Re: [suse-linux-s] limitar uso de messenger
![](https://seccdn.libravatar.org/avatar/4e6a373cc6667621a9eefad3d539c5ae.jpg?s=120&d=mm&r=g)
El 11/10/05, Carlos Martinez<camarti@gmail.com> escribió:
Saludos
El squid no te sirve para bloquear P2P y msn aun cuando lo coloques en modo transparente. A squid lo puedes usar para:
Mi gozo en un pozo, pensaba que sie que se podia usar un proxy como es el squid para limitar esto.
Respecto al p2p, en otros sitios si que uso el filtro ipp2p asi que eso lo tengo resuelto con eso, pero me preocupa lo del messenger.
No existe ningún modulo de iptables que detecte este trafico como hace el ipp2p?
Por otro lado yo quiero poder limitar el uso del messenger segun el usuario del sistema/samba que haya iniciado sesion, en vez de por ip.
* Controlar ancho de banda (por red, subred y host) con delay pools solo para http * Restringir contenidos web (porno, violencia, lo que la empresa no quiera que sus empleados vean,etc) con squidguard y otros
redirectores
por horarios, host, red, subred * Hacer que los usarios naveguen sin que tengan que realizar configuraciones especiales en sus equipos si lo colocas en modo transparente.
Sin embargo, MSN usa por defecto el puerto 1813 y si se bloquea usa el 80. Si se va por el 80 squid no puede detener este trafico. Lo mismo sucede con p2p: si se bloquean sus puertos, buscan el 80 y nada
hacer squid. El unico que se puede bloquear por puertos/ip-de-servidor-p2p es el eMule/eDonkey que usa una lista limitada de servidores centrales buenos. El resto kazaa, limeware, bittorrent, etc, debes bloquearlos con Iptables, con algun tipo de matching que no esta por defecto en kernel ni en Iptables y que generalmente aplicas con los parches path-o-matic de netfilter.
Si usas el filtro IPP2P puedes eliminar el trafico P2P totalmente con esta regla:
iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP
Esta regla la puedes adaptar a tus nesecidades una vez tengas tengas instalado el filtro IPP2P
En cuanto a MSN no tengo ni idea de como bloquearlo pero me seria de gran ayuda esa informacion.
Te puedo recomendar que:
1) Tu politica por defecto sea DROP y no ACCEPT en tu firewall; asi solo permites trafico en los puertos que se definas. Esto combinalo con el control a P2P
2) Usa un front-end para Iptables, El mejor que conozco es Shorewall (www.shorewall.net), que a mi parecer el el mejor firewall libre en linux (sin causar polemica)
3) Implementa un proxy transparente con delay pools y redirectores si lo deseas
Con esto pones a los usuarios en cintura para que no se coman el ancho de banda.
Y si la situacion es muy critica y no se arregla con todo la anterior (un caso patologico y del tipo de un ISP), combinalo con QOS y
shaping y preparate para sufrir con la esoterica documentacion con la que viene :)
Hasta la proxima Carlos.
Saludos
emi
On 10/11/05, Emiliano Sutil <emiliano.sutil@gmail.com> wrote:
Hola a todos,
Tengo una red en la que me han encargado limitar el uso de
Hola, En la universidad donde trabajo tengo corriendo squid para filtrar las conexiones a messenger, la cual va muy bien... Bueno, en un poco mas de detalles, estoy haciendo NAT y todo el trafico pasa por esa maquina en la cual todo el trafico que va hacia el puerto 80, lo hago salir a traves del proxy (3128). En esto tembien tengo expresiones ragulares para eviatr que los usuarios puedan descargar mp3 videos, entre otras cosas.. Saludos, Joshua El mar, 11-10-2005 a las 16:31 +0200, Emiliano Sutil escribió: puede traffic programas
de messenger y p2p pero solo a un determinado grupo de usuarios. Habia pensado en usar el squid de modo transparente, pero no se si eso es posible para lo que yo quiero.
Alguien ha hecho alguna configuracion similar? con proxy, iptables o con lo que sea estoy abierto a todo tipo de sugerencias
Un saludo
Emi
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
![](https://seccdn.libravatar.org/avatar/c7f6fa2e7fa7681811bd36f38423c579.jpg?s=120&d=mm&r=g)
El 11/10/05, joshua<joshua@cfm.cl> escribió:
Hola,
Hola
En la universidad donde trabajo tengo corriendo squid para filtrar las conexiones a messenger, la cual va muy bien...
Y como haces para identificar el trafico del messenger?
Bueno, en un poco mas de detalles, estoy haciendo NAT y todo el trafico pasa por esa maquina en la cual todo el trafico que va hacia el puerto 80, lo hago salir a traves del proxy (3128).
Esto basicamente es lo que hay que hacer si lo que se quiere implementar es un proxy transparente, no?
En esto tembien tengo expresiones ragulares para eviatr que los usuarios puedan descargar mp3 videos, entre otras cosas..
Muy buena idea, y eso de las expresiones regulares se implementa en el squid tambien?
Saludos, Joshua
Salu2 Emi
![](https://seccdn.libravatar.org/avatar/7f8a10a160d500cbaedb109ca700d1de.jpg?s=120&d=mm&r=g)
El Martes, 11 de Octubre de 2005 17:49, Emiliano Sutil escribió:
Y como haces para identificar el trafico del messenger?
* Leer el fichero access.log (no hace falta que busques a los "infractores" conectate tu, que sera mas facil encontrarte, lo mismo para yahoo, p2p, etc, etc)
Esto basicamente es lo que hay que hacer si lo que se quiere implementar es un proxy transparente, no?
* Pista, transparente sigue significando transparente, NO se pretenda implementar un control de acceso granular, con un proxy en modo "transparente".
En esto tembien tengo expresiones ragulares para eviatr que los usuarios puedan descargar mp3 videos, entre otras cosas..
Muy buena idea, y eso de las expresiones regulares se implementa en el squid tambien?
* Pues si, en la lista ya lo he contestado hace algun año, buscar en google , bloquear mesenger squid y seguro que aparece, si no el mio un par de kilos, si no recuerdo mal incluso en la doc de squid en su sitio web habia ejemplos, es como se han bloqueado toda la vida, hasta la aparicion de nuevas formulas. * El modulo p2p de iptables puede dar algun juego mas, tambien puse un ejemplo, a proposito de bloquear ataques de diccionario a ssh, usando expresiones en iptables que puede valer estaran tambien en el historico de la lista.
![](https://seccdn.libravatar.org/avatar/46235358f9d7cea643e3a0cfb456fd06.jpg?s=120&d=mm&r=g)
Puedes decirnos cual acl USASTE para apagar al msn? Yo lo tengo como tu y no he podido encontrar una regla que me haga eso. Tambien hago nat y reenvio todo el trafico al puerto 3128 pero no me apaga el msn . Puedes mostrar las acl para eso? *-------------------------------------------------------* *-Edwin Quijada *-Developer DataBase *-JQ Microsistemas *-809-747-2787 * " Si deseas lograr cosas excepcionales debes de hacer cosas fuera de lo comun" *-------------------------------------------------------*
From: joshua <joshua@cfm.cl> To: suse-linux-s@suse.com Subject: Re: [suse-linux-s] limitar uso de messenger Date: Tue, 11 Oct 2005 11:38:35 -0300
Hola,
En la universidad donde trabajo tengo corriendo squid para filtrar las conexiones a messenger, la cual va muy bien...
Bueno, en un poco mas de detalles, estoy haciendo NAT y todo el trafico pasa por esa maquina en la cual todo el trafico que va hacia el puerto 80, lo hago salir a traves del proxy (3128).
En esto tembien tengo expresiones ragulares para eviatr que los usuarios puedan descargar mp3 videos, entre otras cosas..
Saludos, Joshua
El 11/10/05, Carlos Martinez<camarti@gmail.com> escribió:
Saludos
El squid no te sirve para bloquear P2P y msn aun cuando lo coloques en modo transparente. A squid lo puedes usar para:
Mi gozo en un pozo, pensaba que sie que se podia usar un proxy como es el squid para limitar esto.
Respecto al p2p, en otros sitios si que uso el filtro ipp2p asi que eso lo tengo resuelto con eso, pero me preocupa lo del messenger.
No existe ningún modulo de iptables que detecte este trafico como hace el ipp2p?
Por otro lado yo quiero poder limitar el uso del messenger segun el usuario del sistema/samba que haya iniciado sesion, en vez de por ip.
* Controlar ancho de banda (por red, subred y host) con delay pools solo para http * Restringir contenidos web (porno, violencia, lo que la empresa no quiera que sus empleados vean,etc) con squidguard y otros
redirectores
por horarios, host, red, subred * Hacer que los usarios naveguen sin que tengan que realizar configuraciones especiales en sus equipos si lo colocas en modo transparente.
Sin embargo, MSN usa por defecto el puerto 1813 y si se bloquea usa el 80. Si se va por el 80 squid no puede detener este trafico. Lo mismo sucede con p2p: si se bloquean sus puertos, buscan el 80 y nada
hacer squid. El unico que se puede bloquear por puertos/ip-de-servidor-p2p es el eMule/eDonkey que usa una lista limitada de servidores centrales buenos. El resto kazaa, limeware, bittorrent, etc, debes bloquearlos con Iptables, con algun tipo de matching que no esta por defecto en kernel ni en Iptables y que generalmente aplicas con los parches path-o-matic de netfilter.
Si usas el filtro IPP2P puedes eliminar el trafico P2P totalmente con esta regla:
iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP
Esta regla la puedes adaptar a tus nesecidades una vez tengas tengas instalado el filtro IPP2P
En cuanto a MSN no tengo ni idea de como bloquearlo pero me seria de gran ayuda esa informacion.
Te puedo recomendar que:
1) Tu politica por defecto sea DROP y no ACCEPT en tu firewall; asi solo permites trafico en los puertos que se definas. Esto combinalo con el control a P2P
2) Usa un front-end para Iptables, El mejor que conozco es Shorewall (www.shorewall.net), que a mi parecer el el mejor firewall libre en linux (sin causar polemica)
3) Implementa un proxy transparente con delay pools y redirectores si lo deseas
Con esto pones a los usuarios en cintura para que no se coman el ancho de banda.
Y si la situacion es muy critica y no se arregla con todo la anterior (un caso patologico y del tipo de un ISP), combinalo con QOS y
shaping y preparate para sufrir con la esoterica documentacion con la que viene :)
Hasta la proxima Carlos.
Saludos
emi
On 10/11/05, Emiliano Sutil <emiliano.sutil@gmail.com> wrote:
Hola a todos,
Tengo una red en la que me han encargado limitar el uso de
El mar, 11-10-2005 a las 16:31 +0200, Emiliano Sutil escribió: puede traffic programas
de messenger y p2p pero solo a un determinado grupo de usuarios. Habia pensado en usar el squid de modo transparente, pero no se si eso es posible para lo que yo quiero.
Alguien ha hecho alguna configuracion similar? con proxy, iptables o con lo que sea estoy abierto a todo tipo de sugerencias
Un saludo
Emi
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
_________________________________________________________________ Latinos en EE.UU: noticias y artículos de interés para ti http://latino.msn.com/noticias/latinoseneeuu
participants (4)
-
Edwin Quijada
-
Emiliano Sutil
-
jose maria
-
joshua