[Resolvido] - - - - Problemas com o Bloqueio de MSN

[Leandr0]

Srs.

BOm dia!

Usava a seguinte regra para bloquear o msn:

http_port 3128 transparent
visible_hostname oculto
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl msn_ips src "/etc/squid/libmsn" # # # usuarios com acesso ao msn
acl all src 172.18.20.0/24

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 8333 10000 10443
acl Safe_ports port 21 59 70 80 210 280 443 488 563 777 901 1025-65535 10443
acl purge method PURGE
acl CONNECT method CONNECT

acl msn url_regex -i "/etc/squid/msn"

gateway/gateway.dll
.msn.
.msg.
.sn1.
.sn2.
.phx.
.gateway.
.live.
.messenger.
.edge.
.gbl.
.sn1.gateway.edge.messenger.live.com
.login.live.com

http_access allow manager localhost
http_access deny manager
http_access allow purge
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


acl maqliberada src "/etc/squid/maqliberada" # # # Usuarios com acesso FULL

acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites bloqueados

acl extban url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads

acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas

acl sitesnocache url_regex -i "/etc/squid/sitesnocache" # liberar sites do cache
no_cache deny sitesnocache


acl redelocal src 172.18.20.0/24

http_access allow localhost
http_access allow msn_ips msn
http_access allow maqliberada !msn
http_access allow redelocal !bloqueados !extban !palavrasproibidas
http_access deny all

Porem de uns dia spra ca o pessoal ta conseguindo acessar... qdo dou um netstat na maquina do usuario apresenta o seguinte endereco:

sn1msg3020421.sn1.gateway.edge.messenger.live.com:1863

e no squid da msg de acesso negado.

TCP_DENIED/403 1443 GET http://config.messenger.msn.com/Config/Ms
TCP_DENIED/403 1431 POST http://sup.live.com/whatsnew/whatsnewservice.asmx - NONE/- text/html

sendo que a porta 1863 esta bloqueada. Como posso bloquear o msn denovo?

Desde ja agradeço a ajuda de todos.

[zekkerj]

Eles não estão passando pelo squid, por isso conseguem passar. Verifique o firewall da rede.

[Leandr0]

segue o meu firewall...

## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall  - By LEandro"

## VARIAVEIS DAS PLACAS DE REDE
NET=eth0
RLOCAL=eth1
NET2=eth2
REDE="172.18.20.0/24"

## CARREGAR MODULOS
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG

## LIMPAR REGRAS ANTERIORES
iptables -F
iptables -t nat -F

# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
iptables -t nat -A POSTROUTING -o $NET2 -j MASQUERADE

## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


### Aceita entrada DNS ###
iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT


## Estabilizar conexoes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## LIBERAR/BLOQUEAR A REDE LOCAL
iptables -A INPUT -s 172.18.20.0/24 -j ACCEPT


####################Proteicao contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

### libera acesso ao TS
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 3389 -j DNAT --to 172.18.20.70
iptables -t nat -A POSTROUTING -d 172.18.20.70 -j SNAT --to 172.18.20.253



## Redirecionamento de Porta 10443 para OI placa eth2 = NET2


ip ro del default via 192.168.1.1 dev eth2
ip rule del fwmark 2 table 20 prio 20
ip rule add fwmark 2 table 20 prio 20
ip ro flush table 20
ip ro add table 20 172.18.20.0/24 dev eth1  proto kernel  scope link  src 172.18.20.253
ip ro add table 20 default via 192.168.1.1

iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 10443 -j MARK --set-mark 0x2

## Atualiza relogio

iptables -A FORWARD -o $NET -p TCP --dport 123 -j ACCEPT
iptables -A FORWARD -o $NET -p UDP --dport 123 -j ACCEPT
iptables -A OUTPUT -o $NET -p UDP --dport 123 -j ACCEPT


## libera acesso ao TELNET (FTP)
iptables -A INPUT -i $NET -p TCP --dport 21 -j ACCEPT

## Liberando acesso a NFE (Nota fiscal Eletronica) Homologacao
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.196 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.196 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.196 -j ACCEPT

## Liberando acesso a NFE (Nota fiscal Eletronica) PRODUCAO
#IP 189.31.180.195
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 189.31.180.195 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 189.31.180.195 -j ACCEPT
iptables -A FORWARD -p tcp -d 189.31.180.195 -j ACCEPT

#IP 200.241.32.197
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.197 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.197 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.197 -j ACCEPT

#IP 201.49.164.105
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 201.49.164.105 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 201.49.164.105 -j ACCEPT
iptables -A FORWARD -p tcp -d 201.49.164.105 -j ACCEPT

## Homologacao Sefaz homologacao.nfe.sefaz.rs.gov.br IP: 200.233.3.101 - RS - EQUIMAF
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.233.3.101 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.233.3.101 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.233.3.101 -j ACCEPT

## Consulta - sef.sefaz.rs.gov.br - Sefaz IP: 200.233.3.211 - RS -
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.233.3.211 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.233.3.211 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.233.3.211 -j ACCEPT

## Producao - nfe.sefaz.rs.gov.br -  Sefaz IP: 200.233.3.102 - RS -
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.233.3.102 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.233.3.102 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.233.3.102 -j ACCEPT

## Liberando acesso a update no SUBVERSION ACBR
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 216.34.181.65 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 216.34.181.65 -j ACCEPT
iptables -A FORWARD -p tcp -d 216.34.181.65 -j ACCEPT


## Liberando acesso a update no SUBVERSION ACBR
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d login.live.com -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d login.live.com -j ACCEPT
iptables -A FORWARD -p tcp -d login.live.com -j ACCEPT


## Liberando acesso a update no Flex ADOBE

#iptables -t nat -I PREROUTING -p tcp --dport 80 -s $REDE -d crl.verisign.net -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -d crl.verisign.net -j ACCEPT
#iptables -A FORWARD -p tcp -d crl.verisign.net -j ACCEPT

### Libera Windows Update

iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 207.46.198.93/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT

## Download 8081
iptables -A OUTPUT -o $NET -p TCP --dport 8081 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8084 -j ACCEPT



## Download VPN GRUPO
iptables -A OUTPUT -o $NET2 -p TCP --dport 10443 -j ACCEPT

### Libera trafego ping rede externa ###
#iptables -A INPUT -i $NET -p icmp -j ACCEPT
iptables -A OUTPUT -o $NET -p icmp -j ACCEPT       
iptables -A FORWARD -o $NET -p icmp -j ACCEPT       
   
### Libera trafego ping rede interna ###
iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT       

# LIBERAR A PORTA 3128
#iptables -A FORWARD -i $NET -p tcp --dport 3128 -d $REDE -j ACCEPT

#iptables -t nat -A PREROUTING -i $RLOCAL -s $REDE -p TCP --dport 80 -j REDIRECT --to-port 3128


iptables -t nat -A PREROUTING -i $RLOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128


#iptables -t nat -A PREROUTING -i $RLOCAL -p tcp --dport 443 -j REDIRECT --to-port 3128


###Acesso a navegacao ###
iptables -A OUTPUT -o $NET -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 800 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 1880 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 3389 -j ACCEPT


## LIbera acesso ao FTP ##
iptables -A FORWARD -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 21 -j ACCEPT

## Servidor de E-mail  SMTP (25) POP3 (110)##
iptables -A FORWARD -o $NET -p TCP --dport 25 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 110 -j ACCEPT


## Servidor TS
iptables -A FORWARD -o $NET -p TCP --dport 3389 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j ACCEPT

## Servidor SSH
iptables -A FORWARD -o $NET -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 22 -j ACCEPT

#Liberar MYSQL

iptables -A FORWARD -o $NET -p TCP --dport 3306 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3306 -j ACCEPT


## Liberar porta 2082/2083

iptables -A FORWARD -o $NET -p TCP --dport 2082 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 2082 -j ACCEPT

iptables -A FORWARD -o $NET -p TCP --dport 2083 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 2083 - j ACCEPT

##Liberar Postgresql

iptables -A FORWARD -o $NET -p TCP --dport 5432 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 5432 -j ACCEPT

## Liberar Porta 5006 Autocred

iptables -A FORWARD -o $NET -p TCP --dport 5006 -j ACCEPT

## Protocolo TCP entrada ##
iptables  -A INPUT -i $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo UDP saida ##
iptables -A OUTPUT -o $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo TCP saida ##
iptables -A OUTPUT -o $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT


#Ponto Chave do firewall! Se nao entrar em nenhuma regra acima rejeita tudo!
iptables -A INPUT -i $NET -p tcp --syn -j DROP
#
# Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i $NET -p tcp --dport :32000 -j DROP
#




;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to 172.18.20.20

iptables -t nat -A POSTROUTING -d 172.18.20.20 -j SNAT --to 172.18.20.253

ip ro del default via 192.168.1.1 dev eth2
ip rule del fwmark 2 table 20 prio 20
ip ro flush table 20


;;

*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;

esac

[zekkerj]

Acredito que o problema esteja aqui:

######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT # <<<<--------------------------
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

A linha marcada está liberando todas as conexões, desde que dentro do limite de 1 conexão por segundo.

Alias, a linha logo em seguida é desnecessária, pois essa mesma liberação já foi feita algumas linhas antes.

[Leandr0]

Comentei a linha que vc mencionou e funcionou blz o msn, nao acessa +....

Porem as os bancos e outros sites inclusive para fazer o login do forum que usa o HTTPS. deram pau nao querem + acessar...

[zekkerj]

Configure o navegador pra usar o seu proxy diretamente (preferível), ou adicione a linha abaixo:

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT

[Leandr0]

Blz

Resolvido tinha esquecido desse detalhe..... = (

O seguinte.

### Libera trafego ping rede externa ###
#iptables -A INPUT -i $NET -p icmp -j ACCEPT
iptables -A OUTPUT -o $NET -p icmp -j ACCEPT       
iptables -A FORWARD -o $NET -p icmp -j ACCEPT       
   
### Libera trafego ping rede interna ###
iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT 


Como bloqueio o ping externo para o meu endereco??

Antes funcionava com a linha acima....

[zekkerj]

#iptables -A INPUT -i $NET -p icmp -j ACCEPT

Se vc quer bloquear explicitamente esse tráfego, ative essa linha, mas mude de "ACCEPT" pra "DROP".

[Leandr0]

Já o fiz e nao obtive exito.

Alguma ideia??

[zekkerj]

Lembra daquele trecho que deu problema, com o TCP? A linha logo antes da que foi retirada é a que está atrapalhando agora...

Esse trecho vai atrapalhar todos os bloqueios que forem feitos mais tarde, pois tem vários "ACCEPT" lá dentro...

[Leandr0]

######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT #
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP


Comentei tudo e nada

[zekkerj]

Ah..... vc tem roteador, não? Quem está respondendo é ele...

[Leandr0]

Zekkerj

VO encerrar o Topico como resolvido, pois ja esta fugindo do assunto principal... vo correr atrras aqui do que aconteceu.... mas muito estranho....

MAs muito obrigado pela ajuda....

Abs.