no puedo bloquear el msn

Forums: 

Hola a todos, por pedirles su ayuda, no puedo bloquear el msn, estas instrucciones puso nuestro amigo RazaMetal, pero no me sale sigo teniedo acceso al msn

acl permitidos src "/etc/squid/permitidos"
# Bloqueamos gateway.dll para versiones viejas de MSN Messenger
acl msn_url url_regex -i gateway.dll
# Bloqueamos el puerto utilizado por todas las versiones
acl msn_port port 1863
# Bloqueamos el metodo POST utilizado por las nuevas versiones de MSN Messenger
acl msn_method method POST
acl CONNECT method CONNECT

http_access allow manager localhost
http_access allow permitidos
http_access allow redlocal
http_access deny all
http_access deny msn_messenger !permitidos
http_access deny msn_method msn_url !permitidos
http_access deny msn_port !permitidos
http_access deny CONNECT msn_port !permitidos

Esta otra parte lo hice dentro de un terminal y puse la instruccion que mencionas

/sbin/iptables -A FORWARD -s $LAN -d 0/0 -p tcp --dport 1863 -j REJECT

Hago un service squid restart y todo funciona bien, cuando quiero probar, igual me sigue permitiendo el acceso al msn, AYUDENME POR FAVOR.

mmm... este post me parece

Imagen de antares

mmm... este post me parece que ya lo ví antes... ¿no habrá una función merge para unir post iguales en uno solo?

Por lo demás... ¿revisaste el squid.log para ver si las peticiones están pasando por el proxy?

Si está pasando por el proxy, entonces habría que concentrarse en las reglas del proxy. Si no pasa hay que concentrarse en las reglas del iptables, esto puede ser más complejo, porque dependería de las reglas que ya estén puestas.

Recuerda que en iptables la primera regla que cumple con las condiciones es la que se cumple, y las otras ya ni siquiera son tomadas en cuentas. Es por eso que se recomienda poner primero las reglas específicas (excepciones) y al final las generales, el orden es sumamente importante.

Podrías probar poniendo:

/sbin/iptables -I FORWARD 1 -s $LAN -d 0/0 -p tcp --dport 1863 -j REJECT

Con esto esta regla la ponemos en primer lugar. Si le pones -A, la regla es incluída al final de las otras, y es muy probable que ni siquiera llegue a ser parseada por el firewall.

Saludos.

Saludos,

antares

Gracias amigo, como puedo

Gracias amigo, como puedo ver que instrucciones del firewall se ejecutan primero o eso que tu mencionas del las reglas del proxy.

Voy a probar lo que me dices a ver que pasa.

Ya te cuento..

Eso depende... por ejemplo

Imagen de antares

Eso depende... por ejemplo las reglas del squid generalmente están en el archivo squid.conf y este archivo generalmente está en /etc/squid

Sin embargo, si hablamos de iptables no siempre es igual, depende de tu distro, si usas las herramientas de la distro o si construiste un servicio de firewall aparte del de la distro.

Por ejemplo, si usas centos es muy probable que las reglas de firewall están en /etc/sysconfig/iptables, dento de centos ese archivo es el estándar para definir un firewall, sin embargo conozco algunos administradores que no usan para nada el servicio iptables, lo tienen deshabilitado, y las reglas de firewall están en otro archivo, personalizado por ellos.

Por lo menos puedes consultar el listado de reglas de la tabla filter que están en producción, puedes consultarlas con el comando:

iptables -nL

Saludos

Saludos,

antares

Muestranos la salida

Imagen de RazaMetaL

Muestranos la salida de:


iptables -nL

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Hola amigo. Aqui adjunto lo

Hola amigo.

Aqui adjunto lo que tengo dentro de iptables-config

# Load additional iptables modules (nat helpers)
# Default: -none-
# Space separated list of nat helpers (e.g. 'ip_nat_ftp ip_nat_irc'), which
# are loaded after the firewall rules are applied. Options for the helpers are
# stored in /etc/modprobe.conf.
IPTABLES_MODULES="ip_conntrack_netbios_ns"

# Unload modules on restart and stop
# Value: yes|no, default: yes
# This option has to be 'yes' to get to a sane state for a firewall
# restart or stop. Only set to 'no' if there are problems unloading netfilter
# modules.
IPTABLES_MODULES_UNLOAD="yes"

# Save current firewall rules on stop.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets stopped
# (e.g. on system shutdown).
IPTABLES_SAVE_ON_STOP="no"

# Save current firewall rules on restart.
# Value: yes|no, default: no
# Saves all firewall rules to /etc/sysconfig/iptables if firewall gets
# restarted.
IPTABLES_SAVE_ON_RESTART="no"

# Save (and restore) rule and chain counter.
# Value: yes|no, default: no
# Save counters for rules and chains to /etc/sysconfig/iptables if
# 'service iptables save' is called or on stop or restart if SAVE_ON_STOP or
# SAVE_ON_RESTART is enabled.
IPTABLES_SAVE_COUNTER="no"

# Numeric status output
# Value: yes|no, default: yes
# Print IP addresses and port numbers in numeric format in the status output.
IPTABLES_STATUS_NUMERIC="yes"

# Verbose status output
# Value: yes|no, default: yes
# Print info about the number of packets and bytes plus the "input-" and
# "outputdevice" in the status output.
IPTABLES_STATUS_VERBOSE="no"

# Status output with numbered lines
# Value: yes|no, default: yes
# Print a counter/number for every rule in the status output.
IPTABLES_STATUS_LINENUMBERS="yes"

Aqui esta lo del iptables -nL

# Generated by iptables-save v1.3.5 on Sat Jun 28 20:35:36 2008
*nat
:PREROUTING ACCEPT [2934310:300995282]
:POSTROUTING ACCEPT [22267:1987060]
:OUTPUT ACCEPT [55968221:2688164556]
-A PREROUTING -d 190.10.255.73 -p tcp -m tcp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A PREROUTING -d 190.10.255.73 -p udp -m udp --dport 3389 -j DNAT --to-destination 192.168.0.100:3389
-A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 8080
-A POSTROUTING -o eth0 -j MASQUERADE
COMMIT
# Completed on Sat Jun 28 20:35:36 2008
# Generated by iptables-save v1.3.5 on Sat Jun 28 20:35:36 2008
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state INVALID -j DROP
-A INPUT -i lo -j ACCEPT
-A INPUT -d 127.0.0.0/255.0.0.0 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth1 -j ACCEPT
-A INPUT -s 192.168.0.0/255.255.255.0 -i eth0 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p icmp -m icmp --icmp-type 8 -m limit --limit 1/sec -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 137 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 2/sec --limit-burst 10 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 25 --tcp-flags FIN,SYN,RST,ACK SYN -j DROP
-A INPUT -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 143 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 1433 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: MSSQL "
-A INPUT -p tcp -m tcp --dport 1433 -j DROP
-A INPUT -p tcp -m tcp --dport 6670 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Deepthrt "
-A INPUT -p tcp -m tcp --dport 6670 -j DROP
-A INPUT -p tcp -m tcp --dport 6711 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp -m tcp --dport 6711 -j DROP
-A INPUT -p tcp -m tcp --dport 6712 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp -m tcp --dport 6712 -j DROP
-A INPUT -p tcp -m tcp --dport 6713 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Sub7 "
-A INPUT -p tcp -m tcp --dport 6713 -j DROP
-A INPUT -p tcp -m tcp --dport 12345 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp -m tcp --dport 12345 -j DROP
-A INPUT -p tcp -m tcp --dport 12346 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp -m tcp --dport 12346 -j DROP
-A INPUT -p tcp -m tcp --dport 20034 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: Netbus "
-A INPUT -p tcp -m tcp --dport 20034 -j DROP
-A INPUT -p tcp -m tcp --dport 31337 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: BO "
-A INPUT -p tcp -m tcp --dport 31337 -j DROP
-A INPUT -p tcp -m tcp --dport 6000 -m limit --limit 3/hour -j LOG --log-prefix "Firewalled packet: XWin "
-A INPUT -p tcp -m tcp --dport 6000 -j DROP
-A INPUT -p udp -m udp --dport 33434:33523 -j DROP
-A INPUT -p tcp -m tcp --dport 113 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p igmp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 80 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --dport 443 -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:"
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j DROP
-A INPUT -s 92.168.0.0 -p tcp -m tcp --dport 1863 -j DROP
-A INPUT -s 92.168.0.0 -p tcp -m tcp --dport 5000:5061 -j DROP
-A FORWARD -m state --state INVALID -j DROP
-A FORWARD -i tun0 -o eth1 -j ACCEPT
-A FORWARD -o eth0 -p tcp -m tcp --dport 137 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth0 -p tcp -m tcp --dport 138 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth0 -p tcp -m tcp --dport 139 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth0 -p udp -m udp --dport 137 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth0 -p udp -m udp --dport 138 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -o eth0 -p udp -m udp --dport 139 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -o eth0 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -d 192.168.0.100 -p tcp -m tcp --dport 3389 -j ACCEPT
-A FORWARD -d 192.168.0.100 -p udp -m udp --dport 3389 -j ACCEPT
-A FORWARD -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -m limit --limit 5/min -j LOG --log-prefix "Firewalled packet:"
-A FORWARD -p tcp -j REJECT --reject-with tcp-reset
-A FORWARD -j DROP
-A FORWARD -p tcp -m tcp --dport 25 -j LOG
-A FORWARD -p tcp -m tcp --dport 25 -j DROP
-A FORWARD -p tcp -m tcp --dport 6891:6901 -j DROP
-A FORWARD -d 192.168.0.0/255.255.255.0 -p tcp -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -d 192.168.0.0/255.255.255.0 -p tcp -j ACCEPT
-A FORWARD -d 192.168.0.0/255.255.255.0 -p tcp -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -s 92.168.0.0 -p tcp -m tcp --dport 1863 -j DROP
-A FORWARD -p tcp -m tcp --dport 6891:6901 -j DROP
-A FORWARD -p tcp -m tcp --dport 1863 -j DROP
-A FORWARD -p udp -m udp --dport 1863 -j DROP
-A FORWARD -p tcp -m tcp --dport 5190 -j DROP
-A FORWARD -p tcp -m tcp --dport 5000:5061 -j DROP
-A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
-A OUTPUT -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j DROP
-A OUTPUT -s 92.168.0.0 -p tcp -m tcp --dport 1863 -j DROP
COMMIT
# Completed on Sat Jun 28 20:35:36 2008

En el squid tengo algo asi

# Squid normally listens to port 3128
#http_port 3128
http_port 8080 transparent

#Recommended minimum configuration:
acl all src 0.0.0.0/0.0.0.0
acl manager proto cache_object
acl localhost src 127.0.0.1/255.255.255.255
acl redlocal src 192.168.0.0/255.255.255.0
acl to_localhost dst 127.0.0.0/8
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl sitiosdenegados url_regex "/etc/squid/sitiosdenegados"
acl nopermitidos src "/etc/squid/nopermitidos"
acl permitidos src "/etc/squid/permitidos"
acl msn_messenger req_mime_type -i ^apllication/x-msn-messenger$
acl msn_url url_regex -i gateway.dll
acl msn_port port 1863
acl msn_method method POST
acl CONNECT method CONNECT

#Default:
# http_access deny all
#
#Recommended minimum configuration:
#
# Only allow cachemgr access from localhost
http_access allow manager localhost
#http_access deny nopermitidos sitiosdenegados
http_access allow permitidos
http_access allow immevi
http_access deny all
http_access deny msn_messenger !permitidos
http_access deny msn_method msn_url !permitidos
http_access deny msn_port !permitidos
http_access deny CONNECT msn_port !permitidos
http_access deny manager
# Deny requests to unknown ports
http_access deny !Safe_ports
# Deny CONNECT to other than SSL ports
http_access deny CONNECT !SSL_ports

# And finally deny all other access to this proxy
http_access allow localhost
http_access deny all

Espero me puedan ayudar por fa, me voy a volver loca con este tema

Saludos

Ayúdenme

Ugghh... me da pereza leer

Imagen de RazaMetaL

Ugghh... me da pereza leer todas esas líneas.

Muestranos la salida de los siguientes comandos:

iptables -nL | grep 1863


iptables -nL -t nat

El primero es para conocer si estas bloqueando el puerto 1863 que es el que cliente MSN Messenger utilizar para conectarse a sus servidores. Y el último es para conocer si estas redireccionando todo el tráfico http hacia el puerto en el que squid escucha.

------------

Antes de preguntar visita el [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

 

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

-----

Visita este [url=http://www.sindominio.net/ayuda/preguntas-inteligentes.html]link[/url] :evil:

[img]http://www.bbspot.com/Images/News_Features/2003/01/os_quiz/debian.jpg[/img]

(adsbygoogle = window.adsbygoogle || []).push({});

Yo si me di el lujo de leer

Imagen de antares

Yo si me di el lujo de leer }:)

[quote]-A OUTPUT -o eth0 -m state --state NEW -j ACCEPT
-A OUTPUT -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 25 -j DROP
-A OUTPUT -s 92.168.0.0 -p tcp -m tcp --dport 1863 -j DROP[/quote]

La segunda regla acepta todos los paquetes de salida. La cuarta regla supuestamente bloquea el msn a la red (fijense que la red está mal escrita, debe ser 192 en lugar de 92). Sin embargo la primera que se encuentra se parsea, en otras palabras como la segunda regla acepta todo, las demás reglas no son tomadas en cuenta (inclusive esa regla que prohibes la salida del puerto 25).

Salduso

Saludos,

antares

Pues corregir tu script de

Imagen de jcyepez

Pues corregir tu script de firewall

Retira esta línea
[quote]-A OUTPUT -o eth0 -m state --state NEW -j ACCEPT[/quote] Esto hace que cualquier filtro que pongas se inhabilite. ya que estás permitiendo el paso de cualquier paquete.

Corrige esto:[quote]
-A OUTPUT -s 92.168.0.0 -p tcp -m tcp --dport 1863 -j DROP[/quote]

No hace referencia a tu red.

Saludos

Juan Yépez
093681879

Saludos

Juan Yépez
0993681879
Dj - Discomovil Quito

Páginas