_httpd_log off
client_netmask 255.255.255.255
#Default:
refresh_pattern         ^ftp:           1440    20%     10080
refresh_pattern         ^gopher:        1440    0%      1440
refresh_pattern         .               0       20%     4320
#Defaults:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80 21 443 563 70 210 1025-65535
acl Safe_ports port 280         # http-mgmt
acl Safe_ports port 488         # gss-http
acl Safe_ports port 591         # filemaker
acl Safe_ports port 777         # multiling http
acl CONNECT method CONNECTr
#acl minharede dst 192.168.1.0/24
acl minharede src 192.168.1.0/24
#Default configuration:
http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
# acl pra sites direto, não passar pelo cache
#acl NOCACHE url_regex "/etc/squid/direto.txt" \?
#no_cache deny NOCACHE

#acl para bloqueas downloads ? crie um arquivo .txt e nele coloque
#assim \.mp3$ , \.exe$, mas isso deve ser um embaixo do outro, nao pode
#ser sequencial como no exemplo, etc...
acl nodownload urlpath_regex -i "/etc/squid/nodown.txt"
http_access deny nodownload

#acl para bloquear tudo, neste arquivo teste.txt,vc coloca todos os
#proibidos, menos os do msn.
acl teste url_regex --i "/etc/squid/teste.txt"
http_access deny teste all

#acl para restringir o acesso ao msn- somente esses usuários podem acessar o msn
acl IPLIBERAR src 192.168.1.15 192.168.1.17 192.168.1.11 192.168.1.27 192.168.1.23 192.168.1.252
http_access allow IPLIBERAR

# bloqueia o msn
acl msn dstdomain loginnet.passport.com
http_access deny msn

#continua a bloquear as tentativas de acesso por outras vias.
acl msnmessenger url_regex -i gateway.dll
acl gate req_mime_type -i ^application/x-msn-messenger$
http_access deny gate
http_access deny msnmessenger


# aqui vc lista os endereços do msn neste arquivo txt.
acl proibidos url_regex -i "/etc/squid/proibidos.txt"
acl libera url_regex "/etc/squid/libera"
http_access allow libera all
http_access deny proibidos all

acl hotmail_domains dstdomain .hotmail.msn.com header_access
Accept-Encoding deny hotmail_domains


http_access allow minharede all
http_access deny all
cache_effective_user proxy
cache_effective_group proxy
visible_hostname serverweb


********************************************************
De: 	William Lima <wrochal@msadmin.com.br>
Para: 	Deuzenildo F. Nascimento <deuferna@gmail.com>, linux-br@bazar2.conectiva.com.br
Assunto: 	Re: (linux-br)Descoberta - msn bloc, para todos da lista
Data: 	Thu, 4 May 2006 22:07:44 -0300


Caso alguem use NAT ou Proxy transparente, segue a regra do iptables:

# Bloqueando Geral
iptables -A FORWARD -p tcp -dport 1863 -j DROP
iptables -A FORWARD -d loginnet.passport.net -j DROP

# Bloqueando porem com excessões
iptables -A FORWARD -s 192.168.0.1/24 -p tcp -dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.1/24 -d loginnet.passport.net -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -p tcp -dport 1863 -j DROP
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.net -j DROP

Sem Mais, 


********************************************************

********************************************************

********************************************************

********************************************************