Curso de proxy com linux - aula 10 - bloqueio de msn e outros

Bloqueando MSN O MSN a partir da verso 6.x (in)felizmente passou a fazer conexes utilizando

tunneling por http, ou seja, ele se conecta pela porta 80. Sendo assim, muito difcil

fazer o bloqueio do MSN se no utilizados softwares como o layer-7 ou o Squid,

que tratam as requisies vindas pela porta 80. O layer-7 um software muito

interessante tambm, trabalhando na camada de

1 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

aplicao da tabela OSI.

O bloqueio do Squid simples de ser feito, bastando adicionar o termo "gateway.dll" na sua lista de palavras negadas.

eando extenses e downloads de determinados

Bloqu

incrvel o nmero de pessoas que nos dias atuais se infectam com vrus

contidos em arquivos de extenses conhecidas por conter programas

maliciosos, como o .bat e o .pif. Voc pode bloquear extenses que os

2 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

seus usurios baixam no computador por meio de HTTP ou de FTP

e de quaisquer outros protocolos que o Squid suporte, fazendo os seguintes passos:Primeiramente, voc deve criar uma lista e seta as permisses corretas: # touch /etc/squid/lists/extensoes # chmod 755 /etc/squid/lists/extensoes Feito isto, voc deve escrever as extenses que voc quer bloquear da seguinte maneira no arquivo:.mp3$.wav$.pif$.bat$ Ateno: O "" um eliminador de metacaracteres e serve para cancelar a funo do ".". J o "$" serve para que seja analizado at o final de string.
3 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

Agora ns vamos adicionar a ACL no Squid que vai bloquear as extenses efetivamente, juntamente com o seu http_access:acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes" http_ac cess deny extensoes Note que ao invs do url_regex , foi utilizado o urlpath_regex . Linha 2850 visible_hostname squid.nomedodominio.com.br Linha 3495 error_directory /usr/local/squid/share/errors/portuguese
4 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

Comando para gerar um cache no squid Comando para iniciar o squid

MAC Address

Para utilizar essa opo, o Squid deve ser compilado com os parmetros "--enable-arp-acl", como feito em nossa instalao via source. acl administrador arp XX:XX:XX:XX:XX:XX Onde: XX:XX:XX:XX:XX:XX o MAC Address da placa de rede do administrador.

Limitando o nmero de conexes por usurio

5 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

Se quiser limitar o nmero de sesses que cada usurio abre de uma nica vez, podemos utilizar o recursos de mximo de conexes. acl CONEXOES maxconn 10 http_acces s deny CONEXOES rede_interna

Impedindo ou Limitando o tamanho de uploads

Diversas empresas tem a necessidade de impedir que seus usurios

dem upload de arquivos para webmails, discos virtuais ou algum outro

6 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

tipo de repositrio na internet. O grande problema que o mtodo utilizado

para fazer estes uploads o POST, tambm utilizado para preenchimento

de formulrios, pesquisas, logins e senhas, etc. Isso impede o bloqueio total do mtodo. Como fazer? A opo mais lgica seria limitar o tamanho de um POST para um nmero

suficientemente grande para permitir seu funcionamento normal e suficientemente

7 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

pequeno para impedir o upload de arquivos. Para isso ser usado a tag request_body_max_size. No entanto essa tag tem uma falha, por no ser compatvel com

ACLs, ela limitar todos os usurios no que for determinado, situao normalmente incmoda. Um script que nos permite criar ACLs baseadas nesse parmetro. Vamos cham-lo de /etc/squid/modulos/size.sh #!/bin/sh while read line; do
8 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

set -- $line length="$1" limit="$2" if [ "$length" -le "$2" ]; then echo OK else echo ERR fi done Depois basta criar uma ACL assim:external_ac l_type request_body %{Content-Length} /etc/squid/modulos/size.sh
9 / 10

Curso de proxy com linux - aula 10 - bloqueio de msn e outros

acl request_max_10KB request_body 10240 Com isso limitamos o tamanho do upload para 10KB, o que deve ser suficiente para preenchimento de um formulrio, mas pouco para um upload.

10 / 10