Versão Imprimível
olá amigos
gostaria de saber se alguém de fato consegui bloquear o msn
já usei as seguintes regras
iptables -A FORWARD -s rede -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s rede -d loginnet.passport.com -j REJECT
acl msn url_regex -i /gateway/gateway.dll
E depois para bloquear:
http_access deny msn
o msn na primeira vez não conecta, mas na segunda tentativa consegue conectar...
que posso fazer? sera que existe algum jeito de fazer isso no linux?
Cinceramente não acredito que estou lendo isso de novo novamente mais uma vez acho que as pessoa antes de postar alguma coisa...pesquisar antes é bom....olha amigo depois que li sua pergunta fiz uma pesquisa e achei mais de 10 dicas só aki no site agora c vc quer tudo na mão a i complica acho que um profissional em linux tem que ser muito curioso c não não vai........ta dado o recado!!! :good:
Citação:
Postado originalmente por chakalt
então amigo...esse é o problema...eu tb axei vários topicos ate viu...mais acontece que não está funcionando...ai to querendo saber...
se pode ser alguma coisa relacionada aqui com a minha distro ou se esse bloqueio do msn não funciona mesmo...
KARA EU AXEI AQUI VÁRIOS POSTS SIM
só que fiz e num funciono
A sim irmão então blz!!!
vamu la então vo TENTAR te ajudar me diga ai qual é sua distro e o que vc ta usando(iptables,squid ou qual desses derivados) ?????
tudo blz irmão...Citação:
Postado originalmente por chakalt
to usando o fedora core 4
tem iptables, proxy transparent...
Tenta bloquear a porta 80 da certo!
bLOQUEI A PORTA 80,3128,4463 pra ver no que é que da :(6)
xi nadinha....Citação:
Postado originalmente por chakalt
Cara vc pode utilizar o squid para fazer isso e criar uma acl
:@: :(6)
Tente usar a seguinte regra também no squid
acl messenger req_mime_type ^application/x-msn-messenger$
http_access deny messenger
se não funcionar, vc vai ter que bloquear tb o hotmail, porque o passport vincula o hotmail com o msn.
Mas deve funcionar.
bloqueia a palavra gateway.dll no squid
Uso uma acl assim:
acl msn url_regex -i loginnet.passport.com nexus.passport.com services.msn.com bay7.oe.hotmail.com gateway.messenger.hotmail.com oe.hotmail.com webmessenger.net e-messenger.net gateway.dll
http_access deny msn
E no iptables:
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 1863 -j REJECT --reject-with icmp-host-prohibited
Conosco tem funcionado. ;)
[]'s
https://under-linux.org/noticia4730.html
leia esse artigo e os poste nele, fui eu que escrevi, se mesmo assim não conseguir, posta ae que eu te ajudo.. abraço
olá
o msn usa a porta 1863 para se conectar caso não consiga estabelecer
comunicação ele procura na porta 80 os outros servidores....
então
bloquei a porta 1863, e bloquei a porta 80 e cire uma acl com as palavras usadas
nos servidores do msn como,
gateway.dll ,msn ,menssager, etc.
fiz isso e bloqueou ...
espero ter ajudado...
hehehe, essa é a grande dor de cabeça de muita gente e a cada versão as incansáveis regras do squid acabam sendo furradas.
Seguinte pessoal, depois de muito estudar o caso e passar horas mesmos fazendo refinamentos, o único jeito de bloquear o msn pelo squid é esse aqui.
Antes de criar as novas acls adicionar mais uma porta para a acl Safe_ports.
acl Safe_ports port 1863 # Messenger
Agora vamos criar as nossas.
# MSN
acl msn dstdomain "/etc/squid/acls/msn"
Nessa acl adicionar os endereços de conexão do messenger
gateway.messenger.hotmail.com
messenger.hotmail.com
webmessenger.msn.com
messenger.msn.com
g.msn.com
svcs.microsoft.com
microsoft.com
msn.com.br
msn.com
rad.msn.com
loginnet.passport.com
passportimages.com
acl msndst dst "/etc/squid/acls/msndst"
Aqui está o segredo do negócio. Observe que quando vc conecta no messenger a sua estação estabelece conexão com um ip da faixa 207.x.x.x.
Então alimente o esta acl com o valor
207.0.0.0./8
Sei que esta rede é classe C mas só funcionou pondo como classe A
acl msnhosts src "/etc/squid/acls/msnhosts"
Nesta acl alimente os ips que vão ser liberados para acessar o messenger.
192.168.1.10
192.168.1.55
...
# Liberar hosts para msn
http_access allow msnhosts msn
http_access allow msnhosts msndst
Bom, é isso ai, trabalhe com suas demais regras e prontinho. Ponha essas regras no inicio dos http_access antes de liberar sua rede para navegação. Não precisa fazer deny em nemhuma das regras, mas se quizer faça assim.
http_access allow msnhosts msn
http_access allow msnhosts msndst
http_access deny msndst
Obs.: No seu iptables bloquei a saida na porta 1863 e porta 80 se seu proxy não for transparente. E assim vc vai forçar a saida de HTTP e Messenger pelo proxy configurando o seu browser manualmente.
Caso seu proxy seja transparente só basta bloquear a porta 1863 já que vc está redirecionando toda conexão HTTP para o seu proxy.
Com certeza isso vai dar certo, tenho trocentos servidores e funfa 100%.
valeu!
Amigo, eu apenas fiquei acompanhando pelo /var/log/squid/access.log onde o usuário se conecta no Messenger. Daí prá frente foi fácil bloquear pelo Squid. As dicas escritas acima pelos nossos membros do Underlinux, funcionam perfeitas. Funciona na empresa, onde trabalho, tem mais de 3 anos. Outra coisa que fizemos para bloquear ou liberar quem pode ou não ter acesso no msn : Criamos somente um usuário que pode ter acesso no msn. Então na hora de configurar o msn do usuário , na opção de conexão no msn, nós colocamos o usuário que o msn pede para passar pelo proxy. Quando não queremos que ninguém acesse o msn, simplesmente mudamos a senha desse usuário que nós criamos. E é batata mesmo. Neguinho fica uma arara com a gente. Mas temos o controle do msn , numa boa. Mas as dicas que escreveram funcionam corretamente. O MSN hoje não é mais mistério no Linux não. É molinho bloquear pelo Squid que eu considero um serviço bem flexível no Linux. É uma questão de você tentar, testar, testar, mudar, ter paciência, que você vai chegar lá com certeza. É como eu escrevi no início : veja aonde o usuário se conecta no msn pelo /var/log/squid/access.log e comece a fazer a sua lista de bloqueio. Se bem que o usuário visitante já passou todas as url's onde o msn se conecta. Aí é somente você ir prá galera, comemorarrrrrrrrrrrr ......... Hoje tenho o sentimento que tenho é de que no Linux a gente controla qualquer coisa. É questão de estudar mesmo. Mas o Linux nos permite fazer coisas inimagináveis, que a M$ não tem.
Um grande abraço ......... :good: 8) :D
o ralado disso tudo eh o seguinte, o msn ta dentro do bloco da microsoft, se quiser bloquear o msn (de um jeito hard ou de outro) eh soh bloquear a classe b deles, e liberar os ips que sao do www.microsoft.com e windowsupdate.microsoft.com ou seja, so o q interessa, mas entretanto isso e em caso de nao conseguires bloquear de outra maneira, por bem ou mal eh uma solucao um pouco "hard" e mesmo assim nao bloqueia os webmessengers...
para quem nao sabe esses sao os blocos da microsoft:
Citação:
bruno-benchimols-powerbook-g4-12:~ brunobenchimol$ whois 207.68.183.32
OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US
NetRange: 207.68.128.0 - 207.68.207.255
CIDR: 207.68.128.0/18, 207.68.192.0/20
NetName: MICROSOFT-CORP-MSN-BLK
NetHandle: NET-207-68-128-0-1
Parent: NET-207-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.MSFT.NET
NameServer: NS5.MSFT.NET
NameServer: NS2.MSFT.NET
NameServer: NS3.MSFT.NET
NameServer: NS4.MSFT.NET
Comment:
RegDate: 1996-03-26
Updated: 2005-06-29
RTechHandle: ZM39-ARIN
RTechName: Microsoft
RTechPhone: +1-425-882-8080
RTechEmail: [email protected]
OrgAbuseHandle: HOTMA-ARIN
OrgAbuseName: Hotmail Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]
OrgAbuseHandle: MSNAB-ARIN
OrgAbuseName: MSN ABUSE
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]
OrgAbuseHandle: ABUSE231-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]
OrgNOCHandle: ZM23-ARIN
OrgNOCName: Microsoft Corporation
OrgNOCPhone: +1-425-882-8080
OrgNOCEmail: [email protected]
OrgTechHandle: MSFTP-ARIN
OrgTechName: MSFT-POC
OrgTechPhone: +1-425-882-8080
OrgTechEmail: [email protected]
# ARIN WHOIS database, last updated 2005-11-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
bruno-benchimols-powerbook-g4-12:~ brunobenchimol$
basicamente:
CIDR: 207.68.128.0/18, 207.68.192.0/20
Mistymst, boa tarde meu caro.
Não sei, talvez eu esteja dando palpites malucos. Mas podemos notar que determinados tópicos são corriqueiros, repetitivos e sempre vem a tona. Tipo bloquear msn, squid não bloqueia, regra de iptables para isso, aquilo e aquilo outro. Mas podes notar que são temas bem comuns. Será que não teria como no home do Underlinux ficar algo fixo, que chamasse a atenção dos usuários e membros para irem direto nesses tópicos ??? Não sei se estou falando besteiras. Se eu estiver, perdoe-me por favor. Mas temos volta e meia usuários perguntando coisas bem repetitivas. Eles não tem culpa. São usuários querendo saber, aprender e principalmente solucionar. Nós brasileiros, por características nossas, somos do tipo deixar tudo para última hora. Tipo : fazer inscrição no último dia de algum concurso e enfrentar fila, entregar uma declaração no último dia e enfrentar fila, tomar o remédio e depois ler a bula. Coisas de Brasil e brasileiros. Creio que o Underlinux que é formado por excelentes moderadores e principalmente pessoas de muito gabarito e conhecimentos em Linux, poderiam de repente analisar essa questão. O Underlinux hoje é talvez o site mais visitado no Brasil sobre Linux. E usuário é usuário. Eu trabalho com isso todos os dias. As vezes é chato responder as mesmas questões. Mas elas vão sempre existir. E temos que ter paciência e perseverança para responder. As vezes vemos alguns membros com respostas um tanto ríspidas. Faz parte. O usuário quer conhecer. Quer também dominar um sistema operacional que é fabuloso, mas muito complexo nos detalhes. Não estamos falando de windows, que é um treco que você vai instalar e vai no next, next, next, next, e finish. Nós sabemos disso. Acho que o Underlinux, através dos nossos moderadores e principalmente os colaboradores mais ativos pensem nessa questão.
Espero não estar polemizando nada. O Underlinux hoje é ponto de referência sobre o Linux. E isso torna o site muito visitado e com pessoas as vezes desesperadas por soluções. Eu mesmo já passei por isso várias vezes. Claro que estudar, testar, retestar e chegar lá é uma vitória.
Um grande abraço caro amigo. Fique com Deus ...... :good:
Concordo de Fixar esses tipos de duvida.
Por exemplo quando era a merda do msn 6.0 era muito facil de bloquer mas agora com o 7x esta muito dificil de bloquear
Por exemplo o meu firewall
ta assim
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
######################### Bloquear MSN Messenger
/sbin/iptables -A FORWARD -p TCP --dport 1863 -j DROP
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.31.0/24 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.31.0/24 -d loginnet.passport.com -j REJECT
CHATPORT="1863,5190"
/sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.31.0/0 -d 207.46.110.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.31.0/0 -d 207.46.104.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.31.0/0 -d 64.4.13.0/24 -j DROP
/sbin/iptables -A FORWARD -d messenger.hotmail.com -j REJECT
/sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 63.208.13.126 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.200 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.201 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.131.249 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.194.118 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.211.61 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.104.20 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.110.2 -j DROP
e por ultimo
######################### Regra de NAT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE
######################### Regras de entrada
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
#sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
#sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.31.0/24 -j ACCEPT
############ Regras de passagem
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.31.0/24 -j ACCEPT
e não funca .. ja tentei de varios modos e nada .. he he da raiva ... :(6) :(6)
Agora nesse mesmo post tem falado sobre usar o squid.
Se fizermos isso o IPTABLES não fará seu papel e ou função de segurança
O layer 7 nao ajuda nisso?
uma distro estou usando o red hat 7.3 e na outra 9.0
galera não é dificil não bloquear o msn ..
basta uma simples combinação de iptables + squid e tudo resolvido...
no firewall usa-se desta maneira.
$IPTABLES -A FORWARD -s 192.168.100.0/24 -p tcp --dport 1863 -j DROP
e no squid..
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
acl bloq_msn_ext req_mime_type ^application/x-msnmsgrp2p$
depois basta negar antes de liberar qualquer coisa
http_access deny msnmessenger
http_access deny MSN
http_access deny bloq_msn_ext
com isso duvido que alguem acesse o msn...
mas tem um porem galera o msn ele bloqueia, agora o maldito do windows messenger não então tomen cuidado derrepente seja o windows messenger que esta conectando e não o msn....
abraço pessoal espero ter ajudado..
Citação:
Postado originalmente por perdiga
OK... mas e aee e no msn eu vou ter que colocar tambem que é pra ele usar o proxy e não o acesso normal.. isso ?
Se for assim não adianta ... eu tentei instalar no Red Hat 7.3 0 layer mas não da ... estou fazendo varias tentativas sem usar o proxy
não não, não precisa fazer nada no msn, simplesmente para quem estiver bloqueado ele num vai funcionar não....
sim mas ah outra duvida então terei que redirecionar a porta do squid no iptables ..
ou nada disso ...
pois o que vejo em minha mente é que pra funcar coisas do squid sem mexer nas aplicações nos usuarios teremos que redirecionar a porta .. no iptables .. mas aee outras aplicações que não suporta isso.
em duas maquinas
voce não disse que usa proxy transparente... então a porta 80 ja esta sendo redirecionada para a porta do squid correto...
faz o teste ai amigo e depois posta ai para ver se funcionou..
Desculpa amigo eu não estou usando o proxy trans.. tanto que postei uma parte do meu firewall como esta .. sacou ..
e desse mesmo jeito funca num fedora core 4 mas na maquina em produção que é esse sevidor que estou fazendo a aplicação não esta funcando.
sacou
realmente isso funcionou, porém o site do hotmail e da microsoft pararam de funcionar, então na minha situação eu tenho que barrar apenas o msn os sites do passport para autenticação do hotmail e o site da microsoft precisam funcionar. Ja estudei um pouco e percebi que se um desses sites ou algum ip que esses sites usam para serem acessados também podem ser usados pelo msn para se autenticaram e para se conectarem. e agora como faço pra liberar o site da microsoft e o do hotmail proibindo o msn de se conectar? :toim:
Postei isso em outro topico, mas vou por aqui também:
Resultado: bloqueio do MSN Messenger e do site MSN para a rede toda, sem bloquear o acesso ao site do hotmail e ao da microsoft, e liberando o MSN Messenger para os IPs da"diretoria".
1) a rede toda passa pelo squid (proxy transparente)
2) tenho um arquivo chamado de "diretoria", onde estao os IPs dos micros que podem acessar todos os sites e o MSN atraves de uma acl no squid
# neste arquivo estao os IPs que podem acessar o MSN, um por linha
acl diretoria src "/etc/squid/diretoria"
# neste vc poe a rede, ex: 192.168.0.0
acl outros src "/etc/squid/outros"
#palavras não permitidas, onde tenho varios endereços de webMSN e a palavra messenger
acl negados_outros url_regex -i "/etc/squid/negados_outros"
Dai depois vc vai ter as regras bloqueando ao grupo "outros" os sites de "negados_outros" e liberando tudo ao grupo "diretoria"
lembrando que as partes de ACL é para os sites, precisa ter para que os espertinhos não consigam usar os webMessengers. Mas o que faz a mágica mesmo é o firewall:
### bloqueando MSN MESSENGER e ICQ efetivamente mas liberando para diretoria #####
#---------------------------------------------------------------------------------
for a in `cat /etc/squid/diretoria`; do
$IPT -A FORWARD -p tcp -s $a -d 65.54.239.0/24 -j ACCEPT
$IPT -A FORWARD -p tcp -s $a -d login.icq.com -j ACCEPT
done
$IPT -A FORWARD -p tcp -d login.icq.com -j DROP
$IPT -A FORWARD -p tcp -d 65.54.239.0/24 -j DROP
Saliento que de tempos em tempos é bom vc testar conectar no MSN de uma maquina que esteja fora da "diretoria", pois vai que o MSN muda o range de IP deles. Se conectar é so abrir o command e digitar "netstat -a" para ver qual o IP... mas uso esse bloqueio na rede 65.54.239.0 a tempos e nunca tive problema...
Espero que ajude.
[/b]
Putz, nem lembro quem está querendo bloquear essa merda de msn.
Mas eu já enfrentei esse tipo de problema e depois de muito quebrar a cabeça, achei a solução e ela é bem simples.
No meu caso tenho as políticas INPUT e FORWARD com DROP.
Eu faço MASQUERADE apenas paras algumas portas, as principais, senão você escancara tudo.
As porta que eu faço MASQUERADE são as seguintes:
20,21,22,25,53,110,443,2083,2631,3456
Repare que nem a porta 80, nem a 1863 que o msn usa para conectar estão sendo "MASCARADAS". Então no firewall você já matou o msn. Deste jeito ele não conecta, você pode fazer o teste parando o squid e tentando fazer a conexão. Te garanto que não vai conectar.
Agora o proxima passo é o squid, quado o squid está rodando, o msn se conecta por ele. Se você monitorar o access.log do squid você vai ver que as máquinas estão se conectando.
Caro, basta você criar uma ACL negando a palavar "gateway.dll".
acl acesso_proibido url_regex -i src "/etc/squid/regras/acesso_proibido"
Então dentro do arquivo acesso_proibido você coloca a palavra "gateway.dll". Agora basta negar a ACL que você acabou de criar.
http_access deny acesso_proibido
Amigo, se você fizer esses passos, corto o meu saco se não funcionar.
kkkkkkkkkkkk
Então verifique as regras do teu firewall e crie essa ACL no squid que vai resolver o teu problema.
Abraços e qualquer coisa posta aí...
Amigo sera que teria como colocar o conjunto de regrasCitação:
Postado originalmente por cristianff
do iptables que vc usou,
Gostaria de testar para ver se funciona aqui .
valew cara. :good:
Amigo sera que teria como colocar o conjunto de regrasCitação:
Postado originalmente por cristianff
do iptables que vc usou,
Gostaria de testar para ver se funciona aqui .
valew cara. :good:
Caros,
Definitivamente basta usar a seguinte regra no iptables:
$IPT -A FORWARD -d loginnet.passport.com -j DROP
$IPT -A FORWARD -p tcp --dport 1863 -j DROP
No caso do MSN, use acls dstdomain
acl msn dstdomain loginnet.passport.com
http_access deny msn
Sem Mais,
Comigo num virou naum!Citação:
Postado originalmente por wrochal
but, thanks by atencion!
:good:
Lincoln
Vou posta o meu script, não inteiro, mas o que interessa pra você:
#!/bin/sh
#Carrega módulos de connection tracking
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
#Define políticas de acesso padrão
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
#Limpa regras e cadeias de usuário prévias
/sbin/iptables -X
/sbin/iptables -F
/sbin/iptables -t nat -F
#Habilita repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
#Define variáveis
##Interface externa
EXT_IF=eth0
##Interface Interna
INT_IF=eth1
#Rede interna
INT_NET=XXX.XXX.XXX.XXX
##IP externo
EXT_HOST=XXX.XXX.XXX.XXX
### Habilita comunicação interna entre processos locais
/sbin/iptables -A INPUT -i lo -j ACCEPT
### Habilita acesso pela rede interna a esse host
/sbin/iptables -A INPUT -i $INT_IF -j ACCEPT
/sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT
### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), RECEITANET(3456,) CONECTIVIDADE SOCI
AL (2631)
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,2083,2631,3456 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE
Como você pode ver, meu firewall é simples, ele libera acesso apenas para algumas portas e serviços, como você pode notar, a porte 1863 não é mascarada, então o msn não se conecta diretamente, assim como a porta 80 também não.
A navegação é feita através do proxy, sendo que lá no proxy você vai ter que fazer uma acl com url_regex da expressão gateway.dll
acl expressions_deny url_regex -i src "/etc/squid/regras/expressions_deny"
Onde dentro do arquivo expressions_deny eu tenho a expressão gateway.dll, lembrando que você tem que negar a acl acima.
http_access deny expressions_deny
É isso aí, não desista que você consegue.
Qualquer coisa posta aí, mas essa é uma solução simples para o bloqueio do msn, deixando o hotmail funcionando.
Abraços[size=9px][/size]
ainda prefiro faze issu:
https://under-linux.org/modules.php?...ticle&sid=4799
:D
Valew cara vo testa ja,Citação:
Postado originalmente por cristianff
ja ja eu posto!
Cara, sou bolsista da faculdade. Como só tenho iptables no servidor (não tenho squid), então fiz o brute force. Pelo menos funcionou, tente isso.
Bloqueie as seguintes faixas de IP:
207.49.1.21 - 207.49.1.199
207.49.2.21 - 207.49.2.199
207.49.3.21 - 207.49.3.199
207.49.4.21 - 207.49.4.199
207.49.5.21 - 207.49.5.199
207.49.6.21 - 207.49.6.199
207.49.7.21 - 207.49.7.199
207.46.1.1 - 207.46.1.199
207.46.2.1 - 207.46.2.199
207.46.3.1 - 207.46.3.199
207.46.4.1 - 207.46.4.199
207.46.5.1 - 207.46.5.199
207.46.6.1 - 207.46.6.199
207.46.7.1 - 207.46.7.199
Não é possível que não funcione... pelo menos lá ninguém mais tá usando! Depois recomendo que você bloqueie portas como: 8080, 1080, 3128, 50050 pra evitar que usem proxy no MSN pra conectar.
tomara que na sua rede nao tenha ninguem que use HOTMAIL...porque ai o berreiro vai pegar!!!!!
Foi o meu problema aqui.
E a minha solução foi baixar a versão nova do IPTABLES que tem filtro por palavra.
iptables -A FORWARD -m string --string "msn." -j DROP
se quiser usar uma solução pré-historica mais que funciona..bloqueia toda a rede 207.46.0.0
Caros amigos,
consegui bloquear o danado...
so que num sei da onde exatamente que eu tive exito...
tipo atirei pra tudo quanto e' lado, agora to tentando descobri
quem que deu o tiro de misericordia hehe!
ja posto
:P
De fato sim!
iptables combinado ao L7-filter para os msn's instalados em maquinas clientes da sua rede.
e um bom software de filtro de conteúdo para os webmessengers (acredite exiistem muitos desses por ai), para esse posto eu chamaria o dansguardian (exelente software) e o squid-cache como proxy (somente cache e proxy sem filtros por acls).
iptables: http://www.netfilter.org (docs / downloads / howto's)
L7-filter: http://l7-filter.sf.net (docs / downloads / howto's)
squid-cache: http://www.squid-cache.org (docs/ downloads / howto's)
Dansguardian: http://dansguardian.org (docs / downloads / howto's)
e se preferir complete a sua leitura com alguns documentos espalhados pela internet onde encontrará artigos e howtos de como fazer esses 4 elementos trabalharem juntos!
Espero ter ajudado a todos com a resposta.