Hola amigos, la verdad es que soy muy nuevo en estos temas de Linux y sus bellezas, pero en días pasados me vi en la necesidad de instalar un proxy transparente con squid para poder controlar a los usuarios de la empresa donde trabajo pues hacían todo menos lo que debían.

En si la instalación y configuración de squid fue muy sencilla, de hecho lo logre apoyándome en el manual que viene en este mismo site y el cual esta excelente.

El problema más grande fue el de bloquear live messenger para mis usuarios y dejarlo abierto para los directores y nosotros encargados del área de TI, para realizar esto tuve que hacer uso de algunos iptables y unas cuantas líneas en el squid.conf las cuales comparto en este momento con ustedes por si para alguien más son de utilidad. Saludos

IPTABLES

#Bloquear MSN Messenger
#Con esta regla lo que hago es permitir hotmail para directivos y mi equipo de TI

iptables -A FORWARD -p TCP -d 65.54.183.203 -j ACCEPT

#Con estas tres reglas bloqueamos el uso de messenger "para todos" y damos acceso a
#algunos en el squid.conf, lo veremos adelante. Bloqueamos el puerto como destino y
#origen y bloqueamos el rango de IPs de los servidores que dan servicio al messenger

iptables -A FORWARD -p TCP -dport 1863 -j REJECT
iptables -A FORWARD -p TCP -sport 1863 -j REJECT
iptables -A FORWARD -p TCP -d 64.4.13.0/24 -j REJECT

Lo anterior es lo que se necesita dentro de los iptables para poder bloquear el messenger por medio de los iptables. A continuación veremos la forma de dar acceso por medio de reglas ACL en el squid.conf solo al grupo de usuarios que deseamos:

acl CONNECT method CONNECT
acl msn_url url_regex -i gateway.dll
acl msn_url url_regex -i ADSAdClient31.dll
acl msnmessenger req_mime_type ^application/x-msn-messenger$
acl msn_port port 1863
acl msn_method method POST
acl MSN_Messenger browser ^Mozilla.compatible;.MSN Messenger.
acl hotmail src 64.4.13.0/24
acl hotmail src 65.54.183.0/24
acl hotmail src 65.54.239.0/24

#Ahora las reglas para dar acceso solo a los usuarios que deseamos, cuando me refiero
#a "usuarios_acceso_total" es una lista previamente definida donde tengo las maquinas
#que quiero que entren a messenger

http_access deny !usuarios_acceso_total MSN_Messenger
http_access deny !usuarios_acceso_total msnmessenger
http_access deny !usuarios_acceso_total msn_method msn_url
http_access deny !usuarios_acceso_total msn_port
http_access deny !usuarios_acceso_total hotmail
http_access deny !usuarios_acceso_total CONNECT msn_port

Una vez hecho esto será necesario reiniciar el servicio de squid para que tome los cambios, en cuanto a los iptables, el cambio se hace en tiempo real y para que se guarden permanentemente, es necesario después de poner las líneas que puse arriba la siguiente instrucción:

service iptables save

Con esto nuestro proxy transparente está listo para bloquear el live messenger y las versiones anteriores también

Saludos y espero que a alguien le sea de utilidad