Ayuda bloqueando Streaming Video SQUID !!

Iniciado por TrashAmbishion, 26 Noviembre 2015, 23:04 PM

0 Miembros y 1 Visitante están viendo este tema.

TrashAmbishion

Amigos necesito que noc puedan ver ningun tipo de video ni reproducir musica online encontre este sitio con un ejemplo lo que stoy configurando y no me hace nada...

https://linuxstep.wordpress.com/step-by-step-configuration-squid-to-block-streaming-media-online/

Alguna idea de como puedo controlarlo..

Salu2

Pd: aun sigo buscando gracias de antemano

Platanito Mx

¿por qué dices que no hace nada?

¿por que ves los vídeos de youtube?
Si los ves es porque no has bloqueado la reproducción del shockwave flash y eso lo haces agregando las siguientes lineas al ejemplo que usaste:

acl StreamingRequest0 req_mime_type ^application/x-shockwave-flash

http_reply_access deny StreamingRequest0


Saludos

TrashAmbishion

Bro en el sitio que te puse arriba tienen esto

# streaming download
acl fails rep_mime_type ^.*mms.*
acl fails rep_mime_type ^.*ms-hdr.*
acl fails rep_mime_type ^.*x-fcs.*
acl fails rep_mime_type ^.*x-ms-asf.*
acl fails2 urlpath_regex dvrplayer mediastream mms://
acl fails2 urlpath_regex \.asf$ \.afx$ \.flv$ \.swf$
acl deny_rep_mime_flashvideo rep_mime_type -i video/flv
acl deny_rep_mime_shockwave rep_mime_type -i ^application/x-shockwave-flash$
acl x-type req_mime_type -i ^application/octet-stream$
acl x-type req_mime_type -i application/octet-stream
acl x-type req_mime_type -i ^application/x-mplayer2$
acl x-type req_mime_type -i application/x-mplayer2
acl x-type req_mime_type -i ^application/x-oleobject$
acl x-type req_mime_type -i application/x-oleobject
acl x-type req_mime_type -i application/x-pncmd
acl x-type req_mime_type -i ^video/x-ms-asf$

acl x-type2 rep_mime_type -i ^application/octet-stream$
acl x-type2 rep_mime_type -i application/octet-stream
acl x-type2 rep_mime_type -i ^application/x-mplayer2$
acl x-type2 rep_mime_type -i application/x-mplayer2
acl x-type2 rep_mime_type -i ^application/x-oleobject$
acl x-type2 rep_mime_type -i application/x-oleobject
acl x-type2 rep_mime_type -i application/x-pncmd
acl x-type2 rep_mime_type -i ^video/x-ms-asf$
http_reply_access deny deny_rep_mime_flashvideo
http_reply_access deny deny_rep_mime_shockwave

#streaming files
http_access deny fails
http_reply_access deny fails
http_access deny fails2
http_reply_access deny fails2
http_access deny x-type
http_reply_access deny x-type
http_access deny x-type2
http_reply_access deny x-type2

Creo que ahi entra lo que tu me pones solo que no me funciona, aun estoy trasteando esto del squid en linux no sabia que podia nombrar una regla con el mismo nombre y denegarlas despues con una sola linea... quizas lo estoy colocando en un mal orden.. gracias de antemano..

Platanito Mx

¿Espero no ofenderte pero...reiniciaste el servicio del squid? En caso de que sí:


(una disculpa cuando vi el ejemplo no baje hasta esa parte que pegaste aquí)

Entra a youtube y verifica que si puedas ver un vídeo

Haz una prueba en squid.conf

agrega las siguientes lineas:

acl StreamingRequest0 req_mime_type ^application/x-shockwave-flash

http_reply_access deny StreamingRequest0

con eso por lo menos youtube debe estar bloqueado, reinicia el squid y prueba si ves un video en youtube

TrashAmbishion

#4
Compadre hace unos minutos te habia escrito que me habia funcionado de maravillas pero verificando los otros ACL me dio problemas y lo deje tal y como tu me lo distes aqui y no me funciona sigue cargandome los videos de youtube..

Salu2

Lo he revisado 1000 no veo que esta mal mi config no tiene mas de 15 lineas asi que no es complicado..

Platanito Mx

#5
Las lineas que te puse ayer a mi me funcionarón sin problema

¿tienes habilitado el log?

En caso de que no lo tengas pon esta linea y revisa el log

access_log /var/log/squid3/access.log

Ya vi algo:
acl deny_rep_mime_shockwave rep_mime_type -i ^application/x-shockwave-flash$

acl StreamingRequest0 req_mime_type ^application/x-shockwave-flash

En lo particular desconocía el rep_mime_type y conozco el req_mime_type

El rep_mime_type es un acl se usa para verificar el tipo de respuesta recibida por el proxy a diferencia del req_mime el cual se utiliza para comprobar el tipo de petición que realiza un equipo y si se busca sea bloqueado desde el proxy se debe utilizar el req_mime_type

¿Seguro que pusiste las lineas que te sugerí?

TrashAmbishion

#6
Esto es lo que me muestra el LOG

1449087324.485    432 192.168.1.5 TCP_MISS/200 1012 POST http://clients1.google.com/ocsp user01 DIRECT/216.58.219.78 application/ocsp-response
1449087326.100    815 192.168.1.5 TCP_MISS/200 1012 POST http://clients1.google.com/ocsp user01 DIRECT/216.58.219.78 application/ocsp-response
1449087327.994  32031 192.168.1.5 TCP_MISS/200 359 CONNECT r2---sn-pouxan5u-ibge.googlevideo.com:443 user01 DIRECT/82.206.179.77 -
1449087340.415    265 192.168.1.5 TCP_MISS/301 651 GET http://www.youtube.com/ user01 DIRECT/216.58.219.78 text/html
1449087342.036  45659 192.168.1.5 TCP_MISS/200 206186 CONNECT r2---sn-pouxan5u-ibge.googlevideo.com:443 user01 DIRECT/82.206.179.77 -
1449087342.038  46076 192.168.1.5 TCP_MISS/200 66178 CONNECT r2---sn-pouxan5u-ibge.googlevideo.com:443 user01 DIRECT/82.206.179.77 -
1449087343.035  62070 192.168.1.5 TCP_MISS/200 4544 CONNECT clients1.google.com:443 user01 DIRECT/216.58.219.78 -
1449087358.636 100355 192.168.1.5 TCP_MISS/200 4962 CONNECT www.youtube-nocookie.com:443 user01 DIRECT/216.58.219.78 -
1449087364.544   5891 192.168.1.5 TCP_MISS/200 10645 CONNECT r1---sn-5uaezn6z.googlevideo.com:443 user01 DIRECT/74.125.7.80 -
1449087365.847   7263 192.168.1.5 TCP_MISS/200 5589 CONNECT r2---sn-pouxan5u-ibge.googlevideo.com:443 user01 DIRECT/82.206.179.77 -
1449087378.319 106565 192.168.1.5 TCP_MISS/200 1846 CONNECT content.googleapis.com:443 user01 DIRECT/216.58.219.106 -
1449087384.181  62235 192.168.1.5 TCP_MISS/200 4433 CONNECT static.doubleclick.net:443 user01 DIRECT/216.58.219.70 -
1449087388.799  31427 192.168.1.5 TCP_MISS/200 359 CONNECT r2---sn-pouxan5u-ibge.googlevideo.com:443 user01 DIRECT/82.206.179.77 -

Estuve leyendo y ese TCP_MISS esta relacionado con que no me esta haciendo CACHE y esto si me preocupa porque de echo le tengo control con ACCESS_DELAY para la banda ancha y la cache me es primordial a continuacion te pongo mi config del SQUID para que me digas que puede estar sucediendo..

http_port 8080

cache_mem 1024 MB

cache_dir ufs /var/spool/squid3 50000 16 256

acl LocalNet src 192.168.1.0/24

acl CONNECT method CONNECT
acl SSL_ports port 443
acl Safe_ports port 80  # http
acl Safe_ports port 21  # ftp
acl Safe_ports port 443  # https
acl Safe_ports port 70  # gopher
acl Safe_ports port 210  # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280  # http-mgmt
acl Safe_ports port 488  # gss-http
acl Safe_ports port 591  # filemaker
acl Safe_ports port 777  # multiling http

auth_param basic program /usr/lib/squid3/ncsa_auth /etc/squid3/passwords
auth_param basic children 5
auth_param basic realm SERVIDOR DE PRUEBAS
auth_param basic credentialsttl 1 hours
acl authenticated proxy_auth REQUIRED
acl cant_conexiones maxconn 5
acl pcmacs arp "/etc/squid3/mac-allowed"

###########################################################
#################Block Video Streaming#####################
#acl blockeddomain dstdomain "/etc/squid3/deny-domain"
#http_access deny blockeddomain

acl StreamingRequest0 req_mime_type ^application/x-shockwave-flash
http_reply_access deny StreamingRequest0
###########################################################
###########################################################

delay_pools 1
delay_class 1 2
delay_access 1 allow all
delay_parameters 1 64000/64000 5000/10000

http_access allow pcmacs authenticated
http_access deny cant_conexiones

access_log /var/log/squid3/access.log
http_access deny all

Esta Pc esta montada en ProxMox yo le tengo destinado 5GB de RAM y aqui le tengo dicho 1GB para el tema del cache si me pudieras echar una manita aqui tambien te lo voy agradecer...

Platanito Mx

#7
Me voy a enfocar a la parte de Youtube, porque partiendo en que youtube no se ve lo demás será mas fácil.

1449087340.415    265 192.168.1.5 TCP_MISS/301 651 GET http://www.youtube.com/ user01 DIRECT/216.58.219.78 text/html

El TCP_MISS efectivamente esta diciendo que no se encuentra en el cache y por ello se va a buscarlo a internet
El codigo 301 indica que fue movido de forma permanente

Y aunque suene logico se espera que sea un TCP_DENIED y no un TCP_MISS

Debo salir un momento en cuanto regrese continudo este post



****************************************************

Tu archivo prácticamente el que tiene por default el SQUID

Leyendo tu archivo de configuración solo quiero no obviar

¿Tu servidor lo tienen con IP del segmento 192.168.1.x/24? ¿y por ende tus tienen esa IP como puerta de enlace y DNS?





TrashAmbishion

Mi servidor proxy tiene como ip 192.168.1.14 y mi puerta de enlace es 192.168.1.8 todos mis usuarios tienen configurado en el proxy del navegador la ip 192.168.1.14 (mi proxy como dije arriba) la puerta de enlace no la tengo configurada en la pc de ningun usuario porq no lo necesito por ahora..

Salu2 disculpa la demora..

No tengo DNS en mi red mi ISP me los gestiona..

Platanito Mx

Cita de: TrashAmbishion en 14 Diciembre 2015, 22:34 PM
Mi servidor proxy tiene como ip 192.168.1.14 y mi puerta de enlace es 192.168.1.8 todos mis usuarios tienen configurado en el proxy del navegador la ip 192.168.1.14 (mi proxy como dije arriba) la puerta de enlace no la tengo configurada en la pc de ningun usuario porq no lo necesito por ahora..

Salu2 disculpa la demora..

No tengo DNS en mi red mi ISP me los gestiona..

Ok. aquí vamos un poco a la parte del modelo OSI

En la capa de transporte estaría tu router y en la capa de aplicación estaría tu aplicación, por lo que estaría bien que en la configuración del navegador pero ahí surge la duda ¿estas seguro que solo manejan un nevegador o hiciste la configuración en todos los nevadores (firefox, chorme, opera, IE, edge)

Trata de hacer la prueba de poner como puerta de enlace la 192.168.1.14