![](https://seccdn.libravatar.org/avatar/c7f6fa2e7fa7681811bd36f38423c579.jpg?s=120&d=mm&r=g)
Hola a todos, Tengo una red en la que me han encargado limitar el uso de programas de messenger y p2p pero solo a un determinado grupo de usuarios. Habia pensado en usar el squid de modo transparente, pero no se si eso es posible para lo que yo quiero. Alguien ha hecho alguna configuracion similar? con proxy, iptables o con lo que sea estoy abierto a todo tipo de sugerencias Un saludo Emi
![](https://seccdn.libravatar.org/avatar/ef0a2f839c9bfb626d08ec7578fad75a.jpg?s=120&d=mm&r=g)
Saludos El squid no te sirve para bloquear P2P y msn aun cuando lo coloques en modo transparente. A squid lo puedes usar para: * Controlar ancho de banda (por red, subred y host) con delay pools solo para http * Restringir contenidos web (porno, violencia, lo que la empresa no quiera que sus empleados vean,etc) con squidguard y otros redirectores por horarios, host, red, subred * Hacer que los usarios naveguen sin que tengan que realizar configuraciones especiales en sus equipos si lo colocas en modo transparente. Sin embargo, MSN usa por defecto el puerto 1813 y si se bloquea usa el 80. Si se va por el 80 squid no puede detener este trafico. Lo mismo sucede con p2p: si se bloquean sus puertos, buscan el 80 y nada puede hacer squid. El unico que se puede bloquear por puertos/ip-de-servidor-p2p es el eMule/eDonkey que usa una lista limitada de servidores centrales buenos. El resto kazaa, limeware, bittorrent, etc, debes bloquearlos con Iptables, con algun tipo de matching que no esta por defecto en kernel ni en Iptables y que generalmente aplicas con los parches path-o-matic de netfilter. Si usas el filtro IPP2P puedes eliminar el trafico P2P totalmente con esta regla: iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP Esta regla la puedes adaptar a tus nesecidades una vez tengas tengas instalado el filtro IPP2P En cuanto a MSN no tengo ni idea de como bloquearlo pero me seria de gran ayuda esa informacion. Te puedo recomendar que: 1) Tu politica por defecto sea DROP y no ACCEPT en tu firewall; asi solo permites trafico en los puertos que se definas. Esto combinalo con el control a P2P 2) Usa un front-end para Iptables, El mejor que conozco es Shorewall (www.shorewall.net), que a mi parecer el el mejor firewall libre en linux (sin causar polemica) 3) Implementa un proxy transparente con delay pools y redirectores si lo deseas Con esto pones a los usuarios en cintura para que no se coman el ancho de banda. Y si la situacion es muy critica y no se arregla con todo la anterior (un caso patologico y del tipo de un ISP), combinalo con QOS y traffic shaping y preparate para sufrir con la esoterica documentacion con la que viene :) Hasta la proxima Carlos. On 10/11/05, Emiliano Sutil <emiliano.sutil@gmail.com> wrote:
Hola a todos,
Tengo una red en la que me han encargado limitar el uso de programas de messenger y p2p pero solo a un determinado grupo de usuarios. Habia pensado en usar el squid de modo transparente, pero no se si eso es posible para lo que yo quiero.
Alguien ha hecho alguna configuracion similar? con proxy, iptables o con lo que sea estoy abierto a todo tipo de sugerencias
Un saludo
Emi
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
![](https://seccdn.libravatar.org/avatar/c7f6fa2e7fa7681811bd36f38423c579.jpg?s=120&d=mm&r=g)
El 11/10/05, Carlos Martinez<camarti@gmail.com> escribió:
Saludos
El squid no te sirve para bloquear P2P y msn aun cuando lo coloques en modo transparente. A squid lo puedes usar para:
Mi gozo en un pozo, pensaba que sie que se podia usar un proxy como es el squid para limitar esto. Respecto al p2p, en otros sitios si que uso el filtro ipp2p asi que eso lo tengo resuelto con eso, pero me preocupa lo del messenger. No existe ningún modulo de iptables que detecte este trafico como hace el ipp2p? Por otro lado yo quiero poder limitar el uso del messenger segun el usuario del sistema/samba que haya iniciado sesion, en vez de por ip.
* Controlar ancho de banda (por red, subred y host) con delay pools solo para http * Restringir contenidos web (porno, violencia, lo que la empresa no quiera que sus empleados vean,etc) con squidguard y otros redirectores por horarios, host, red, subred * Hacer que los usarios naveguen sin que tengan que realizar configuraciones especiales en sus equipos si lo colocas en modo transparente.
Sin embargo, MSN usa por defecto el puerto 1813 y si se bloquea usa el 80. Si se va por el 80 squid no puede detener este trafico. Lo mismo sucede con p2p: si se bloquean sus puertos, buscan el 80 y nada puede hacer squid. El unico que se puede bloquear por puertos/ip-de-servidor-p2p es el eMule/eDonkey que usa una lista limitada de servidores centrales buenos. El resto kazaa, limeware, bittorrent, etc, debes bloquearlos con Iptables, con algun tipo de matching que no esta por defecto en kernel ni en Iptables y que generalmente aplicas con los parches path-o-matic de netfilter.
Si usas el filtro IPP2P puedes eliminar el trafico P2P totalmente con esta regla:
iptables -A FORWARD -m ipp2p --edk --kazaa --gnu --bit --apple --dc --soul --winmx --ares -j DROP
Esta regla la puedes adaptar a tus nesecidades una vez tengas tengas instalado el filtro IPP2P
En cuanto a MSN no tengo ni idea de como bloquearlo pero me seria de gran ayuda esa informacion.
Te puedo recomendar que:
1) Tu politica por defecto sea DROP y no ACCEPT en tu firewall; asi solo permites trafico en los puertos que se definas. Esto combinalo con el control a P2P
2) Usa un front-end para Iptables, El mejor que conozco es Shorewall (www.shorewall.net), que a mi parecer el el mejor firewall libre en linux (sin causar polemica)
3) Implementa un proxy transparente con delay pools y redirectores si lo deseas
Con esto pones a los usuarios en cintura para que no se coman el ancho de banda.
Y si la situacion es muy critica y no se arregla con todo la anterior (un caso patologico y del tipo de un ISP), combinalo con QOS y traffic shaping y preparate para sufrir con la esoterica documentacion con la que viene :)
Hasta la proxima Carlos.
Saludos emi
On 10/11/05, Emiliano Sutil <emiliano.sutil@gmail.com> wrote:
Hola a todos,
Tengo una red en la que me han encargado limitar el uso de programas de messenger y p2p pero solo a un determinado grupo de usuarios. Habia pensado en usar el squid de modo transparente, pero no se si eso es posible para lo que yo quiero.
Alguien ha hecho alguna configuracion similar? con proxy, iptables o con lo que sea estoy abierto a todo tipo de sugerencias
Un saludo
Emi
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
![](https://seccdn.libravatar.org/avatar/cb2fb2ffdbbbc003e8ea1d048ae8c2ff.jpg?s=120&d=mm&r=g)
Si no me equivoco, el msn funciona solamente con el iexploder, y una forma de bloquearlo es con el squid y obligando a usar el Firefox: Un ejemplo de configuración de squid, es: useragent_log /var/log/squid/useragent.log # log browser id referer_log /var/log/squid/referer.log acl intranet src 172.16.0.0/255.255.0.0 # intranet machines acl all src 0.0.0.0/0.0.0.0 acl manager proto cache_object acl localhost src 127.0.0.1/255.255.255.255 acl to_localhost dst 127.0.0.0/8 acl SSL_ports port 443 563 acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 563 # https, snews acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # unregistered ports acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT acl ie_browser browser ^Mozilla/4\.0 .compatible; MSIE # die!! acl bad_browser browser ^Gator # Gator is also crap! acl windowsupdate dstdomain .windowsupdate.com # sometimes you have to live with the evil ... acl windowsupdate dstdomain .windowsupdate.microsoft.com acl ie_exceptions dstdomain .mycompany.at # for those who don't turn off proxy for intranet ... acl ie_exceptions2 dst 172.16.0.0/255.255.0.0 http_access deny bad_browser http_access allow windowsupdate http_access allow ie_exceptions http_access allow ie_exceptions2 http_access deny ie_browser http_access allow manager localhost http_access deny manager http_access deny !Safe_ports http_access deny CONNECT !SSL_ports http_access deny to_localhost http_access allow localhost http_access allow intranet http_access deny all http_reply_access allow all icp_access allow all cache_mgr hostmaster@mycompany.at httpd_accel_port 80 httpd_accel_host virtual httpd_accel_with_proxy on httpd_accel_uses_host_header on append_domain .mycompany.at deny_info ERR_IEBROWSER ie_browser wccp_router 172.16.0.1 ie_refresh on http://gaugusch.at/squid.shtml El 11/10/05, Emiliano Sutil<emiliano.sutil@gmail.com> escribió:
Hola a todos,
Tengo una red en la que me han encargado limitar el uso de programas de messenger y p2p pero solo a un determinado grupo de usuarios. Habia pensado en usar el squid de modo transparente, pero no se si eso es posible para lo que yo quiero.
Alguien ha hecho alguna configuracion similar? con proxy, iptables o con lo que sea estoy abierto a todo tipo de sugerencias
Un saludo
Emi
-- Para dar de baja la suscripción, mande un mensaje a: suse-linux-s-unsubscribe@suse.com Para obtener el resto de direcciones-comando, mande un mensaje a: suse-linux-s-help@suse.com
participants (3)
-
Carlos Martinez
-
Emiliano Sutil
-
Juan Erbes