[GTER] Bloqueio do MSN (era skype x layer7)

Luiz Gaspar luizgaspar at gmail.com
Tue Aug 7 15:48:58 -03 2007 

Bem, eu implantei este arquivo de configuração no SQUID.

Qualquer esclarecimento, estamos aí (coloco aqui apenas o arquivo básico...)

###################################################
# SCRIPT DE CONFIGURACAO DO SQUID
#
#
# Porta utilizada pelo squid
#
http_port 3128 transparent
#
# Nome do servidor (sem espacos)
#
visible_hostname xxx.xxx.com.br <http://debproxy.saosalvadorcivil.com.br/>
#
# Servidores DNS a serem consultados
#
dns_nameservers yyy.yyy.yyy.yyy
#
# Local onde sera armazenado os logs do squid
#
cache_access_log /var/log/squid/access.log
#
# Converte as mensagens geradas pelo squid para o Portugues
#
error_directory /usr/share/squid/errors/Portuguese
#
#



refresh_pattern ^ftp: 15 20% 2280
refresh_pattern ^gopher: 15 0% 2280
refresh_pattern . 15 20% 2280


acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 563
acl Safe_ports port 80         # http
acl Safe_ports port 21         # ftp
acl Safe_ports port 443 563    # https, snews
acl Safe_ports port 70         # gopher
acl Safe_ports port 210        # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280        # http-mgmt
acl Safe_ports port 488        # gss-http
acl Safe_ports port 591        # filemaker
acl Safe_ports port 777        # multiling http
acl Safe_ports port 901        # SWAT
acl purge method PURGE
acl post method POST
acl CONNECT method CONNECT

http_access allow post
http_access allow manager localhost
http_access deny manager
http_access allow purge localhost
http_access deny purge
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports


# Definiremos a seguir as regras para bloqueio dos sites pelas
# palavras adicionadas no arquivo [bloqueados]
# As regras serão estabelecidas por grupos de acessos conforme
# as ACLs criadas abaixo.
#
acl redelocal src 192.168.0.0/24
acl diretoria src "/etc/squid/acls/diretoria"
acl bloqueados url_regex -i "/etc/squid/acls/bloqueados"
acl permitidos url_regex -i "/etc/squid/acls/permitidos"
acl ips_proibidos src "/etc/squid/acls/ips_proibidos"
acl dominio_bloqueia dstdomain "/etc/squid/acls/dominio_bloqueia"
acl site_almoco url_regex -i "/etc/squid/acls/almoco"

## MSN block
acl msn url_regex http.messenger.*.com messenger gateway.dll
acl msn_bloqueio_ips src "/etc/squid/acls/ips_msn_bloqueados"

# redirect_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf

acl manha time 08:00-12:00
acl almoco time 12:01-13:59
acl tarde time 14:00-18:00
acl noite time 18:01-23:59
acl madrugada time 00:01-08:00


acl controle1 url_regex -i 192.168.0
  acl controle2 url_regex -i ftp .com .exe .dll .scr .mp3 .mp4 .tar.gz .gz
.zip .rar .avi .mpeg .mpg .qt .ram .rm .iso .raw .wav .z .wmv
  acl controle3 url_regex -i \.com$ \.exe$ .\dll$ \.scr$ \.mp3$ .\mp4$
\.tar.gz$ \.gz$ \.zip$ \.rar$ \.avi$ \.mpeg$ \.mpg$ \.qt$ \.ram$ \.rm$
\.iso$ \.raw$ \.wav$ \.z$ \.wmv$
  delay_pools 2
  delay_class 1 2
  delay_parameters 1 -1/-1 -1/-1
  delay_access 1 allow controle1
  delay_class 2 2
  delay_access 2 allow redelocal
  delay_access 2 allow controle2

# Permissoes (o sentido da leitura é de cima para baixo, mais alto, tem
maior prioridade...)

### MSN block
http_access deny msn msn_bloqueio_ips
miss_access deny msn msn_bloqueio_ips


http_access allow diretoria
http_access deny ips_proibidos
#http_access deny controle2 ####----<<<--cuidado - esta regra bloqueia
tudo-->>>----####
http_access allow localhost
http_access allow site_almoco !manha !tarde !noite !madrugada
http_access allow permitidos

http_access deny controle3
http_access allow redelocal !bloqueados !dominio_bloqueia


#
# Abaixo bloqueamos a navegacao.
# Liberado apenas pra faixa definida na "acl redelocal".
#
http_access deny all

##############################################

É isso aí...

Abs,


On 8/7/07, Marcelo Guido (CTA/IFI/CFA) <marcelo.guido at ifi.cta.br> wrote:
>
> Boa tarde!
>
> Não sei se é pergunta padrão, do tipo "Putz, que pergunta mais besta
> ein..." :-) Mas em todo caso, vamos lá... até por que sou "iniciante"
> nesta área de segurança.
>
> Luiz, como vc conseguiu bloquear o MSN? Por aqui temos tentado de tudo
> que tem na Internet e não conseguimos bloquear... Vc consegue bloquear o
> MSN via web tbm?
>
> Grato!
> Marcelo Guido
>
> Luiz Gaspar escreveu:
> > Caros,
> >
> > Vou fazer novos testes esta semana, em uma rede com mais "controle".
> >
> > A necessidade justifica-se por 2 motivos:
> >
> > 1. Controle de banda;
> > 2. Reprimir o usuário que "consome tempo produtivo" no Skype, uma vez
> que é
> > esta alternativa a mais comum ao MSN bloqueado - o que é o caso aqui.
> >
> > Postarei os resultados brevemente.
> >
> > Grato,
> >
> >
>
> --
> Marcelo Guido de Oliveira Guimarães
> Técnico em Informática
>
> tel: 0 XX 12 3947-5267
> email: marcelo.guido at ifi.cta.br
>
> Comando-Geral de Tecnologia Aeroespacial
> Instituto de Fomento e Coordenação Industrial
> Divisão de Coordenação e Fomento Aeroespacial
>
>
> --
> gter list    https://eng.registro.br/mailman/listinfo/gter
>



-- 
Luiz Gaspar de França dos Santos
---------------------------------------------------
IT Director - Diretor de TI
Quality Informática Ltda.
---------------------------------------------------

More information about the gter mailing list