WindowsXPからの通信をProxyサーバでブロックその1 (squid)｜あいらぶLinux♪

（情報元のブックマーク数）

プロキシ（Squid）で、XPやサポート終了のOSのインターネット閲覧を制限した上に、Sorryページを表示する方法。
これは企業で、今後必須な設定かも。

追記：この場合、WindowsServer2003を誤検知してしまいます。ただ、その場合、WindowsXP 64bit（SP2が最終）を検知できないというジレンマに・・・同じKernelを使ってるからしょうがない・・

WindowsXPのサポートが切れるまであと1ヶ月ほどとなりました。

Windows XP および、Office 2003 のサポート終了についてのご案内

https://www.microsoft.com/ja-jp/windows/lifecycle/sp3eos.aspx

ですが、おそらくまだ職場でWindowsXPを使っている人はいると思います。

Windows7などに買い替えるのが最もよい方法とは思いますが、
できるだけセキュリティリスクを減らすために、Proxyサーバで制御をかけます。
(例えば、野良XPがいきなり社内LANにつながった時など)

きっかけは某セキュリティスペシャリストの方にWindowsXPからの
通信をsquidで制御できるんじゃないのと言われたことから始まりました。
そこでできるかどうかが気になったので、自宅環境で検証してみました。
WindowsXPからの通信をProxyサーバでブロックその1 (squid) | ぼぶろぐ

具体的には、User-Agentで制限をして、RedirectorでSorryページを表示する感じです。

squid.conf

acl user-agent browser regexp "/etc/squid/user-agent.txt"
url_rewrite_program /etc/squid/redirect_unsupportos.sh
url_rewrite_access allow user-agent
url_rewrite_access deny all

/etc/squid/user-agent.txtで規制User-Agentを記載

（この設定では、Windows Server2003を誤検知します）

MSIE 4\.0
MSIE 5\.0
MSIE 5\.5
MSIE 6\.
compatible
Mozilla\/3\.0
Windows NT 5\.
Windows 9

or (Windows Server 2003を検知せず、XP 64Bit版は閲覧できてしまいます。

MSIE 4\.0
MSIE 5\.0
MSIE 5\.5
MSIE 6\.
compatible
Mozilla\/3\.0
Windows NT 5\.1
Windows 9

redirect_unsupportos.shは、リダイレクトさせるプログラム

#!/bin/sh
while read line
do
echo "301:http://localdomain/xp_support_end"
done