Como libero MSN NO SQUID por usuario

eduardocapaneli
(usa Ubuntu)

Enviado em 29/01/2011 - 15:18h

Boa tarde pessoal, estou com pequena duvida nao consigo liberar o msn da erro de portas no msn! e como libero o msn por usuario? AQUI ESTA MEU .CONF


#
# CRIADO POR EDUARDO CAPANELI 20/01/11
# ULTIMA ALTERACAO 26/01/11
#

# a porta que o squid usa, 3128 é padrão
http_port 3128

# Servidor Linux é nome do micro na rede
visible_hostname Servidor Linux

######### para quem não sabe, cache é o armazenamento das páginas
# CACHE # abertas pelos usuários, afim de acelerar uma nova visita,
######### aumenta consideravelmente a velocidade de navegação

cache_mem 64 MB
# quantidade da cache usada na memória ram,
############## recomendo o uso de 1/4 da memória disponível
############## a não ser, que o micro seja utilizado para outras
############## funções.

#PORTAS LIBERADAS
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563 2083 2096 10000 5500 8443
acl Safe_ports port 3128 # proxy
acl Safe_ports port 80 # http
acl Safe_ports port 81 # http2
acl Safe_ports port 8080 # tomcat
acl Safe_ports port 8443 # pesquisa TCE
acl Safe_ports port 2083 # cpanel
acl Safe_ports port 2096 # webmail
acl Safe_ports port 10000 # webmin
acl Safe_ports port 21 # ftp
acl Safe_ports port 5500 # sisplan
acl Safe_ports port 443 563 # https, snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 901 # SWAT
acl purge method PURGE
acl CONNECT method CONNECT

# BLOQUEIO DE MSN
acl msn_ip src 192.168.1.104/9
acl libmsn dstdomain loginnet.passport.com
acl libmsnmessenger url_regex -i gateway.dll
acl lib_msn req_mime_type -i ^application/x-msn-messenger$
http_access allow libmsn msn_ip
http_access allow libmsnmessenger msn_ip
http_access allow lib_msn msn_ip

#BLOQUEIO DE MSN 02
#acl msnliberados src "/etc/squid/msn_liberados"
#acl msnmessenger url_regex -i gateway.dll
#acl MSN req_mime_type -i ^application/x-msn-messenger$
#http_access deny msnmessenger !msnliberados
#http_access deny MSN !msnliberados





#autenticação de usuario

auth_param basic children 15
auth_param basic credentialsttl 2 hours

# O ARQUIVO S_passwd DEVE SER CRIADO O ARQUIVO DE SENHAS DENTRO DA PASTA DO SQUID NO TERMINAL COM O COMANDO (urpmi apache 1 # opção) # htpasswd -c S_passwd "nome do usuario"
# DEPOIS CRIAR OS USUARIOS E SENHAS COM O COMANDO # htpasswd NOME_USUARIO
# LOGO EM SEGUIDA CONFIRME A SENHA DUAS VEZES

auth_param basic program /usr/lib/squid/ncsa_auth /etc/squid/S_passwd

maximum_object_size_in_memory 64 KB
maximum_object_size 700 MB
minimum_object_size 10 KB
cache_swap_low 90
cache_swap_high 95

#abaixo, o diretório onde o cache será armazenado em disco,
#recomendo a utilização deste diretório abaixo que é o padrão
# o número 5000 porque serão disponibilizados 5GB de espaço
# altere conforme as suas possibilidades.

cache_dir ufs /var/spool/squid 5000 16 256

refresh_pattern ^ftp: 15 2% 2280
refresh_pattern ^gother: 15 0% 2280
refresh_pattern . 15 20% 2280

cache_effective_user squid

########
# LOGS #
########

cache_access_log /var/log/squid/access.log


#########
# ACLs ##
#########



# A acl ip_permitidos são os IPs que não terão sua navegação restrita
# NA LINHA ABAIXO COLOCAM-SE OS IPs QUE NAVEGAM SEM AUTENTICAÇÃO
acl ip_permitidos src 192.168.1.100

# AQUI CONCEDE ACESSO TOTAL
http_access allow ip_permitidos

acl localhost src 127.0.0.1/255.255.255.255

# A acl redelocal, são os demais micros, que terão a navegação restrita
# ajuste-a conforme a sua classe, se usa IPs 192, altere para 192.168.0.0/24
# O "/24" significa máscara 255.255.255.0

acl redelocal src 192.168.1.1/24

# Abaixo vem a indicação para o arquivo que conterá as palavras
# que não poderão conter nos sites que os usuários visitar.
# No arquivo exceções, haverá palavras que que anulam a proibição
# com por exemplo sexoesaude.

# ESTA LINHA OBRIGA A AUTENTICAÇÃO
acl password proxy_auth REQUIRED

# ACETOTAL.TXT ONDE ESTÁ OS USUARIOS COM ACESSO TOTAL
# RESTRITO.TXT ONDE ESTÁ OS USUARIOS COM ACESSO RESTRITO
# PROIBIDOS.TXT COLOCAM-SE AS PALAVRAS OU SITES PROIBIDOS PARA OS USUARIOS RESTRITOS
# EXCECOES.TXT COLOCAM-SE OS SITES QUE PERMITEM DOWNLOAD DE ARQUIVOS

# acl que controla o acesso por usuarios
acl restrito proxy_auth "/etc/squid/restrito"
acl total proxy_auth "/etc/squid/acetotal"
acl proibidos url_regex "/etc/squid/proibidos"
acl excecoes url_regex "/etc/squid/excecoes"


# As ACLs a seguir, bloqueiam downloads pelas extensões dos arquivos.
# você adicionar novas extensões da mesma forma.
acl exe url_regex -i .exe
acl zip url_regex -i .zip
acl rar url_regex -i .rar
acl scr url_regex -i .scr
acl msi url_regex -i .msi
acl wmv url_regex -i .wmv
acl pif url_regex -i .pif
acl avi url_regex -i .avi

# acl para liberar o programa da Caixa
acl Safe_ports port 2631

# NESTA LIHA DEFINE O HORÁRIO DE ACESSO LIVRE PARA OS USUARIOS RESTRITOS
acl almoco time MTWHF 12:00-13:30

http_access deny exe !excecoes
http_access deny zip !excecoes
http_access deny rar !excecoes
http_access deny scr !excecoes
http_access deny msi !excecoes
http_access deny wmv !excecoes
http_access deny pif !excecoes
http_access deny avi !excecoes

# ESTA LINHA DA ACESSO TOTAL AOS USUARIOS DO ARQUIVO ACETOTAL.TXT
http_access allow total

# ESTA LINHA DA ACESSO TOTAL AOS USUARIOS RESTRITOS NOS HORARIOS PERMITIDOS PELA EMPRESA
http_access allow almoco

# ESTA LINHA LIBERA TODOS OS SITES, MENOS OS QUE ESTÃO NO ARQUIVO PROIBIDOS.TXT
http_access allow restrito !proibidos

# ESTA LINHA LIBERA O ACESSO NO HORARIO FORA DO EXPEDIENTE
http_access deny restrito !almoco

# ESTA LINHA LIBERA TODAS AS PORTAS
http_access allow Safe_ports

# ESTA LINHA LIBERA ACESSO APENAS PARA QUEM ESTÁ NA REDE
http_access allow redelocal

# ESTA LINHA BLOQUEIA OS DEMAIS ACESSOS
http_access deny all

#######################
# PROXY TRANSPARENTE ##
#######################

#httpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on

#######################
## FIM DO SQUID.CONF ##
#######################
# http://www.mandrivabrasil.org/site/index2.php?option=com_content&do_pdf=1&id=70

fs.schmidt
(usa CentOS)

Enviado em 29/01/2011 - 20:35h

Olá amigo, tente adaptar essas regras:

##Controle do MSN
acl msnmessenger url_regex -i gateway/gateway.dll? login.live.com
acl MSN rep_mime_type -i ^application/x-msn-messenger$
acl webmsn url_regex "/etc/squid/sites/webmsn.txt" #Sites de acesso ao msn

#Estações sem acesso ao msn
acl semmsn src "/etc/squid/estacoes/semmsn.txt"

#Aplicação das regras MSN
http_access deny semmsn MSN
http_access deny semmsn msnmessenger
http_access deny semmsn webmsn

eduardocapaneli
(usa Ubuntu)

Enviado em 29/01/2011 - 21:10h

joguei a regra e nada adiantou! :(
Não entendi como libero o msn por usuario autenticado...

pessoal me ajudem!!!
boa noite a todos

fs.schmidt
(usa CentOS)

Enviado em 29/01/2011 - 21:58h

tente liberar a portas do msn no squid:

acl Safe_ports port 1863 #MSN

Uma pergunta, voce nao esta utilizando proxy transparente? Está fazendo o compartilhamento da internet com nat ou somente o proxy?

neogorn
(usa CentOS)

Enviado em 31/01/2011 - 13:36h

A 2 semanas eu tinha quase o mesmo problema nao conseguia liberar msn na rede pra ninguem
porem, consegui da seguinte forma:

Crie uma acl liberando acesso aos sevidores do msn antes de pedir autenticação.
e para escolher que vai acessar crie regras no iptables bloqueando a porta 1863 para certos ips,
aqueles que vc nao quer que acesse o msn.Pra mim funcionou! segue abaixo o links que eu adicionei.

evsecure-crl.verisign.com
evsecure-ocsp.verisign.com
ssw.live.com
g.live.com
directory.services.live.com
byrdr.omega.contacts.msn.com
secure.wlxrs.com
crl.globalsign.net
proxy-bay.contacts.msn.com
rad.msn.com

eduardocapaneli
(usa Ubuntu)

Enviado em 01/02/2011 - 11:34h

neogorn SOU NOVO NO LINUX!

PODERIA ME DETALHAR MAIS SOBRE COMO RESOLVEU SEU CASO...
OBRIGADO!!!

neogorn
(usa CentOS)

Enviado em 02/02/2011 - 15:17h

Faz o seguinte, na linha do seu squid onde e configurado para pedir autenticação.
Coloque antes dela uma acl liberando esses dominios que eu citei acima.
Como vc esta vendo abaixo eu faço autenticação pelo meu AD, e antes de pedir autenticação eu ja libero os dominios do msn, lembrando que os squid faz a checagem de cima para baixo no .conf então ele vai liberar primeiramenta para todos o msn, ate agora o unico jeito que achei. E para bloquear e liberar eu adcionei no iptables a porta de conexão do msn 1863 para ao ip que eu quero. ex: Liberando(iptables -A FORWARD -p tcp --dport 1863 -s 192.168.0.50 -j ACCEPT )
Bloqueando(iptables -A FORWARD -p tcp --dport 1863 -s 192.168.0.15 -j DROP)

Vai ficar mais ou menos assim no squid:


acl msn url_regex -i "/etc/squid3/acl/msn"
http_access allow msn

#FAZENDO AUTENTICACAO PELO AD:
auth_param basic realm Este acesso sera registrado Digite seu Usuario e senha
auth_param basic children 5
auth_param basic credentialsttl 15 minute
auth_param basic program /usr/lib/squid3/squid_ldap_auth -R -b "dc=dominio,dc=com" -D "cn=proxy_user,ou=Internet,dc=rti,dc=com" -w "654321" -f sAMAccountName=%s -h 192.168.0.2

#ACL EXTERNA PARA AUTENTICACAO PELO AD:

external_acl_type ldap_group %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=rti,dc=com" -D "cn=proxy_user,ou=Internet,dc=rti,dc=com" -w "654321" -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=Internet,dc=dominio,dc=com))" -h 192.168.0.2

weltonpba
(usa Debian)

Enviado em 03/02/2011 - 09:33h

Cara eu uso apenas essa regra e deu certo comigo:

acl usuariosMSN proxy_auth user1 user2
acl msnLIB url_regex -i gateway.dll

http_access allow msnLIB usuariosMSN
http_access deny msnLIB

Obs.: Ir nos parâmetros do msn e especificar o usuario do squid que esteja liberado para acessar!

eduardocapaneli
(usa Ubuntu)

Enviado em 03/02/2011 - 17:31h

Pessoal olhei no registro access.log e esta bloqueando o seguinte item:

296761241.361 1 192.168.1.5 TCP_DENIED/407 3687 POST http://www.sqm.microsoft.com/sqm/messenger/sqmserver.dll - NONE/- text/html

como desbloqueio?