[Resolvido] - - - - Problemas com o Bloqueio de MSN

Iniciado por Leandr0, 02 de Outubro de 2010, 13:15

tópico anterior - próximo tópico

Leandr0

Srs.

BOm dia!

Usava a seguinte regra para bloquear o msn:

http_port 3128 transparent
visible_hostname oculto
error_directory /usr/share/squid/errors/Portuguese/

cache_mem 64 MB
maximum_object_size_in_memory 64 KB
maximum_object_size 512 MB
minimum_object_size 0 KB
cache_swap_low 90
cache_swap_high 95
cache_dir ufs /var/spool/squid 2048 16 256
cache_access_log /var/log/squid/access.log
refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280

acl msn_ips src "/etc/squid/libmsn" # # # usuarios com acesso ao msn
acl all src 172.18.20.0/24

acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 8333 10000 10443
acl Safe_ports port 21 59 70 80 210 280 443 488 563 777 901 1025-65535 10443
acl purge method PURGE
acl CONNECT method CONNECT

acl msn url_regex -i "/etc/squid/msn"

gateway/gateway.dll
.msn.
.msg.
.sn1.
.sn2.
.phx.
.gateway.
.live.
.messenger.
.edge.
.gbl.
.sn1.gateway.edge.messenger.live.com
.login.live.com


http_access allow manager localhost
http_access deny manager
http_access allow purge
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


acl maqliberada src "/etc/squid/maqliberada" # # # Usuarios com acesso FULL

acl bloqueados url_regex -i "/etc/squid/bloqueados" # # Sites bloqueados

acl extban url_regex -i "/etc/squid/extban" # # # Bloqueia extensoes de arquivos para downloads

acl palavrasproibidas dstdom_regex "/etc/squid/palavrasproibidas" # Bloqueia palavras proibidas

acl sitesnocache url_regex -i "/etc/squid/sitesnocache" # liberar sites do cache
no_cache deny sitesnocache


acl redelocal src 172.18.20.0/24

http_access allow localhost
http_access allow msn_ips msn
http_access allow maqliberada !msn
http_access allow redelocal !bloqueados !extban !palavrasproibidas
http_access deny all

Porem de uns dia spra ca o pessoal ta conseguindo acessar... qdo dou um netstat na maquina do usuario apresenta o seguinte endereco:

sn1msg3020421.sn1.gateway.edge.messenger.live.com:1863

e no squid da msg de acesso negado.

TCP_DENIED/403 1443 GET http://config.messenger.msn.com/Config/Ms
TCP_DENIED/403 1431 POST http://sup.live.com/whatsnew/whatsnewservice.asmx - NONE/- text/html

sendo que a porta 1863 esta bloqueada. Como posso bloquear o msn denovo?

Desde ja agradeço a ajuda de todos.

zekkerj

Eles não estão passando pelo squid, por isso conseguem passar. Verifique o firewall da rede.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

segue o meu firewall...

## INDICAR O INICIO/REINICIO DO FIREWALL
case $1 in
start|restart)
echo "Firewall  - By LEandro"

## VARIAVEIS DAS PLACAS DE REDE
NET=eth0
RLOCAL=eth1
NET2=eth2
REDE="172.18.20.0/24"

## CARREGAR MODULOS
modprobe ip_tables
modprobe iptable_nat
modprobe iptable_filter
modprobe ip_conntrack
modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe ipt_MASQUERADE
modprobe ipt_LOG

## LIMPAR REGRAS ANTERIORES
iptables -F
iptables -t nat -F

# DEFINIR POLITICA PADRAO (NEGAR TUDO)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o $NET -j MASQUERADE
iptables -t nat -A POSTROUTING -o $NET2 -j MASQUERADE

## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT


### Aceita entrada DNS ###
iptables -A OUTPUT -o $NET -p UDP --dport 53 -j ACCEPT


## Estabilizar conexoes
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

## LIBERAR/BLOQUEAR A REDE LOCAL
iptables -A INPUT -s 172.18.20.0/24 -j ACCEPT


####################Proteicao contra ping da morte
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

### libera acesso ao TS
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A PREROUTING -p tcp -i $NET --dport 3389 -j DNAT --to 172.18.20.70
iptables -t nat -A POSTROUTING -d 172.18.20.70 -j SNAT --to 172.18.20.253



## Redirecionamento de Porta 10443 para OI placa eth2 = NET2


ip ro del default via 192.168.1.1 dev eth2
ip rule del fwmark 2 table 20 prio 20
ip rule add fwmark 2 table 20 prio 20
ip ro flush table 20
ip ro add table 20 172.18.20.0/24 dev eth1  proto kernel  scope link  src 172.18.20.253
ip ro add table 20 default via 192.168.1.1

iptables -t mangle -A PREROUTING -p tcp -m tcp --dport 10443 -j MARK --set-mark 0x2

## Atualiza relogio

iptables -A FORWARD -o $NET -p TCP --dport 123 -j ACCEPT
iptables -A FORWARD -o $NET -p UDP --dport 123 -j ACCEPT
iptables -A OUTPUT -o $NET -p UDP --dport 123 -j ACCEPT


## libera acesso ao TELNET (FTP)
iptables -A INPUT -i $NET -p TCP --dport 21 -j ACCEPT

## Liberando acesso a NFE (Nota fiscal Eletronica) Homologacao
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.196 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.196 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.196 -j ACCEPT

## Liberando acesso a NFE (Nota fiscal Eletronica) PRODUCAO
#IP 189.31.180.195
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 189.31.180.195 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 189.31.180.195 -j ACCEPT
iptables -A FORWARD -p tcp -d 189.31.180.195 -j ACCEPT

#IP 200.241.32.197
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.241.32.197 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.241.32.197 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.241.32.197 -j ACCEPT

#IP 201.49.164.105
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 201.49.164.105 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 201.49.164.105 -j ACCEPT
iptables -A FORWARD -p tcp -d 201.49.164.105 -j ACCEPT

## Homologacao Sefaz homologacao.nfe.sefaz.rs.gov.br IP: 200.233.3.101 - RS - EQUIMAF
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.233.3.101 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.233.3.101 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.233.3.101 -j ACCEPT

## Consulta - sef.sefaz.rs.gov.br - Sefaz IP: 200.233.3.211 - RS -
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.233.3.211 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.233.3.211 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.233.3.211 -j ACCEPT

## Producao - nfe.sefaz.rs.gov.br -  Sefaz IP: 200.233.3.102 - RS -
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 200.233.3.102 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 200.233.3.102 -j ACCEPT
iptables -A FORWARD -p tcp -d 200.233.3.102 -j ACCEPT

## Liberando acesso a update no SUBVERSION ACBR
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d 216.34.181.65 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d 216.34.181.65 -j ACCEPT
iptables -A FORWARD -p tcp -d 216.34.181.65 -j ACCEPT


## Liberando acesso a update no SUBVERSION ACBR
iptables -t nat -I PREROUTING -p tcp --dport 443 -s $REDE -d login.live.com -j ACCEPT
iptables -t nat -A PREROUTING -p tcp -d login.live.com -j ACCEPT
iptables -A FORWARD -p tcp -d login.live.com -j ACCEPT


## Liberando acesso a update no Flex ADOBE

#iptables -t nat -I PREROUTING -p tcp --dport 80 -s $REDE -d crl.verisign.net -j ACCEPT
#iptables -t nat -A PREROUTING -p tcp -d crl.verisign.net -j ACCEPT
#iptables -A FORWARD -p tcp -d crl.verisign.net -j ACCEPT

### Libera Windows Update

iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 80 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 69.44.123.167/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 69.44.123.167/32 --dport 443 -j ACCEPT
iptables -A INPUT -i $NET -p tcp -s 207.46.198.93/32 --sport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT
iptables -A FORWARD -o $NET -p tcp -d 207.46.198.93/32 --dport 443 -j ACCEPT

## Download 8081
iptables -A OUTPUT -o $NET -p TCP --dport 8081 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8084 -j ACCEPT



## Download VPN GRUPO
iptables -A OUTPUT -o $NET2 -p TCP --dport 10443 -j ACCEPT

### Libera trafego ping rede externa ###
#iptables -A INPUT -i $NET -p icmp -j ACCEPT
iptables -A OUTPUT -o $NET -p icmp -j ACCEPT       
iptables -A FORWARD -o $NET -p icmp -j ACCEPT       
   
### Libera trafego ping rede interna ###
iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT       

# LIBERAR A PORTA 3128
#iptables -A FORWARD -i $NET -p tcp --dport 3128 -d $REDE -j ACCEPT

#iptables -t nat -A PREROUTING -i $RLOCAL -s $REDE -p TCP --dport 80 -j REDIRECT --to-port 3128


iptables -t nat -A PREROUTING -i $RLOCAL -p tcp --dport 80 -j REDIRECT --to-port 3128


#iptables -t nat -A PREROUTING -i $RLOCAL -p tcp --dport 443 -j REDIRECT --to-port 3128


###Acesso a navegacao ###
iptables -A OUTPUT -o $NET -p TCP --dport 80 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 800 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 1880 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 443 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 8080 -j ACCEPT
iptables -A OUTPUT -o $NET -p TCP --dport 3389 -j ACCEPT


## LIbera acesso ao FTP ##
iptables -A FORWARD -o $NET -p TCP --dport 20 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 21 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 21 -j ACCEPT

## Servidor de E-mail  SMTP (25) POP3 (110)##
iptables -A FORWARD -o $NET -p TCP --dport 25 -j ACCEPT
iptables -A FORWARD -o $NET -p TCP --dport 110 -j ACCEPT


## Servidor TS
iptables -A FORWARD -o $NET -p TCP --dport 3389 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3389 -j ACCEPT

## Servidor SSH
iptables -A FORWARD -o $NET -p TCP --dport 22 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 22 -j ACCEPT

#Liberar MYSQL

iptables -A FORWARD -o $NET -p TCP --dport 3306 -j ACCEPT
iptables -A FORWARD -o $RLOCAL -p TCP --dport 3306 -j ACCEPT


## Liberar porta 2082/2083

iptables -A FORWARD -o $NET -p TCP --dport 2082 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 2082 -j ACCEPT

iptables -A FORWARD -o $NET -p TCP --dport 2083 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 2083 - j ACCEPT

##Liberar Postgresql

iptables -A FORWARD -o $NET -p TCP --dport 5432 -j ACCEPT
#iptables -A FORWARD -o $RLOCAL -p TCP --dport 5432 -j ACCEPT

## Liberar Porta 5006 Autocred

iptables -A FORWARD -o $NET -p TCP --dport 5006 -j ACCEPT

## Protocolo TCP entrada ##
iptables  -A INPUT -i $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo UDP saida ##
iptables -A OUTPUT -o $RLOCAL -p UDP -s $REDE -d $REDE -j ACCEPT
   
## Protocolo TCP saida ##
iptables -A OUTPUT -o $RLOCAL -p TCP -s $REDE -d $REDE -j ACCEPT


#Ponto Chave do firewall! Se nao entrar em nenhuma regra acima rejeita tudo!
iptables -A INPUT -i $NET -p tcp --syn -j DROP
#
# Mesmo assim fechar todas as portas abaixo de 32000
iptables -A INPUT -i $NET -p tcp --dport :32000 -j DROP
#




;;
stop)
echo "CUIDADO SUA MAQUINA ESTA SEM FIREWALL - ATENCAO!!!..."

iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -F
iptables -t nat -F

## COMPARTILHAR CONEXAO DE INTERNET
## IP DINAMICO
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE


## ATIVAR ROTEAMENTO
echo "1" > /proc/sys/net/ipv4/ip_forward

## LIBERAR A PROPRIA MAQUINA LOOPBACK PARA ACESSO A INTERNET
iptables -A INPUT -i lo -j ACCEPT

iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 3389 -j DNAT --to 172.18.20.20

iptables -t nat -A POSTROUTING -d 172.18.20.20 -j SNAT --to 172.18.20.253

ip ro del default via 192.168.1.1 dev eth2
ip rule del fwmark 2 table 20 prio 20
ip ro flush table 20


;;

*)
echo "Digite start, restart ou stop para ativar/reativar/desativar"
exit 1
;;

esac






































zekkerj

Acredito que o problema esteja aqui:
Citar
######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT # <<<<--------------------------
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP

A linha marcada está liberando todas as conexões, desde que dentro do limite de 1 conexão por segundo.

Alias, a linha logo em seguida é desnecessária, pois essa mesma liberação já foi feita algumas linhas antes.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

Comentei a linha que vc mencionou e funcionou blz o msn, nao acessa +....

Porem as os bancos e outros sites inclusive para fazer o login do forum que usa o HTTPS. deram pau nao querem + acessar...


zekkerj

Configure o navegador pra usar o seu proxy diretamente (preferível), ou adicione a linha abaixo:

iptables -A FORWARD -p tcp --dport 443 -j ACCEPT
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

Blz

Resolvido tinha esquecido desse detalhe..... = (

O seguinte.

### Libera trafego ping rede externa ###
#iptables -A INPUT -i $NET -p icmp -j ACCEPT
iptables -A OUTPUT -o $NET -p icmp -j ACCEPT       
iptables -A FORWARD -o $NET -p icmp -j ACCEPT       
   
### Libera trafego ping rede interna ###
iptables -A INPUT -i $RLOCAL -p icmp -j ACCEPT
iptables -A OUTPUT -o $RLOCAL -p icmp -j ACCEPT 


Como bloqueio o ping externo para o meu endereco??

Antes funcionava com a linha acima....

zekkerj

Citar#iptables -A INPUT -i $NET -p icmp -j ACCEPT

Se vc quer bloquear explicitamente esse tráfego, ative essa linha, mas mude de "ACCEPT" pra "DROP".
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

Já o fiz e nao obtive exito.

Alguma ideia??


zekkerj

Lembra daquele trecho que deu problema, com o TCP? A linha logo antes da que foi retirada é a que está atrapalhando agora...

Esse trecho vai atrapalhar todos os bloqueios que forem feitos mais tarde, pois tem vários "ACCEPT" lá dentro...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0


######################Protege contra pacotes danificados
#Portscanners, Ping of Death, ataques DoS, Syb-flood e Etc
#iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT #
#iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
#iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP


Comentei tudo e nada :(


zekkerj

Ah..... vc tem roteador, não? Quem está respondendo é ele...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Leandr0

Zekkerj

VO encerrar o Topico como resolvido, pois ja esta fugindo do assunto principal... vo correr atrras aqui do que aconteceu.... mas muito estranho....

MAs muito obrigado pela ajuda....

Abs.