[ Escribo sobre... ]
Bloquear messenger con squid nt
jue 03 de mayo, 2007 - 08:28
Estado de ánimo: Alegre
Seguridad de esta entrada: PUBLICO
Música actual: Intocable - perdedor
Bueno, desde hace algunos dias mi coco era permitir a ciertos equipos de mi red local el uso de messenger y obviamente a otros no. Despues de hechar a perder varias maquinas virtuales, horas y horas de pruebas (hay que probar hasta los escenarios mas estupidos y quien administre una red no me dejara mentir) se logro. El equipo de sistemas de esta empresa integrado por mi y Jessica (Jessica en realidad es mi proxy ahahaha asi la bautize x) ) estamos el dia de hoy operando ya con control total sobre messenger.
Material ocupado en las pruebas:
Maquinas virtuales (muy importantes)
Paciencia, un chingo de paciencia
Squid nt
Ccproxy
Windows 2000, windows xp
La verdad es que en este punto iba a poner tooodo lo que hice, pero no se si alguien le interese jajaja, asi que solo pondre las lineas de squid, dejare abierto el post al publico, si alguno quisiera una explicacion mas amplia, favor de solicitarla
Squid
Antes que nada, el acceso a messenger no se basa en una lista de quien no puede accesar, sino mas bien, quien si puede entrar, dando por resultado que las ips no autorizadas o hasta desconocidas no puedan accesar:
acl simsn src “c:/squid/etc/simsn.txt”
Live messenger ocupa gateway.dll (pueden verificar el trafico en el log de squid) que es el archivo que hace todos los enlaces, entonces creamos una regla para su control:
acl msn url_regex -i gateway.dll
En las reglas de acceso, negamos totalmente la comunicacion de gateway.dll, excepto para las ips contenidas en simsn.txt
http_reply_access deny msn !simsn
Ccproxy
Seguramente tambien hiciste lo mismo, activaste socks en el proxy para “permitir” la comunicacion de messenger: sorpresa!! a messenger le vale madres, la conexion primaria es via http, asi que, hay que desactivar los socks tanto 4 como 5 si no, el messenger se va a brincar la negacion de comunicacion por squid (http) y ocupara los socks, de hecho puedes desactivar los socks sin tener que pasar a los equipos a borrar las lineas. Ojo, recomiendo reiniciar por lo menos el servidor que contiene el software, de preferencia has esto en la noche, asi todos apagaron sus equipos e iniciaran con la nueva configuracion.
Esto no es teorico, lo tengo funcionando al 100%
Hago este pequeño post no como muestra de lo que hice, sino como una retribucion a toda la ayuda que encontre en internet, espero que a alguien le sirva tanto como a mi me sirvio la informacion que encontre en otras paginas, blogs, etc.
El conocimiento que no se transmite, es un conocimiento inutil
[ Enlace |  17 comentarios ]  del.icio.us Estrella este post 
Sistemas
Han escrito 17 comentarios de «Bloquear messenger con squid nt»
 pollencio
Jueves 03 de mayo, 2007 07:50. -
Gracias por el tip :) 
 princesita_
Jueves 03 de mayo, 2007 09:36. -
el que sabe… sabe’ que no’ ta gueno’
 forever
Jueves 03 de mayo, 2007 10:11. -
y los usuarios que ya no tienen messenger, refelices, vdd??.
Debieras de poner el squid.conf que usas aquí desglosado y explicado que hace cada línea.
Saludos!!, y ya anímate a convertir el router en bridge, que el IPCop hace falta.
 pagliacci
Jueves 03 de mayo, 2007 10:27. -
si, de hecho nomas se me quedan viendo, mi explicacion: el messenger tiene broncas ahahah
de hecho si ya encontre un router que puedo convertir en bridge, creeme, ocupar el ipcop es mi reto de este año, saludos mi estimado forever, lo del squid.conf lo pensare un poco :P
 (anonimo)Victor Manuel Che Estrella
Miércoles 16 de mayo, 2007 12:28. [usuario no registrado en ymipollo.com] -
Oye, y si por ejemplo, es al contrario, en la compañía en donde estoy dependiendo de los permisos que tienen los usuarios hay unos que si tienen messenger y hay otros hay unos que tienen internet y otros solo ciertas páginas, por ejemplo yo tengo internet externos, algunas páginas estan bloqueadas y muero de ganas de tener el messenger, pero hasta ahora no he podido hacer que funcione, he encontrado algunas paginas de messenger web pero la verdad no me gustan mucho, si funcionan pero no cubren lo que yo espero, se puede hacer algo? tu sabes como le podría hacer? cual sería mi primer paso?
- pagliacci
Miércoles 16 de mayo, 2007 15:11.
-
bueno, hay varias maneras de intentarlo, pero si tienen un control estricto de ello podrias exponerte a ser despedido por violentar las politicas de seguridad de la empresa, podrias probar con trillian por ejemplo para ver si logra la conexion, pero creo que lo mejor seria que le agarraras el gusto a las paginas que manejan messenger, porque igual y no tardan en bloquearlas tambien
 (anonimo)Flor
Martes 31 de julio, 2007 20:36. [usuario no registrado en ymipollo.com] -
Hola Pagliacci…
Oye! a mí me encantaría que pusieras TOOODO lo que hiciste.
Yo tengo ya andando un ipcop; pasé a bridge un 2wire (de los que a telmex) pero no puedo bloquear el messenger; ni con squid ni con iptables.
Pero trabajo en ello!!
- pagliacci
Miércoles 01 de agosto, 2007 13:15.
-
Flor, revisa otro post que tengo que se llama bloquear msn messenger con ccproxy y aplica restringir lo mismo que bloquee ahi en ipcop, teoricamente debe funcionar, porque yo no tengo ipcop, uso squid pero sobre NT, saludos
- pagliacci
Miércoles 01 de agosto, 2007 13:28.
-
ajajaja creeme que no calambres, yo ya lo puedo bloquear sin ninguna dificultad :P
- (anonimo)Flor
Miércoles 01 de agosto, 2007 13:42. [usuario no registrado en ymipollo.com]
-
Gracias Pagliacci. Checaré el post que me dices.
Y no, el messenger sólo es latoso, pero no pudo con Jessica… ni podrá con mi Tobi ;)
- pagliacci
Miércoles 01 de agosto, 2007 13:46.
-
seguro que no puede mas flor, eso te lo aseguro, suerte!!!
 jobrmajo
Martes 13 de mayo, 2008 11:18. -
Yo configure el Squid como proxy y agregue las lineas que indicas con el archivo de IPs permitidas para ocupar el Messenger y si jalo perfecto para el Live Messenger (versiones nuevas de msn) pero con las versiones viejitas como por ejemplo la que trae por default el Winodws XP SP2…
De antemano gracias
- pagliacci
Martes 13 de mayo, 2008 11:25.
-
jobrmajo que bien que si funciono. Si lo que quieres es bloquear la version que trae el windows, tendrias que analizar el log para ver que tipo de conexiones esta haciendo y a que archivos esta “invocando” asi sabras exactamente sobre cual irte
 (anonimo)rubylola
Viernes 16 de mayo, 2008 13:30. [usuario no registrado en ymipollo.com] -
Muy bueno tu blog pero me gustaria saber como bloquearias los nuevos messenger portables ya que los usuarios ya lo tienen en sus usb o cd y no he podeido bloquearlos
- pagliacci
Viernes 16 de mayo, 2008 13:32.
-
bueno, mientras haya un proxy entre el usuario e internet, practicamente todo es bloqueable
 (anonimo)Edher
Viernes 30 de mayo, 2008 10:16. [usuario no registrado en ymipollo.com] -
SALUDOS!! QUISIERA SABER SI ME PUEDES APOYAR! MIRA, QUIERO HABILITAR EL MESSENGER PARA CIERTAS MAQUINAS. CREE ESTA REGLA
acl admin src “c:squidetcadmin.txt”
DONDE EN ADMIN ESTAN LAS IPS QUE QUIERO PERMITIR EL MESSEGNER, SOLO QUE NOSE COMO HABLITARLES EL MESSENGER YA QUE TENGO UNA REGLA:
acl banned_sites url_regex “c:squidetcsites.txt”
http_access deny banned_sites
http_access allow net
DONDE LES PROHIBO LA ENTRADA AL MESSENGER!!
QUE PUEDO HACER!!!
SALUDOS!!
 (anonimo)victor
Lunes 11 de agosto, 2008 14:00. [usuario no registrado en ymipollo.com] -
Hola que tal…
muchas gracias por tu aporte… y sera posible bloquear el Ares con el squid, y si se puede como se lograria???... gracias saludos.
|
|
nodarclick
