Con squid e iptables bien configurados, no necesitas mantaner tropecientas mil maquinas de clientes, ni pagar n licencias de nada.
La estrategia es simple. Con iptables deniegas todo el trafico de entrada y salida. osea DROP por defecto para FORWARD, INPUT Y OUTPUT de ahi abres el trafico FORWARD especificando origen, puerto de origen, destino y puerto de destino, son dos reglas una de entrada y otra de salida. A lo mucho debes dejar pasar el trafico 80 y 443 del proxy (configurado con ssl), si uno de los clientes usa outook externo (en lo posible evitar) darle salida a ese ip puerto 25 y 110. Con eso ya mataste todos los n puertos que usan el messenger, p2p, troyanos, virus, etc. no tienes que cerrar el 1863 ni nada porque ya esta cerrado por defecto Ahora tienes un punto debil y es la salida 80 para eso entra squid y opcionalmente squidGuard, si deseas filtros mas sofisticados El messenger se puede configurar para que salga por el proxy. En el squid creas políticas de autenticación por usuarios y ACL para grupos de usuarios, navegación a Internet y Messenger, tambien tienes que tener una lista actualizada de los web messenger. Luego solo les das acceso a los grupos a Messenger y Navegación de acuerdo a los criterios que te solicitaron. Complementos son sarg y ligthsquid para que veas el uso de internet por si alguien usa proxy anónimo o una página caleta para el messenger. Saludos El día 23/07/07, Linck <[EMAIL PROTECTED]> escribió:
Hola Wilson Con squid puede lograrse muchas cosas pero muchas veces el trabajo de administración se vuelve complicado, a veces dramático y otras inmanejable.. hay varios factores para que ocurra esto por lo que una buena opción sería el Control de Aplicaciones a nivel de las Pc's. Desde hace un año aprox. Sophos Anti-Virus incluye el Control de Aplicaciones. Solo se necesita instalar el cliente antivirus y lo demás lo controlas (permitir, bloquear o desinstalar aplicaciones) desde el Administrador de la solución. Actualmente son 11 categorías de programas que se pueden controlar entre las que estan: - Clientes de mensajería. - Aplicaciones P2P. - Clientes VoIP - Media Players. - Juegos de Windows y en red y otras categorias más. Mas info en http://esp.sophos.com/products/enterprise/endpoint/security-and- control/<http://esp.sophos.com/products/enterprise/endpoint/security-and-control/> Saludos, Linck Tello Flores --- Mensaje analizado por Sophos PureMessage Sophos - seguridad y control para empresas - http://esp.sophos.com --- El día 23/07/07, Pablo Alexis Valdivia Munoz <[EMAIL PROTECTED]> escribió: > > Hola, Wilson, revisa los manuales y tutoriales en la seccion de SQUID, > ahi encontraras lo que necesitas, te dejo la direccion. > > > http://www.linuxparatodos.net/portal/staticpages/index.php?page=manuales-indice > > Saludos. > > Pablo. > > El día 23/07/07, Wilson Acha < [EMAIL PROTECTED]> escribió: > > > > Hola, tengo configurado un proxy transparente (squid) y un firewall > > (iptables) con politica DROP por defecto, ahora a mi superior se le ha > > ocurrido realizar algunas restricciones, a saber: > > * Permitir solo a algunas IPs la navegacion (lo he realizo con squid y > > todo ok) > > * Permitir solo a algunas IPs el acceso al MSN (no lo he logrado) > > * Hacer que algunos usuarios tengan navegacion pero no MSN (no lo he > > logrado) > > * Hacer que algunos usuarios tengan MSN pero no navegacion (no lo he > > logrado) > > > > No se si existe alguna forma de realizar esto con squid+iptables, de > > tal forma que se mantenga registrados a los usuarios (IPs) en > > archivos, ya que generalmente a los superiores se les ocurre frecuente > > mente decir quienes tiene acceso y quienes no. > > > > Alguno me pueder guiar o me puede comentar como resolver este tema? > > > > > > gracias > > > > > > Wilson > > _______________________________________________ > > Lista de correo Linux-plug > > Temática: Discusión general sobre Linux > > Peruvian Linux User Group ( http://www.linux.org.pe) > > > > Participa suscribiéndote y escribiendo a: [email protected] > > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > > > IMPORTANTE: Reglas y recomendaciones > > http://www.linux.org.pe/listas/reglas.php > > http://www.linux.org.pe/listas/comportamiento.php > > http://www.linux.org.pe/listas/recomendaciones.php > > > > > _______________________________________________ > Lista de correo Linux-plug > Temática: Discusión general sobre Linux > Peruvian Linux User Group ( http://www.linux.org.pe) > > Participa suscribiéndote y escribiendo a: [email protected] > Para darte de alta, de baja o hacer ajustes a tu suscripción visita: > http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug > > IMPORTANTE: Reglas y recomendaciones > http://www.linux.org.pe/listas/reglas.php > http://www.linux.org.pe/listas/comportamiento.php > http://www.linux.org.pe/listas/recomendaciones.php > _______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
-- "No leas meneame.net" Clever Flores Email: [EMAIL PROTECTED] Blog: http://cleverflores.blogspot.com
_______________________________________________ Lista de correo Linux-plug Temática: Discusión general sobre Linux Peruvian Linux User Group (http://www.linux.org.pe) Participa suscribiéndote y escribiendo a: [email protected] Para darte de alta, de baja o hacer ajustes a tu suscripción visita: http://www.linux.org.pe/cgi-bin/mailman/listinfo/linux-plug IMPORTANTE: Reglas y recomendaciones http://www.linux.org.pe/listas/reglas.php http://www.linux.org.pe/listas/comportamiento.php http://www.linux.org.pe/listas/recomendaciones.php
