Alguma regra "EFETIVA" para bloquear MSN e ORKUT

Galera, vcs podem pensar que é mais um tópico igual, mas não é.....

Estou quase de cabelos brancos, e não consigo fazer mais nada...

Eu pesiquei (E como..) um método de bloquear os malditos MSN's, mas sem sucesso, abaixo estarei colando a regra: (OBS: elas estão no rc.local)

$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 64.4.13.0/24 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d gtwy.messenger.hotmail.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d gateway.messenger.hotmail.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d login.passport.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d svcs.microsoft.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 72.21.56.243/24 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d iloveim.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d e-messenger.net - REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d msn2go.com.br -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d mob.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d vegas.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d dallas.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d emessenger.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d capetown.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d start.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d wap.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d atlanta.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d newyork.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
$IPTABLES -A FORWARD -s 102.168.0.0/24 -d e-messenger.cl -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d piglet-im.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.phonefox.com -j REJECT

Ela regra, funcionou em partes, pois tem gente que consegue ainda se logarem. Mas o que eu reparei, foi que as pessoas recebem as mensagens e quando elas tentam enviar, não envia.... Queria saber o por que disso, e se teria como anular essa entrada?
E outro problema, os ""WebMessengers" ainda estão funcionando...... Não sei como, mas depois de ter bloqueado UM MONTE, sem efeito...

E o problema do Orkut também, uso aquelas 4 linhas de regra:

$iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j REJECT
$iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j REJECT
$iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j REJECT
$iptables -A INPUT -d orkut.com -p tcp --dport 443 -j REJECT

E não bloqueou nada!!!!


Se alguem souber a solução, agradeço...

o orkut funciona no http e https. Bloqueie também a porta 80, e se possível bloqueie pelos ips (os tres do orkut) que reduz a carga no servidor, pq não tem que resolver nomes para fazer tudo.

DICA: se quiser eu tenho feita uma lista com os ip's de uns 1500 (pelo menos) proxies destes que as pessoas configuram no navegador. se precisar posto aqui (inclui também ip's de coisas desagradáveis como o orkut e msn) junto com os scripts (versão em php e bash)

Cara, sou iniciante em linux também, mas pesquisando na net e aplicando na prática aqui nos meus clientes, uma maneira que encontrei de bloquear o MSN e Web Messenger foi usando a tabela MANGLE, conforme regras abaixo:

IPT="iptables"

# Libera MSN Messenger para o host 192.168.0.124
$IPT -t mangle -A PREROUTING -s 192.168.0.124 -p tcp --dport 1863 -j ACCEPT
while read msnmessenger ; do
$IPT -t mangle -A PREROUTING -s 192.168.0.124 -d $msnmessenger -j ACCEPT
done < /etc/squid/ip-addresses-msnmessenger

# Libera MSN Messenger para o host 192.168.0.100
$IPT -t mangle -A PREROUTING -s 192.168.0.100 -p tcp --dport 1863 -j ACCEPT
while read msnmessenger ; do
$IPT -t mangle -A PREROUTING -s 192.168.0.100 -d $msnmessenger -j ACCEPT
done < /etc/squid/ip-addresses-msnmessenger


# Bloqueia MSN Messenger para os demais HOSTS
$IPT -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
while read msnmessenger ; do
$IPT -t mangle -A PREROUTING -d $msnmessenger -j DROP
done < /etc/squid/ip-addresses-msnmessenger

###

Inclua essas regras dentro do script de inicialização ou crie um arquivo, de permição de execução para ele e chame na inicialização, por exemplo no rc.local.

O arquivo "ip-addresses-msnmessenger" que coloquei em /etc/squid/ contem os endereços de autenticação do MSN. Voce pode incluir os IP´s do orkut.com nessa lista, que ele bloqueia também.
Estou usando em vários clientes e o MSN não conecta mesmo... somente nos IP´s que estão liberados na regra acima.


Hosts que inclui no arquivo "ip-addresses-msnmessenger"

63.208.13.126
64.4.12.200
64.4.12.201
65.54.131.249
65.54.194.118
65.54.211.61
207.46.104.20
207.46.110.2
207.46.110.254
207.46.245.222
207.46.245.214
messenger.hotmail.com
messenger.msn.com
messenger.microsoft.com
echo-v1.msgr.hotmail.com
echo-v2.msgr.hotmail.com
login.passport.net
messenger.t1msn.com.mx
65.54.226.246
65.54.226.252
65.54.228.243
65.54.228.254
65.54.229.246
65.54.229.254
65.54.225.244
65.54.225.252
loginnet.passport.com
65.54.225.241
65.54.225.254
65.54.226.247
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
login.passport.com
65.54.231.240
65.54.230.240
207.68.173.245
64.202.167.129
63.241.128.250
207.68.173.245
config.messenger.msn.com

Espero que ajude...

:-D
Luis Fermando

Para evandrofisico:

Não entendi o esquema de bloquear a porta 80 (Sou iniciante nesta parte). E manda para mim os 3 IP's do Orkut que eu não sei!!!!
Outra coisa que eu não entendi são esses 1500 IP's de proxies... Eles são do que??? Mas posta ai, vc diz também que tem IP's para bloquear MSN e ORKUT. Ai está valendo tudo!!!!

Para lferg:

Também sou iniciante, e também não entendo muito de programação, tipo de do, if e while (Entendo quase nada). Não entendi muito bem essa regra. E outra, a Tabela Mangle, eu uso ela como TOS (Tipo de Serviço), para fazer QOS (Qualidade de Serviço), por isso não entendi mesmo a sua regra... se vc puder explicar ela!!!!


Valew....

durban, eu olhei suas regras mas não sei dizer se tem algum furo lá... eu acredito que usando REJECT no caso do MSN não é bom, imagine que o MSN quando tentar a conexão vai receber uma resposta de rejeição e pedido para reiniciar a conexão, já que o REJECT manda um tcp-reset antes de dropar o pacote, oque eu quero observar é que a maioria dos Clients, seja doque for, hoje quando tem algum problema para se conectar a determinada porta, usa outra, ou outro metodo... nesse caso voce esta dizendo para o MSN: "Essa porta ta fechada, tente novamente"
Porque voce ta usando REJECT, se voce usar o DROP o iptables nao vai retornar nada, nisso o MSN vai ficar tentando conectar ate dizer que "Existe um problema com a sua conexao Internet", porque ele simplismente nao vai receber resposta alguma de ninguem, o timeout e longo acho que 180 segundos.
Eu nao sei se substituir o REJECT pelo DROP vai resolver seu problema com o MSN, mas acho que voce deveria tentar, porem pode ser que as novas versoes tentem um metodo de conexao diferente depois de um timeout...

Na minha opniao, voce deveria colocar o Squid, mesmo que voce nao queira fazer cache, apenas para controle e no firewall bloquear a acesso a todos as portas e abrir a porta 80 no FORWARD so para o Squid, ter um DNS local tambem e interessante, assim seus clientes na rede nao vao acessar nada diretamente, eles sempre vao passar por algum servidor local e ai fica seu controle.
Aqui eu tenho um setup parecido, so que eu tenho varias portas que sao abertas diretamente, mas por exemplo o Orkut e facil de bloquear aqui, porque ninguem abre porta 80 direto, sempre passa pelo Squid, mas se o cara usar um proxy aqui vai funcionar por exemplo...
É so uma ideia...