lunes, 12 de marzo de 2012

Pfsense 2: Bloquear WEB MSN con Squid.

Como podemos bloquear web msn con pfsense+squid?

Squid es un poderoso software con el cual podemos proteger nuestra red de muchas cosas, como bloquear web msn, esta tarea es basica en cualquier red.

Para llevar a cabo esto debemos hacer uso de los siguientes ACL:

1) Abrimos la consola.
2) Abrimos el archivo squid.conf y agregamos las siguientes ACL:

acl msnmime req_mime_type ^application/x-msn-messenger
acl msngw url_regex -i gateway.dll
acl msnproxy url_regex -i xmlProxy.htm

3) Ya solo es cuestion de decidir donde vamos a colocar estos ACL, en este ejemplo voy a bloquear a todos, asi que las coloco al principio de nuestras ACL:

http_access deny msnmime
http_access deny msngw
http_access deny msnproxy

Lo que sigue son las ACL que estaban operando, por lo regular las reglas que bloquen siempre a el inicio.

4) Le pedimos a squid que levante los cambios.

squid -k reconfigure

5) Probar.

6) Leer los logs de squid y deben ver esto:

1331616635.498      0 192.168.50.100 TCP_DENIED/403 1438 POST http://sn1.gateway.messenger.live.com/gateway/gateway.dll? - NONE/- text/html
1331616755.703      0 192.168.50.100 TCP_DENIED/403 1438 POST http://sn1.gateway.messenger.live.com/gateway/gateway.dll? - NONE/- text/html



El navegador nos va a dar esto:

Tratando de Reconectar.
Como podran ver en la figura anterior el web msn esta tratando de conectarse, entonces a funcionado.

Ahora si abrimos el live msn que se instala vamos a observar esto:

GUI MNS bloqueado.
Tambien ha sido bloqueado.


7)Consejo, si desean llevar esto aun mas recuerden que su firewall solo debe permitir salir a los puertos que necesitamos, la regla que dice que nuestra LAN puede salir a donde sea no sirve para esto, eliminenla y abran solo lo que necesitan, ejemplo:

Puertos Necesarios Solamente.
Como podran observar solo he abierto lo que mi red necesita, nada mas, el msn GUI usa el puerto 1863 TCP, si alguien quiere usarlo sin pasar por el proxy no va a poder salir, si da de alta el proxy en el GUI de todos modos no puede salir como ya observamos, creo que hemos hecho la tarea correcto!!!

8) Listo.

Hasta pronto.

12 comentarios:

chooss dijo...

saludos hermano y mis respetos
quisiera implementar thundercache con pfsense pero no logro hacerlo funcionar con las reglas nat de 2.0 (el modo seria en paralelo)
mi red esta de esta manera
moden (ip dinamica)=======> pfsense(2.0)=======>ap========>clientes.

el thunder sera implementado en paralelo añadiendole otra tarjeta de red al pfsense.


moden(ip dinamica)======>pfsense(192.168.1.1)=========>ap(192.168.1.7)=======>clientes
(192.168.2.1)"
"
"======thundercache(192.168.2.2)

estoy en el foro de pfsense seudonimo chooss

Pedro Moreno dijo...

Hola choss.

Me imagino que deseas hacer un balanceador de cargas web pero para el thundercache correcto?

Sw brazileno, que es lo que hace y como opera?

Saludos!!!

Anónimo dijo...

no hermano lo que quiero es redirigir todo el trafico de la lan para el thundercache el cual sera un servidor para cachear todas las paginas ,videos etc y despues entregarcelos a los de la lan a velocidad de red y de esta forma rendir el ancho de bando, con mikrotik es un pan comido pero con pfsense me tiene muy loco ,ni duermo en pruebas y pruebas pero no doy con el clavo FRUSTADOOOOOOOOOO.

Anónimo dijo...

te recuerdo que tengo el 2.0 ,con el 1.2.3 se ve facil pero con el 2.0 me perece mas dificil o son cosas mias no se

Pedro Moreno dijo...

Hola choss.

Oyes me interesa este software, me podrias explicar de manera sencilla como funciona?

Le quiero dar una revisada, me interesa, saludos!!!

Anónimo dijo...

este es mi correo choossfis@hotmail.com
el thundercache es como el squid pero cachea a la perfeccion paginas dinamicas como youtube,yo lo tube como bridge y cachea todo hermano ,creo tenerlo listo pero me falta probar pero con los clientes es un problema

Anónimo dijo...

Hola, que tal. Soy usuario del foro de pfsense y tengo un problema con pfsense 2.0.1 No logro hacer que el messenger se conecte.

Habilite las reglas que recomiendas, las que dicen que todos pasen a fuerza por el squid y si quitan la configuracion del navegador no puedan navegar y funciona super bien... El problema es que no se como abrir puertos para que navegue el messenger... Ojala puedas darme una luz o una captura de pantalla, porque no mas no jala... saludos

Pedro Moreno dijo...

Hola.

Recuerda 1 cosa, si seguistes mis pasos podras ver que soy paranoico y solo sale lo que yo deseo.

Bien tienes 2 filtros, squid+firewall.

Tu quieres permitir el trafico del msn entonces este ejemplo no te sirve al menos que quieras controlar que solo un X numero de usuarios tengan acceso, en este caso vas a tener que hacer 2 ACL, los que si pueden y los que no pueden, por que mi ejemplo aplica a todos.

Ahora, si no estas bloqueando el msn con squid, y tus reglas solo estan permitiendo el trafico necesario, tu problema puede estar en que live msn usa el puerto 1683 TCP y entonces si revisas tus logs vas a ver esta bloqueado el puerto y necesitas abrirlo en el firewall.

A lo mejor va aparecer otro puerto yo solo veo el 1683.

A ver si di con tu caso, saludos!!!

CID dijo...

Mi estimado pedro antes que nada una felicitacion por tu blog tienes mucha informacion sobre pfsense necesaria para montar los servicios pondre en practica la de bloquear el msn que he andado buscando en la web ya un rato y no lo he logrado con pfsense y me encantan las redes saludos.

Atte. Recien Egresado de ISC

Pedro Moreno dijo...

Hola CID, muchas gracias y espero te sirva lo que aqui plasmo, saludos!!!

SERVICIO TECNICO DE PCS dijo...

hola amigo periko ..agradecidos x tus buenos post..aver si nos das una guia de como implementar el tundercache para pfsense ya q amuchos nos gusta mejor ste sistema q el microtik.Saludos.

Pedro Moreno dijo...

Hola.

Ahorita por falta de tiempo no continue ese proyecto y aparte que creo que la doc esta en Portugues no me fue facil masticarla.

Estoy de lleno ahorta con virtualizacion, espero poder darle otra revisada y ver si podemos hacer algo, saludos y gracias.