Bloquear site específico no squid (Resolvido)

[mgottfried]

Ola pessoal .
preciso configurar um server squid com bloqueio total a chats , msn e pricipalmente login no site do hotmail, alguem tem uma sugestão.

[Tota]

Ola

Seria interessante postar o que já fez, quais regras aplicou, etc.

Isto poderia ajudar em muito ao forum ajudar a resolver sua duvida.

[]'s

[zekkerj]

Isso não é um site específico. Site específico é "facebook", "twitter", "playboy". Você quer bloquear uma categoria de sites... informe-se sobre o DansGuardian.

[mgottfried]

meu squid :

acl blockedsites url_regex -i "/etc/squid/sites_block.txt"
http_access deny blockedsites
acl msnmessenger url_regex -i gateway.dll
http_access deny msnmessenger
acl HOST_MSN src 172.168.0.0/24
http_access allow redelocal
http_access allow localhost
http_access deny all

meu Firewall:

/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
# Nessa regra iremos redirecionar todo tráfego da porta 80 da eth0 para a porta 3128 do squid.
/sbin/iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128
echo "Carga do Proxy Transparente OK!"
# Nesta Regra Bloqueio do MSN
/sbin/iptables -A FORWARD -s 172.168.0.0 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 172.168.0.0 -p udp --dport 54001 -j REJECT
/sbin/iptables -A FORWARD -s 172.168.0.0 -p tcp --dport 8695 -j REJECT
/sbin/iptables -A FORWARD -s 172.168.0.0 -p udp --dport 8724 -j REJECT
/sbin/iptables -A FORWARD -s 172.168.0.0 -p tcp --dport 9474 -j REJECT
/sbin/iptables -A FORWARD -s loginnet.passport.com -j REJECT
/sbin/iptables -A FORWARD -s login.passport.net -j REJECT
/sbin/iptables -A FORWARD -s svcs.microsoft.com -j REJECT
/sbin/iptables -A FORWARD -s gateway.messenger.hotmail.com -j REJECT
/sbin/iptables -A FORWARD -s messenger.hotmail.com -j REJECT


quanto ao site especifico seria o : www.hotmail.com.br
e todo quanto for chat
com este squid por sites ja consegui bloquear : facebook , orkut , etc .... o problema é site citado acima .

[zekkerj]

Bom, o bloqueio específico é fácil:

acl hotmail dstdomain .hotmail.com.br
acl hotmail dstdomain .hotmail.com
http_access deny hotmail

Em tempo, no squid.conf padrão há uma série de regras e bloqueios padrão que eu recomendo manter...

[mgottfried]

coloquei estes sites na lista :
gateway/gateway.dll
gatway/gateway.dll
passport.com
msn.com.br
msn.com
sc.msn.com
MSN | Hotmail | Messenger | Nieuws, entertainment, video, sport, lifestyle, auto en nog veel meer, dat is MSN !
207.46.110.11
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com
.msgr.
webmessenger.msn.com
loginnet.passport.com
login.oscar.aol.com
login.icq.com
216.35.208.0
209.61.186.0
64.49.201.0
209.25.178.0
206.142.53.0
64.245.58.0
edge.messenger.live.com
messenger.live.com
secure.shared.live.com



não entra no hotmail , mas também não da mensagem de bloqueio do squid fica site em branco , e quanto aos sites de chat , chat em geral como bloquear.

[zekkerj]

Cara, tem várias entradas nessa lista que não são nem de perto um site.

O fato de não estar dando mensagem de bloqueio, confirme no log do squid se os acessos estão sendo bloqueados. Se estiver passando pelo squid, você tem obrigatoriamente que ter uma linha de log de acesso, seja aceitando a passagem (TCP_HIT, TCP_MEM_HIT, TCP_MISS, TCP_NEAR_MISS, etc), seja bloqueando (TCP_DENY). Se não logar, é pq não estão passando pelo squid --- isso é comum se vc estiver usando proxy transparente.

Sobre bloqueio de chats, já disse: informe-se sobre o DansGuardian.

[mgottfried]

quando tento acessar o hotmail.com.br gera o seguinte log :

1340124407.296    423 192.168.1.202 TCP_MISS/302 1915 GET http://www.hotmail.com.br/ - DIRECT/65.55.75.151 text/html
1340124408.737   1438 192.168.1.202 TCP_MISS/200 19519 CONNECT login.live.com:443 - DIRECT/65.54.186.47 -
1340124408.767      0 192.168.1.202 TCP_DENIED/403 1554 CONNECT secure.shared.live.com:443 - NONE/- text/html
1340124408.767      0 192.168.1.202 TCP_DENIED/403 1554 CONNECT secure.shared.live.com:443 - NONE/- text/html
1340124408.783      0 192.168.1.202 TCP_DENIED/403 1554 CONNECT secure.shared.live.com:443 - NONE/- text/html
1340124408.790      0 192.168.1.202 TCP_DENIED/403 1554 CONNECT secure.shared.live.com:443 - NONE/- text/html
1340124408.790      0 192.168.1.202 TCP_DENIED/403 1554 CONNECT secure.shared.live.com:443 - NONE/- text/html


Quanto ao bloqueio do chat não tinha visto na resposta anterior , ja achei uma documentação , valeu pela dica .

[zekkerj]

Naquelas regras que vc passou não tinha nada bloqueando o site www.hotmail.com.br.

[mgottfried]

Fiz controle por "palavra"