Bloquear servicios indeseables en una LAN es vital, especialmente cuando se usa de manera irresponsable el consumo de ancho de banda, trayendo como consecuecia el mal performance del servidor Webcache o Proxy Server.
Aunado a esto, los servicios de mensajer?a instant?nea (MSN, YAHOO MESSENGER, ICQ, etc) que contribuyen en el consumo de ancho de banda en grado considerable, ahora es posible bloquearlos, especialmente el Servicio de mensajeria instant?nea MSN.
Ya que ?ste servicio representa un riesgo de seguridad para los mismos usuarios debido a la proliferaci?n de gusanos, troyanos y virus, hecho que puede llegar a comprometer datos e informaci?n confidencial y estrat?gica de la empresa.
Para poder bloquear el servicio de MSN usando un Proxy Server o servidor Webcache, se logra colocando dos l?neas como las siguientes en el archivo de configuraci?n del Squid:
+++ Conf del Squid +++
http_port 3128
http_port 8080
#
icp_port 3130
#
cache_dir ufs /usr/local/squid 100 16 256
#
access_log /usr/local/squid/logs/access.log squid
cache_log /usr/local/squid/logs/cache.log
#
auth_param basic children 5
auth_param basic realm Squid proxy-caching web server
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off
#
#acl password proxy_auth REQUIRED
#
acl dominio dstdomain -i “/etc/squid/dominios”
acl denegado url_regex -i “/etc/squid/denegados”
acl busquedas url_regex -i “/etc/squid/buscar”
acl lst url_regex -i “/etc/squid/lst-ext”
#
#Recommended minimum configuration:
…
acl redlocal src 192.168.0.0/255.255.255.0
…
#
acl msn_url url_regex -i gateway.dll
acl msn_port port 1863
acl msn_method method POST
acl msn1 req_mime_type -i ^application/x-msn-messenger$
#
#
# INSERT YOUR OWN RULE(S) HERE TO ALLOW ACCESS FROM YOUR CLIENTS
# Example rule allowing access from your local networks. Adapt
# to list your (internal) IP networks from where browsing should
# be allowed
…
http_access deny dominio
http_access deny denegado
http_access deny lst
http_access deny busquedas
#
http_access deny msn_method msn_url
http_access deny msn_port
http_access deny CONNECT msn_port
http_access deny msn1
#
http_access allow redlocal !denegados
#
# And finally deny all other access to this proxy
http_access deny all
#
#
httpd_accel_no_pmtu_disc on
#ttpd_accel_host virtual
#httpd_accel_port 80
#httpd_accel_with_proxy on
#httpd_accel_uses_host_header on
ie_refresh on
#
#Example:
# append_domain .yourdomain.com
append_domain .linuxsc.net
#
#Default:
# cache_mgr webmaster
cache_mgr dvarela@linuxsc.net
+++ End de la conf +++
Los archivos
dominios
denegados
buscar
lst-txt
contienen cadenas que hacen match para que dichos usuarios no tengan accesos a deterninadas paginas, p,e:
+++ dominios +++
pixelproxy*
pixelsleeve*
playarcade*
pocketknives*
ProfileManiac*
ProfileManiacs*
ProfileRage*
ProgressReport*
Proxy200*
ProxyAlarm*
proxymate*
progressreport*
proxynut*
proxysvcs*
proxysly*
proxysurfing*
ProxyTap*
pureantimatter*
…
+++ Denegados +++
207.46.104.20
207.46.110.2
207.46.110.254
207.46.245.222
207.46.245.214
messenger.hotmail.com
messenger.msn.com
messenger.microsoft.com
echo-v1.msgr.hotmail.com
echo-v2.msgr.hotmail.com
…
+++ buscar +++
e-messenger
messenger
myspace
navegar
anonimo
unblock
tonterias
proxy
surfer
prxy
…
+++ lst-ext
\.bat$
\.exe$
\.pif$
\.scr$
\.sys$
\.iso$
\.mp3$
\.mp4$
\.flv$
\.avi$
\.wmv$
\.mpeg$
\.mpg$
\.mov$
…
… Esto es en si, la configuraci?n que se puede tener para poder bloquear el servicio de Mensajeria Instantánea MSN en sus diferentes modalidades, y por supuesto tambi?n agregue algunos ACL extras para el ocio.