Una sencilla manera de cortar la salida del Messenger utilizando el proxy squid

By 1 de febrero de 2008 Linux 2 Comments

Cursos en www.aprendemas.com Masters en www.mastermas.com MBAs en www.waytomba.com Patrocinio web de aprendemas.com

nomsn.gifTengo una red con un firewall basado en iptables con la política “todo lo que no está expresamente permitido está prohibido”, es decir, salvo los puertos 80, 25, 22 y 53 nada sale ni entra, y la salida y entrada está restringida a máquinas específicas. Por supuesto, esto implica un bloqueo implícito a aplicaciones de mensajería instantánea.

La red incluye un proxy (no transparente) basado en Squid que tiene control de acceso por máquina y por horario, con restricciones de dominio de salida y contenidos. Sin embargo, como una conveniencia para los empleados, se brinda 100% acceso (salvo bloqueo de pornografía por razones legales) fuera de horas de oficina.

Inspección semanal de los logs de Squid revelá que algunos usuarios averigúaron como utilizar el Messenger a través de un proxy para saltarse el firewall y entubar su cháchara. Eso no me molestaría tanto, si no fuera porque se están mandando archivos gigantescos, que están consumiendo mi ancho de banda para cosas importantes como enviar y recibir e-mail, hacer apt-get, sincronizar el mirror de deblin y otras actividades más edificantes. Les espera una sorpresa porque no lo puedo permitir.

La solución inocente sería averigúar los nombres/IP de todos los servidores de MSN que tiene Microsoft para bloquearlos con acl en Squid, pero como son tantos y aparecen/desaparecen servidores con mucha frecuencia implicaría estar revisando las reglas con frecuencia. Soy muy flojo para eso, de manera que es mejor leerse el manual de Squid.

acl aplicaciones_prohibidas
req_mime_type -i "/etc/squid/squid.mime-prohibido"
http_access deny all aplicaciones_prohibidas

y en /etc/squid/squid.mime-prohibido coloco una línea como

^application/x-msn-messenger$

Pueden colocarse los tipos MIME de cualquier otra aplicación que se quiera bloquear, por ejemplo tipos de archivo prohibidos.

Grácias a Ernesto Hernández-Novich por el truco.

2 Comments

Leave a Reply

Your email address will not be published.