Bloquear MSN messenger pelo iptables (MIME types)

E aí pessoal!

Como bloquear corretamente o MSN Messenger pelo iptables usando "string"?

Eu fiz do seguinte modo e consegui bloquear o MSN Messenger 7.0 e aMSN 0.94. O programa cliente não conecta.

Citação:

---

iptables -A FORWARD -p tcp -m string --string "text/x-msmsgspro" -j DROP

---

OBS.: Para usar STRING no iptables você precisa instalar o Patch-o-matic. Para isto vc precisa recompilar e reinstalar o iptables e depois recompilar o kernel. Abaixo referências de como aplicar este patch:

Como instalar Patch-o-matic:
http://www.vivaolinux.com.br/artigos...hp?codigo=1536

Como recompilar um Kernel:
http://www.vivaolinux.com.br/artigos...hp?codigo=1226

Fontes de pesquisa sobre protocolo MSN:
http://www.venkydude.com/articles/msn.htm
http://www.hypothetic.org/docs/msn/
http://www.devarticles.com/c/a/HTML/...-Apart-Part-1/

Post editado em 13-Julho-2005

Interessante

Citação:

---

Postado originalmente por Skorpyon

Interessante

---

'

fez ae?
achei bem confusa a referência

Parceiro e se fosse para bloquear apenas em determinados Ips interno, ou seja so liberar apenas para ip X Y ou Z

Tem alguma ideia?

uai aí é só usar o -s xxx.xxx.xxx.xxx/32 -d 0/0 -j ACCEPT antes da regra heh..

achei estranho ser no INPUT so isso, na minha opniao deveria ser no FORWARD. Só faltou explanar o cenario da situacao.

ehhee apoiado, não tinha reparado esse detalhe

Alguem já testou isso????

eu não entendi se precisar rodar algum patch ou coisa parecida ou se eh só rodar de boa

iptables -A FORWARD -p tcp -m string --string "text/x-msmsgspro" -j DROP
iptables v1.2.11: Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

Citação:

---

Postado originalmente por whinston

eu não entendi se precisar rodar algum patch ou coisa parecida ou se eh só rodar de boa

iptables -A FORWARD -p tcp -m string --string "text/x-msmsgspro" -j DROP
iptables v1.2.11: Couldn't load match `string':/lib/iptables/libipt_string.so: cannot open shared object file: No such file or directory

Try `iptables -h' or 'iptables --help' for more information.

---

Para rodar isto dai tem que instalar um pacths sim, tem que compilar o kernel, tem que compilar o iptables, instalar o patch-o-magic, etc...

Deve ter isto dai nas referencias..

Tem rodar um patch e recompilar o kernel...para poder fazer isso

Desculpe pessoal... a regra é pra FORWARD mesmo :)

As referências que citei são somente sobre o protocolo do MSN (MSNP10)... esqueci de falar sobre o Patch-o-matic.

Mais informações sobre o patch necessário:
http://www.vivaolinux.com.br/artigos...hp?codigo=1536

Pequena observação... no artigo que eu citei sobre Path-o-matic, existe uma referência para bloqueio do MSN com a string "x-msn-messenger"... isto não funciona para a nova versão do protocolo do MSN.

tranquilo, para isso é aquela velha historia:


tcpdump + iptables + pom (patch o matic)

Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

Alguem poderia me traduzir como que faço essa coisa funcionar...

Pra mim também dah aquele erro de falta da biblioteca pra string... :@:

Citação:

---

Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

---

Estas são as opções que você deve ativar no menu de compilação do Kernel (IP: Netfilter -> Configuration):
* psd
* string

Build-in é a opção que informa que isto vai ser compilado "dentro" do kernel e não como módulo, ou seja, sempre vai ser carregado, pois fará parte do kernel. Build-in é representado por asterisco no menu de compilação do kernel.

Desculpe a ignorancia deste pobre leigo no assunto, mas como faço pra compilar o nosso kerido Kernel... esse tal de comando IP: Netfilter --> Configuration... como que eh isso em miúdos...

Comando por comando....

vanderk, já que você está iniciando no assunto eu recomendo ler um pouco sobre compilação de Kernel e fazer uns "exercícios" no seu computador.

Recomendo um artigo como referência:
http://www.vivaolinux.com.br/artigos...hp?codigo=1226

Só para completar... o menu de compilação do kernel que me referi antes é o que aparece ao usar o comando "make menuconfig" que você vai ver no artigo que recomendei.

Boa sorte e paciência! Isso é realmente chato e da problemas no início! :roll:

Alguem ja conseguiu bloquear?
ja fiz de tudo e nada. verefiquei o arquivo de log access.log e nada, alguem ja conseguiu bloquear?


Yuri

Alguem ja conseguiu bloquear?
ja fiz de tudo e nada. verefiquei o arquivo de log access.log e nada, alguem ja conseguiu bloquear?


Yuri

Alguem ja conseguiu bloquear?
ja fiz de tudo e nada. verefiquei o arquivo de log access.log e nada, alguem ja conseguiu bloquear?


Yuri

Alguem ja conseguiu bloquear?
ja fiz de tudo e nada. verefiquei o arquivo de log access.log e nada, alguem ja conseguiu bloquear?


Yuri

Alguem ja conseguiu bloquear?
ja fiz de tudo e nada. verefiquei o arquivo de log access.log e nada, alguem ja conseguiu bloquear?


Yuri

Alguem ja conseguiu bloquear?
ja fiz de tudo e nada. verefiquei o arquivo de log access.log e nada, alguem ja conseguiu bloquear?


Yuri

Alguem ja conseguiu bloquear?
ja fiz de tudo e nada. verefiquei o arquivo de log access.log e nada, alguem ja conseguiu bloquear?


Yuri

Tem que te bloquear aqui no forum! huauhahuauha posta 1x só seu mala! :P

Eu consegui bloquear o MSN como eu disse... alguem mais fez o teste?

Citação:

---

Postado originalmente por virtualboy

Tem que te bloquear aqui no forum! huauhahuauha posta 1x só seu mala! :P

Eu consegui bloquear o MSN como eu disse... alguem mais fez o teste?

---

Eu usei isso a muito tempo atraz, uns 2 anos, mas no meu caso usei x-msn-messenger, apesar de ter sido muito eficiente eu tive problemas com perdas de pacotes, talvez porque naquele tempo a implementação de string não fosse estavel... eu perdia pacotes que não tinham nada haver com o MSN... funcionou para o Kazaa tambem...
Quando usei funcionou! :)

Galera... toh eu aki de novo...

Dei uma lida nus artigos ai sobre compilação de Kernel, e tenho um novo probleminha referente a esse assunto...

Quando eu abro o menu do kernel, tem lah a opção IP: Netfilter --> Configuracion... mas não tem as opções:
*PSD
*String...

O que precisa pra essas opções apareceram lá e eu conseguir fazer isso funcionar....

vanderk vc tem que entrar no www.netfilter.org e baixar o POM e aplicar no seu kernel alem de aplicar modificacoes no iptables e depois recompilar os 2.

Está tudo explicado no primeiro artigo que recomendei sobre o Patch-o-matic... primeiro vc faz o que diz lá e depois compila o kernel...

Citação:

---

Agora vamos descompactar e executar o pom (vou me referir ao patch-o-matic como pom):

$ tar jxvf patch-o-matic-ng-20040621.tar.bz2
$ cd patch-o-matic-ng-20040621

Existem vários argumentos para rodar o "runme" do pom, mas vou usar o extra para que possamos aplicar o patch psd e o string. O psd para poder bloquear portscan e o string para bloquear algumas strings na conexão, por exemplo, poderemos bloquear o MSN.

Isso esta sendo rodado dentro do diretório do pom:

# ./runme extra

Ele vai executar um script que vai perguntar onde está o source do kernel e depois onde está o source do iptables, ambos em /usr/src.

Quando aparecer o nome psd, aperte y e depois o enter, faça o mesmo quando aparecer o patch string. Após isso faça o seguinte.

# cd /usr/src/iptables
# make
# make install

Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

---

Ai é que esta o meu problema...

Eu já baixei o POM, mas quando vou instalar ele, esando o comando ./runme extra, ele pede onde esta o surce do kernel e do iptables... tenho tudo separado em uma pasta... o surce do kernel 2.6.12 e do iptables 1.3.1... tenhos os dois intalados e rodadando perfeitamente...

Quando vou rodar o POM, pra instalar, ele pede um monte de coisa, mas num sei o que significa a metade daquilo... se eu dou um y (yes), tem varios casos ele me diz faltam arquivos... e acho q esse é o problema...

Falow pela ajuda... fico no aguardo.

Citação:

---

Postado originalmente por felco

Eu usei isso a muito tempo atraz, uns 2 anos, mas no meu caso usei x-msn-messenger, apesar de ter sido muito eficiente eu tive problemas com perdas de pacotes, talvez porque naquele tempo a implementação de string não fosse estavel... eu perdia pacotes que não tinham nada haver com o MSN... funcionou para o Kazaa tambem...
Quando usei funcionou! :)

---

Eu não tive problemas com perda de outros pacotes... a string de bloqueio está bem específica a pacotes do MSN Messenger, então não há porque bloquear outros. Por exemplo, se eu bloqueasse a string "messenger" somente, certamente iriam ocorrer diversos problemas.

Citação:

---

Postado originalmente por vanderk

Ai é que esta o meu problema...

Eu já baixei o POM, mas quando vou instalar ele, esando o comando ./runme extra, ele pede onde esta o surce do kernel e do iptables... tenho tudo separado em uma pasta... o surce do kernel 2.6.12 e do iptables 1.3.1... tenhos os dois intalados e rodadando perfeitamente...

Quando vou rodar o POM, pra instalar, ele pede um monte de coisa, mas num sei o que significa a metade daquilo... se eu dou um y (yes), tem varios casos ele me diz faltam arquivos... e acho q esse é o problema...

Falow pela ajuda... fico no aguardo.

---

Aí está então... você precisa baixar o source do iptables e do kernel... Voce deve saber exatamente onde estão esses sources para informar na instalação do Patch-o-matic (para ele poder aplicar o "patch" nos sources):

Exemplo:
* /usr/src/linux-2.6.12
* /usr/src/iptables-1.3.1

Quanto ao Patch-o-matic... habilite apenas o que diz no artigo sobre a instalação dele. Os outros itens você não precisa (pelo menos para string). Mais tarde você pode estudar sobre todos os patchs do POM... tem coisa bem útil lá, mas é bom começar aos poucos...

Parabéns pela persistência! :clap:

kra, tenho red hat 9, o kernel é 2.4.20, tmb tenho io 2.6.0, com os src deles e do iptables, ultima versão, 1.3, mas qndo vou aplicar o patch-o-matic, recebo a msg dizendo que meu kernel é muito antigo, que poha! alguém já viu isso?

Talvez o Kernel 2.4.20 seja considerado velho pelo patch-o-matic...

Eu estou usando kernel 2.4.26 + iptables 1.3.1 + patch-o-matic.

:)

Citação:

---

Postado originalmente por [email protected]

:)

---

Citação:

---

Postado originalmente por vanderk

Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

Alguem poderia me traduzir como que faço essa coisa funcionar...

Pra mim também dah aquele erro de falta da biblioteca pra string... :@:

---

Aqui dizem que você tem que compilar o seu kernel com estas opções (PSD e STRING) que estão dentro da opção netfilter configuration, como built in (compilado) e não como módulo...

Citação:

---

Postado originalmente por vonlinkerstain

Citação:

---

Postado originalmente por vanderk

Após instalar o iptables, recompile seu kernel indo na opção do IP: Netfilter Configuration ---> e configurando, colocando built-in o psd e o string.

Alguem poderia me traduzir como que faço essa coisa funcionar...

Pra mim também dah aquele erro de falta da biblioteca pra string... :@:

---

Aqui dizem que você tem que compilar o seu kernel com estas opções (PSD e STRING) que estão dentro da opção netfilter configuration, como built in (compilado) e não como módulo...

---

Caralho viagei legal, nao vi que tinham outras entradas no topico, desculpa galera
ehhehe

oi jessica :@:
[[/i]

ola amigos,
eu uso essa regra para bloquear o MSN
#==================Bloquear MSN=============
iptables -A FORWARD -s LAN -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s LAN -d loginnet.passport.com -j REJECT

sendo q ae me deparo com um problema, os usuários da rede não conseguem acessar o hotmail, o technet, MSDN, etc...porque todos esses sites fazem a autenticação do usuário no loginnet.passport.com
vcs sabem como reverte isso
qualquer coisa me manda um e-mail: [email protected]
muito obrigado mesmo


Alan Silva_

e esta regra funciona mesmo para o msn 7?

Citação:

---

Postado originalmente por vonlinkerstain

e esta regra funciona mesmo para o msn 7?

---

pro MSN 7 eu nao sei...pq eu nao uso ele aqui na empresa
mais essa regra funciona aqui para o MSN 6.x
ate

Citação:

---

Postado originalmente por Anonymous

Citação:

---

Postado originalmente por vonlinkerstain

e esta regra funciona mesmo para o msn 7?

---

pro MSN 7 eu nao sei...pq eu nao uso ele aqui na empresa
mais essa regra funciona aqui para o MSN 6.x
ate

---

Legal, é por que eu tinha lido que as regras que funcionavam para o 6.0, não funcionariam para o 7.0, pois alguma coisa mudou no protocolo de conexão.
Vou testá-la aqui e depois posto os resultados

Colegas,

Pode-se bloquear o MSN com uma junção do IPTables e Squid com a seguinte regra no IPTables:

$IPTABLES -A FORWARD -p tcp -s $NET --dport 1863 -j DROP

E no Squid:

acl rede src 192.168.0.0/24
acl ips_msn src 192.168.0.1 192.168.0.2
acl msn url_regex -i gateway.dll
http_access allow ips_msn msn
http_access allow rede !msn

Se quiser bloquear somente pelo Iptables sem usar o módulo string, pode-se usar as regras a seguir:


#$IPTABLES -A OUTPUT -s 192.168.0.1 -o $IF_EXT -d 207.46.96.0/19 -j ACCEPT
#$IPTABLES -A FORWARD -s 192.168.0.1 -o $IF_EXT -d 207.46.96.0/19 -j ACCEPT
#$IPTABLES -A OUTPUT -d 207.46.96.0/19 -j DROP
#$IPTABLES -A FORWARD -d 207.46.96.0/19 -j DROP

207.46.104.20 - Este ip pode ser usado no lugar de 207.46.104.20, pois é um IP que se refere ao domínio do MSN.

Nestas regras está liberando acesso somente ao host cujo IP é 192.168.0.1

Espero ter ajudo a todos.

Infelizmente não funciona !
Recompilei o kernel, consigo bloquear o kazaa (o string match está OK) mas
não bloqueia o MSN 7.0.777

Tipo!!! vou conferir no meu pc em Londrina , pois consigo bloquear com as seguintes regras!!!!

Código :

---

/usr/sbin/iptables -A FORWARD -p TCP --dport 1863 -j REJECT
/usr/sbin/iptables -A FORWARD -p TCP --dport 1863 -j DROP
/usr/sbin/iptables -A FORWARD -d 207.46.4.60/24 -j REJECT
/usr/sbin/iptables -A FORWARD -d 65.54.239.140/24 -j REJECT

---

Oh, eu usaria o l-7... ia ter o mesmo trabalho e eu já teria a facilidade pra bloquear o Kazaa...

E se eu precisar bloquear o msn em algumas maquinas em especifico? Como faço?
Lembrando que aki na empresa eu utilizo DHCP ou seja, não tenho como bloquear por ip através do ip-tables?

Existe alguma forma de se bloquear por usuário de rede? Ou alguma outra alternativa?

FLW!

MAC.