GERENCIAR LIBERAÇÃO DO MSN PELO SQUID+AD



  • Fala Pessoal,

    Tenho um SQUID rodando com AD, com 2 grupos, e agora preciso colocar um Grupo para MSN.
    Já liberei as portas TCP/UDP 1863 e 6891-6900 no firewall, agora preciso criar a ACL no SQUID, e isso eu não sei como fazer. :(

    Vejam abaixo as ACLs em funcionamento.

    Grupo criados no AD: G_MSN, G_PROD, G_TOTAL

    Portas liberadas no firewall para MSN: 1863 6891-6900

    ##########################################################

    Regras - grupo MSN

    acl gmsn external ldap_group CN=g_msn,OU=u_internet,DC=srg,DC=net

    criar aqui a liberação (essa eu não sei)

    Regras - grupo acessos com restrições

    acl gprodutividade external ldap_group CN=g_prod,OU=u_internet,DC=srg,DC=net
    acl restrito dstdom_regex -i "/var/squid/acl/produtividade.acl"
    http_access allow gprodutividade restrito

    Regras - grupo todo liberado

    acl gtotal external ldap_group CN=g_total,OU=u_internet,DC=srg,DC=net
    http_access allow gtotal
    ##########################################################



  • @ValterTI11:

    Fala Pessoal,

    Tenho um SQUID rodando com AD, com 2 grupos, e agora preciso colocar um Grupo para MSN.
    Já liberei as portas TCP/UDP 1863 e 6891-6900 no firewall, agora preciso criar a ACL no SQUID, e isso eu não sei como fazer. :(

    @ValterTI11,

    Basta que você siga basicamente os mesmos passos em relação ao arquivo "produtividade.acl", apenas colocando neste arquivo a lista de domínios/urls mencionadas anteriormente aqui mesmo no fórum neste post: http://forum.pfsense.org/index.php/topic,40076.msg207015.html#msg207015

    Depois é só liberar (http_access allow) o grupo G_MSN para a acl ("msn.acl", por exemplo).

    Abraços!
    Jack



  • Olá Jack,
    Deu zebra, agora tá liberando o MSN pra todos.
    Creio que fiz a regra, conforme você falou:

    Regras - grupo MSN

    acl gmsn external ldap_group CN=g_msn,OU=u_internet,DC=srg,DC=net
    acl ListaMsn dstdom_regex -i "/var/squid/acl/msn.acl"
    http_access allow gmsn ListaMsn

    Regras - grupo acessos com restricoes

    acl gprodutividade external ldap_group CN=g_prod,OU=u_internet,DC=srg,DC=net
    acl restrito dstdom_regex -i "/var/squid/acl/produtividade.acl"
    http_access allow gprodutividade restrito

    Regras - grupo todo liberado

    acl gtotal external ldap_group CN=g_total,OU=u_internet,DC=srg,DC=net
    http_access allow gtotal

    Peguei o arquivo do post citado para montar o meu msn.acl.
    Dei uma arrumada e ficou conforme abaixo:

    .msn.
    .messenger.
    .passport.
    .msgr.hotmail.com
    64.12.164.120
    65.19.140.246
    65.54.187.107
    65.55.255.18
    65.55.255.38
    65.99.232.42
    69.64.38.128
    82.98.252.234
    85.184.4.3
    193.238.160.62
    193.238.162.21
    207.46.110.11
    207.46.124.55
    216.32.66.234


    @JackL:

    @ValterTI11:

    Fala Pessoal,

    Tenho um SQUID rodando com AD, com 2 grupos, e agora preciso colocar um Grupo para MSN.
    Já liberei as portas TCP/UDP 1863 e 6891-6900 no firewall, agora preciso criar a ACL no SQUID, e isso eu não sei como fazer. :(

    @ValterTI11,

    Basta que você siga basicamente os mesmos passos em relação ao arquivo "produtividade.acl", apenas colocando neste arquivo a lista de domínios/urls mencionadas anteriormente aqui mesmo no fórum neste post: http://forum.pfsense.org/index.php/topic,40076.msg207015.html#msg207015

    Depois é só liberar (http_access allow) o grupo G_MSN para a acl ("msn.acl", por exemplo).

    Abraços!
    Jack



  • @ValterTI11:

    Olá Jack,
    Deu zebra, agora tá liberando o MSN pra todos.
    Creio que fiz a regra, conforme você falou:

    @ ValterTI11,

    Certifique-se que você não tenha liberado para a LAN (Firewall->Rules->Lan) a porta TCP/1863, numa regra acima da liberação da porta 80 (conexões HTTP). Veja que o protocolo MSN é bem "esperto" e tenta se conectar de diversas formas (através de conexões HTTP é apenas uma delas, nem é a principal).

    Além disso, veja se você tem um "http_access deny all" no final da tua lista de liberações. Isso garante que se nenhuma ACL (acima dela) foi satisfeita nos critérios de avaliação, o default é negar!

    Ainda em tempo, inclusive para fonte de documentação para outros eventuais colegas e tópicos aqui do fórum, segue a lista completa das portas e URLs utilizadas pela aplicação MSN durante a conexão: http://support.microsoft.com/kb/927847/pt-br

    Abraços!
    Jack



  • @JackL:

    Ainda em tempo, inclusive para fonte de documentação para outros eventuais colegas e tópicos aqui do fórum, segue a lista completa das portas e URLs utilizadas pela aplicação MSN durante a conexão: http://support.microsoft.com/kb/927847/pt-br

    Wow! Excelente! Thanks a lot Mr. Jack.  ;D


Log in to reply