Squid es un poderoso software con el cual podemos proteger nuestra red de muchas cosas, como bloquear web msn, esta tarea es basica en cualquier red.
Para llevar a cabo esto debemos hacer uso de los siguientes ACL:
1) Abrimos la consola.
2) Abrimos el archivo squid.conf y agregamos las siguientes ACL:
acl msnmime req_mime_type ^application/x-msn-messenger
acl msngw url_regex -i gateway.dll
acl msnproxy url_regex -i xmlProxy.htm
3) Ya solo es cuestion de decidir donde vamos a colocar estos ACL, en este ejemplo voy a bloquear a todos, asi que las coloco al principio de nuestras ACL:
http_access deny msnmime
http_access deny msngw
http_access deny msnproxy
Lo que sigue son las ACL que estaban operando, por lo regular las reglas que bloquen siempre a el inicio.
4) Le pedimos a squid que levante los cambios.
squid -k reconfigure
5) Probar.
6) Leer los logs de squid y deben ver esto:
1331616635.498 0 192.168.50.100 TCP_DENIED/403 1438 POST http://sn1.gateway.messenger.live.com/gateway/gateway.dll? - NONE/- text/html
1331616755.703 0 192.168.50.100 TCP_DENIED/403 1438 POST http://sn1.gateway.messenger.live.com/gateway/gateway.dll? - NONE/- text/html
El navegador nos va a dar esto:
 |
| Tratando de Reconectar. |
Ahora si abrimos el live msn que se instala vamos a observar esto:
 |
| GUI MNS bloqueado. |
7)Consejo, si desean llevar esto aun mas recuerden que su firewall solo debe permitir salir a los puertos que necesitamos, la regla que dice que nuestra LAN puede salir a donde sea no sirve para esto, eliminenla y abran solo lo que necesitan, ejemplo:
 |
| Puertos Necesarios Solamente. |
8) Listo.
Hasta pronto.
12 comentarios:
saludos hermano y mis respetos
quisiera implementar thundercache con pfsense pero no logro hacerlo funcionar con las reglas nat de 2.0 (el modo seria en paralelo)
mi red esta de esta manera
moden (ip dinamica)=======> pfsense(2.0)=======>ap========>clientes.
el thunder sera implementado en paralelo añadiendole otra tarjeta de red al pfsense.
moden(ip dinamica)======>pfsense(192.168.1.1)=========>ap(192.168.1.7)=======>clientes
(192.168.2.1)"
"
"======thundercache(192.168.2.2)
estoy en el foro de pfsense seudonimo chooss
Hola choss.
Me imagino que deseas hacer un balanceador de cargas web pero para el thundercache correcto?
Sw brazileno, que es lo que hace y como opera?
Saludos!!!
no hermano lo que quiero es redirigir todo el trafico de la lan para el thundercache el cual sera un servidor para cachear todas las paginas ,videos etc y despues entregarcelos a los de la lan a velocidad de red y de esta forma rendir el ancho de bando, con mikrotik es un pan comido pero con pfsense me tiene muy loco ,ni duermo en pruebas y pruebas pero no doy con el clavo FRUSTADOOOOOOOOOO.
te recuerdo que tengo el 2.0 ,con el 1.2.3 se ve facil pero con el 2.0 me perece mas dificil o son cosas mias no se
Hola choss.
Oyes me interesa este software, me podrias explicar de manera sencilla como funciona?
Le quiero dar una revisada, me interesa, saludos!!!
este es mi correo choossfis@hotmail.com
el thundercache es como el squid pero cachea a la perfeccion paginas dinamicas como youtube,yo lo tube como bridge y cachea todo hermano ,creo tenerlo listo pero me falta probar pero con los clientes es un problema
Hola, que tal. Soy usuario del foro de pfsense y tengo un problema con pfsense 2.0.1 No logro hacer que el messenger se conecte.
Habilite las reglas que recomiendas, las que dicen que todos pasen a fuerza por el squid y si quitan la configuracion del navegador no puedan navegar y funciona super bien... El problema es que no se como abrir puertos para que navegue el messenger... Ojala puedas darme una luz o una captura de pantalla, porque no mas no jala... saludos
Hola.
Recuerda 1 cosa, si seguistes mis pasos podras ver que soy paranoico y solo sale lo que yo deseo.
Bien tienes 2 filtros, squid+firewall.
Tu quieres permitir el trafico del msn entonces este ejemplo no te sirve al menos que quieras controlar que solo un X numero de usuarios tengan acceso, en este caso vas a tener que hacer 2 ACL, los que si pueden y los que no pueden, por que mi ejemplo aplica a todos.
Ahora, si no estas bloqueando el msn con squid, y tus reglas solo estan permitiendo el trafico necesario, tu problema puede estar en que live msn usa el puerto 1683 TCP y entonces si revisas tus logs vas a ver esta bloqueado el puerto y necesitas abrirlo en el firewall.
A lo mejor va aparecer otro puerto yo solo veo el 1683.
A ver si di con tu caso, saludos!!!
Mi estimado pedro antes que nada una felicitacion por tu blog tienes mucha informacion sobre pfsense necesaria para montar los servicios pondre en practica la de bloquear el msn que he andado buscando en la web ya un rato y no lo he logrado con pfsense y me encantan las redes saludos.
Atte. Recien Egresado de ISC
Hola CID, muchas gracias y espero te sirva lo que aqui plasmo, saludos!!!
hola amigo periko ..agradecidos x tus buenos post..aver si nos das una guia de como implementar el tundercache para pfsense ya q amuchos nos gusta mejor ste sistema q el microtik.Saludos.
Hola.
Ahorita por falta de tiempo no continue ese proyecto y aparte que creo que la doc esta en Portugues no me fue facil masticarla.
Estoy de lleno ahorta con virtualizacion, espero poder darle otra revisada y ver si podemos hacer algo, saludos y gracias.
Publicar un comentario