MSN-Messenger en squidNT
| 28 lecturas |
Enviar por correo
| 
Ver para imprimir
| Update: Por el momento la unica forma de bloquearla que me ha funcionado ha sido esta.
acl msn_login url_regex -i login.live.com
luego la bloqueamos
http_access deny msn_login
desventajas: No te deja entrar al correo electronico.
Nota: El resto del manual no es funcional actualmente.
Habilitar o boquear completamente el MSN en squid.
1.- Creamos una ACL para las direcciones de los servidores de MSN.
| acl msn-dirs url_regex “c:/etc/squid/msn-dirs.txt” |
En el archivo msn-dirs.txt ponemos:
| messenger.hotmail.com messenger.msn.com messenger.microsoft.com echo-v1.msgr.hotmail.com echo-v2.msgr.hotmail.com echo-v3.msgr.hotmail.com echo-v4.msgr.hotmail.com echo-v5.msgr.hotmail.com echo-v6.msgr.hotmail.com echo-v7.msgr.hotmail.com echo-v8.msgr.hotmail.com echo-v9.msgr.hotmail.com echo-v10.msgr.hotmail.com g.msn.com |
2.- creamos un ACL para los puertos que usa el MSN.
| acl msn port 6891-6900, 1863, 6901 |
Los puertos 6891-6900 activan el envió de ficheros.
El puerto 6901 es para las comunicaciones de voz.
Para mensajes 1863.
3.- Creamos una ACL para la aplicación Messenger.
| acl msn-app req_mime_type ^application/x-msn-messenger$ acl msn-gat url_regex gateway.dll? |
Ya con esto podemos bloquear o permitir el Messenger a nuestro antojo y gusto, para lo cual solo necesitaríamos crear las respectivas reglas de acceso.
Denegando.
| http_access deny msn-dirs msn msn-app msn-gat |
Permitiendo.
| http_access allow msn-dirs msn msn-app msn-gat |
Fuentes:
http://www.linuxparatodos.net/geeklog/article.php?story=2594
http://www.compuayuda.net/referencia1.htm
http://www.microsoft.com/latam/seguridad/proteccion/puertos.asp
(Sin calificaciones)
Loading ...
Loading...
Entradas (RSS)
Hola Leonel, he seguido con mucho interes todos los contenidos en tu blog sobre SquidNT que gentil y desinteresadamente compartes con la comunidad mundial, y he ido aplicando poco a poco todo que he leido pero no he podido obtener los resultados esperados.
Tengo windows 2003 server enterprise con internet controlado y compartido por medio del servidor el cual es la puerta de enlace, y requiero fundamentalmente lo siguiente.
Permitir solo aquellas URL de uso corporativo.
Denegar todo el resto de URLs que no sean las anteriores
Filtrar direcciones IP especificas o MAC Adress de algunos equipos.
Aplicar politicas de acceso por horarios
Controlar el ancho de banda usado por cada usuario.
Controlar la descarga de algunos contenidos multimedia sobre todo (wma,mpg,avi,jpg,swf,gif,mp3,exe,com,etc)
impedir el uso de programas de chateo (messenger, hotmail, yahoo, gmail, ebuddy).
Activar y configurar el proxy transparente para evitar la configuracion individual en las estaciones clientes.
Hago todos los cambios y procesos y todo funciona perfecto es decir el comando squid -z y -i funcionan sin dar ningun error y el servicio se encuentra activo, lo detengo y vuelvo y lo arranco para que tome los cambios en el squid.conf y todo funciona bien y no hay ningun mensaje de error, pero no logro impedir nada de lo que necesito.
Tampoco e podido redireccionar las peticiones del puerto 80 hacia el 3128 auncuando para hacer las pruebas voy a cada estacion y hago los cambios en la configuracion de la conexion de los navegadores, dandole manualmente la direccion ip del servidor donde tengo instalado y funcionando el SquidNT y el puerto 3128.
Solicito muy comedidamente si me puedar dar tu valiosa ayuda para poner a funcionar el squidnt.
muchas gracias y felicitaciones por tu aporte al mejor uso de internet.
Luis alberto lopez
Hago todos los cambios y procesos y todo funciona perfecto es decir el comando squid -z y -i funcionan sin dar ningun error y el servicio se encuentra activo, lo detengo y vuelvo y lo arranco para que tome los cambios en el squid.conf y todo funciona bien y no hay ningun mensaje de error, pero no logro impedir nada de lo que necesito.
Tampoco e podido redireccionar las peticiones del puerto 80 hacia el 3128 auncuando para hacer las pruebas voy a cada estacion y hago los cambios en la configuracion de la conexion de los navegadores, dandole manualmente la direccion ip del servidor donde tengo instalado y funcionando el SquidNT y el puerto 3128. Oviamente una cosa es consecuencia de la otra.
Es decir, si los navegadores no usan el proxy para navegar jamas funcionaran las restricciones que pongas en este.
Deves indagar cual es la razon por el cual no se activa navegar por proxy en las terminales, intuyo que el problema es en las estaciones, ya que si el problema fuera el proxy seria imposible para las PCs navegar si el proxy no estuviera funcionando.
Leo: primero agradecer tu disposición de compartir tu trabajo en segundo tengo una pregunta; antes decirte que he configurado el squid siguiendo tus post y todo jala a la perfección ¡PERO!……. COMO HAGO PARA BLOQUEAR A LOS QUE SE BRINCAN LOS FILTROS CON PROGRAMAS COMO “ULTRASURF” “GPASS” “GPROXY” ENTRE OTROS…
de antemano gracias.
Hola muchas gracias por todos tus aportes me funcionan muy bien
estuve haciendo unas pruebas en una PCvirutal con win2003(esta tiene 2 tarjetas de red para intranet y extranet) y otras con windows xp el proxy funciona de maravilla bloqueandome todas las paginas que deseo, pero no se si me pudiras dar una ayuda, estuve 2 dias matandome buscando una solucion (no soy tan bueno en este programita),lo que queria hacer es que existan grupos por ejemplo cree un txt q era admin, y otro que era ventas, lo que se me ocurrio fue que admin(ya que el dueño no quiere tener bloqueos) entrar a todas las paginas y ventas tuviera las restricciones necesarias, al msn y a todo lo demas, pudieras darme una manito como hacer correr esta regla. saludos y muchas gracias por tus aportes
acl consentidos src “c:/etc/squid/consentidos.txt”
Donde Consentidos tendra las Ips de los consentidos, una linea por cada ip.
http_access deny restricciones !consentidos
con el ! le estas diciendo que denege las peticiones a las restricciones solo si no coinciden con las ips consentidas..
P.D. Segun la version de squid que tengas instalada llevara o no comillas…
gracias por tu rapida respuesta, voy a implementarlo ya sabia q algo me estaba fallando yo lo colocaba asi
http_access deny restricciones !consentidos
http_access allow restricciones !consentidos
creo que por eso no me permitia gracias,
lo mismo seria pra bloquear el msn cierto, saludos
Leonel buen dia
Una duda : cree las siguientes reglas
##sites tiene la lista de paginas que no se pueden accesar
acl sitiosx url_regex “c:\squid\etc\sites.txt”
http_access deny sitiosx
##regla para las ip`s de la gente que tiene libre la entrada
acl consentido url_regex “c:\squid\etc\consentido.txt”
http_access deny sitiosx !consentido
http_access allow net
YA QUE LAS PONGO REINICIE Y NO MARCA ERROR, PERO A LA DIRECCION QUE ESTA EN ARCHIVO LA BLOQUEA NO ME DEJA SALIR ASI QUISIERA SABER DONDE ESTA MI ERROR
EL ARCHIVO DE CONENTIDOS TIENE UNA IP
192.168.4.150
SIN MAS!
ESPERO TU RESPUESTA
GRACIAS!
Existe un detalle..
No estoy seguro, pero creo que la version actual de squid ya no necesita las comillas, teclea squid -z para ver si te arroja algun error.
El detalle con esos errores es que te dejan funcionar a squid pero la funcion que se espera no se activa.
Leo buen dia!
“comentario anterior acerca de como bloquear el msn a ciertas personas y a otras habilitarlo”
Te comento, quite las comillas y no marca error pero no toma en cuenta la ruta donde esta los archivos y no hace caso a la regla! seguire intentando?
la otra pregunta es acerca de si has logrado hacer el prosxy transparente???
gracias por la ayuda!
Hola Leonel, he seguido todos los pasos que describes para bloquear el msn pero no me anda, no me inicia el servicio.
que puedo hacer?? plissss ayuda…
Leo, segui al pie de la letra tus instrucciones , pero al querer aplicar la regla de allow me seguia bloqueando el msn a los usuarios, , te rucuerdo, pare el servicio de squid, comente la regla de deny , descomente la regla allow y nada de nada gracias de antemano
Edher: Con las nuevas versiones de msn y de live.com estoy teniendo problemas, debe ser que los nombres de los servidores o algunos parametros han cambiado, necesito revisarlo.
Y no, no he intentado siquiera hacerlo transparente, no le veo el sentido, me mandaro hace tiempo un dato, prove por curiosidad pero no me funciono, iva a buscar que fallo pero me falto tiempo y en cierta medida ganas, cada que requiero que sea transparente simplemente uso linux.
Pablo: squid -z y pones los errores aqui.
Tatan Los usuarios de msn estan navegando mediante el proxy?
Hola por aca de nuevo en esta parte del FORO , mira leo si mis usuarios salen por squidnt, algunos usan msn8.5 otros live , yo tengo live y a pesar que detengo el servicio coloco # a la regla ALLOW . descomento la que tiene el DENY , arranco con squid -z y luego arrannco el servicio y todo bien me bloquea el MSN , pero al invertir el proceso es decir #DENY y la de ALLOW , hummm nada de nada espero un tiempo ver que pasa si se ” refresca ” el squid en mi maquina y como si la regla de DENY se quedara pegada,.
Oyeme una pregunta al margen porq al decirle al msn que me revise la conexion me dice que la puerta de enlace no se encuentra esto me sale con squid activo y sin squid osea mis pc directos al router no pasa eso???
Entonces el problema es que por nada del mundo has logrado hacer que tus usuarios puedan usar el msn?
NOOO no , claro que si lo han usado ,pero lo que te queria decir es que al seguir al pie de la letra tus excelentes manuales cuando les aplico el DENY , evidentemente no salen, pero al aplicar el ALLOW el msn no conecta y sale el error que te dije antes, al verificar las concexiones el msn dice en sus pruebas que la puerta de enlace no existe osea sale el signo de admiracion dentro del triangulo amarillo , no se si es porq falte colocar algo en la configuracion de las tarjetas de los usuarios el gateway que se coloca en las propiedades ? creo yo, como te dije al colocar los usuarios con el adslrouter directo al switch salen perfectos.
Para bloquear las Redes Ociales:
http://www.taringa.net/posts/ebooks-tutoriales/3716751/bloquear-messengers-IMs-y-Redes-Ociales.html
Para bloquear las Redes Ociales:
http://www.taringa.net/posts/ebooks-tutoriales/3716751/bloquear-messengers-IMs-y-Redes-Ociales.html
He puesto la siguiente regla acl msn port 6891-6900, 1863, 6901 pero me marca error en esa misma linea al parecer por la palabra port uso squidnt 2.7 stable 7 y no he podido bloquear el messenger siguen saliendo
teclea squid -z y pegas aqui lo que te salga.
Acabo de publicar un pequeño escrito donde detallo los Parámetros Básicos de Optimización para Squid, los comandos descritos en el mismo funcionan tanto para squid para linux como para windows.
Creo que les resolvera algunas dudas.
http://leo-on.redimidas.com/2010/02/optimizacion-basica-para-squid/
Hola de nuevo, he tecleado el comando squid -z el error es el siguiente:
FATAL: Bungled Squid.conf line 637: acl msn port 6891-6900, 1863, 6901
squid cache (version 2.7 stable 7): terminated abnormally.
cual sera el problema lo tengo corriendo en windows 2003 enterprice
Hola link, por favor pon esa linea a la que hace referencia el squid -z esta en el squid.conf.
acl msn port 6891-6900, 1863, 6901
asi esta, solita, he quitado las comas y ya no me genera error pero no bloquea el msn.
Podias publicar las lineas de squid que modificaste en ACL y en reglas DENY
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl CONNECT method CONNECT
acl password proxy_auth REQUIRED
acl net src 192.168.1.0/255.255.255.0
acl banwords url_regex -i “C:/squid/etc/banwords.txt”
acl bansit url_regex -i “C:/squid/etc/bansit.txt”
acl extenciones url_regex -i “c:/squid/etc/extenciones.txt”
acl streaming rep_mime_type -i “c:/squid/etc/streaming.txt”
acl msn-dirs url_regex “c:/squid/etc/msn-dirs.txt”
acl msn-app req_mime_type ^application/x-msn-messenger$
acl msn-gat url_regex gateway.dll
acl msn port 6891-6900 1863 6901
acl sinmsn src “c:/squid/etc/sinmsn.txt”
acl hotmail src “c:/squid/etc/hotmail.txt”
acl notarios src “C:/squid/etc/sinbloqueos.txt”
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow msn msn-dirs msn-app msn-gat !sinmsn
http_access allow net !banwords !bansit !extenciones
http_reply_access allow net !streaming
http_reply_access allow notarios
http_access allow notarios
http_access allow password
Hola link, e estado probando y no logro que se bloque el messenger, necesito revisar a que puede deverse, tal vez las nuevas versiones esten mas protegidas o algo asi, en cuanto tenga algo lo informo.
si ha de ser eso, por que con la version anterior si se bloqueaba bien de rpente dejo de hacerlo con la nueva version. tal vez debamos crear una regla para socks.algo asi se me ocurre. bien estare dando mis vueltas por aqui. saludos y muchas gracias por la ayuda.
A mi me pasa al contrario. No logro que el windows live messenger 2009 ande a traves squid (me queda probar el beta ultimo de la 3.1)
Hola
He instalado el squid 2.7 stable en un servidor con windows 2003 server, la pregunta es la siguiente intento entrar a la siguiente direccion ftp, ftp://ftp.pcn.glauco.it/ pero me tira el siguiente error:
ERROR
The requested URL could not be retrieved
An FTP authentication failure occurred while trying to retrieve the URL: ftp://ftp.pcn.glauco.it/
Squid sent the following FTP command:
PASS
and then received this reply
Login incorrect.
Es algo referente a la autenticacion, tengo el password pero sin o carga la pagina no lo puedo accesar.
Crees que sea la Configuracion del Squid?, que modifico?, alguna ACL?
espero y me puedas ayudar. de antamano T agradezco.
YO que version del squid estas usando?, pon las acl y los accesos para ver que tienes configurado
Ando investigando, encontre algunas tantas opciones mas pero no funcionan, en cuanto tenga datos les aviso.
Te recomiendo que no uses squid para ftp, funciona a medias, lo que puedes hacer es configurar el user y name en el squid.conf
Leo estoy usando Squid 2.7 Stable en Windows XP, queria saber como hacer para bloquear msn en un grupo de PC y como permitirles o bloquearles Internet a solo ese grupo sin dejar a las restantes sin internet. Es un proxy en un colegio donde tambien lo utiliza administracion y direccion y a ellos si quiero que ande internet siempre, en cambio en la sala de computacion, solo cuando lo habilite. Gracias.
Perdon, me equivoque el nombre de usuario!!!! Recien me doy cuenta. Perdon Leo.
En que parte del squid.conf configuro el user y name para ftp?
Hola Gise, como hemos estado comentando, de momento no hemos encontrado la solucion.
Pacman.. respecto a tu pregunta.
ftp_user tuusuario@eldominio.com
Hola, encontre una forma de bloquear el messenger.
acl msn_login url_regex -i login.live.com
luego la bloqueamos
http_access deny msn_login
desventajas: No te deja entrar al correo electronico.
no he logrado que funcione, he borrado todo lo anterior y solo he puesto la regla nueva, pero no logro hacer que se bloquee, te dejo como lo hize:
acl sinmsn src “c:/squid/etc/sinmsn.txt”
acl msn_login url_regex -i login.live.com
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
http_access allow msn_login !sinmsn
y no he logrado que funcione.
Hola manuel, primero intenta denegar el msn a todos para corrovorar que la regla en cuestion este funcionando.
http_access deny msn_login
al hacerlo asi se los bloquearia a todos, entonces tendria que generar una regla para las ips que van a tener messenger y otra regla para los que no, no es asi?
si se bloquea pero a todos.
ha fucionado bien bloqueado el login por el momento, ahora los puertos donde envian archivos se que serian los 6891-6900 , como los bloqueo para que no manden ni recivan por el msn?
El asunto link es que a como estan las cosas, bloquear esos puertos aveces no evita que manden archivos.
Hola de nuevo,
Te agradezco tu tiempo, para responder nuestras dudas. en cuanto a tu respuesta del uso del ftp_user@dominio.com, aun no logro hacerlo funcionar, mi duda es si esta pagina la podemos configurar en el squid para que no pase por el proxy sino directamente hacia y desde internet, he leido algunas referencias respecto a si se puede o no, crees que esto solucione el acceso a esta pagina?
En otra duda que tengo, hace un par de semanas que configure el squid y en los primeros dias estuvo genial, pero a partir de hace una semana aproximadamente empece a tener problemas de conexion con las pcs clientes, se perdia la conexion a internet, esta demasiado lento, el messenger(que no esta bloqueado) se desconectaba en muchas ocasiones, total que volvi a configurar de nuevo el squid tomando como referencia tu manual, pero sigo con el mismo problema, ya revise las tarjetas y el cableado, si conecto la red directo al modem la navegacion se hace rapida, crees que tenga que ver las caracteristicas de mi equipo servidor?, son las siguientes:
Procesador intel celeron 1,8 Ghz,
memoria RAM 512 MB
Disco Duro: 60 GB
Una Referencia mas, lo que puedo darme cuenta en el visor de sucesos del servidor es que algunos sectores del disco duro estan defectuosos o presentan errores.
Espero que me puedas ayudar, una vez mas gracias.
Hola Pac-Man Primero revisa el tamaño de la cache y los logs, aveces crecen mucho, y esas caracteristicas del hardare del equipo que usas, son bastante buenas para squid, cuantos equipos usas?
Si la cache o los logs crecen mucho solo es necesario crear nuevos (vacios).
Respecto al proxy y el FTP te comento que yo lo uso directo, en mi caso uso filezilla y tiene una opcion donde se configura con proxy o directo.
Hola leo, lamento informar que ya no se bloquea el messenger con restringir el login.live.com aun asi se conecta el messenger, lo has revisado?
saludos..
Si link, si lo revise.
he logrado bloquear el msn pero no con el squid si no con el softperfect bandwidth manager, ademas que con ese mismo software pude volver transparente el squid, lo que hay que hacer es crear una regla en el softperfect y bloqueado el puerto 1863 mapeando el 3128 y haciendolo pasar por el.
tratare de realizar un manual y poner el link.
Lo que no he logrado realizar es el bloqueo de los p2p si alguien ha podio agradeceria la solucion.
Seria bueno ver eso.