Versão Imprimível
ola pessoal
ja faz umas semanas que estou pesquisando como bloquear apenas alguns contatos do msn nao todos, a unica ferramenta que vi é um negocio chamado octopus porém tem que $$ pagar $$ pra usar .
será que alguem conheçe algo na faixa preu poder usar, ou conhece algum tipo de script preu colocar no meu servidor ?
Só o octupus mesmo ou uns semelhantes estrangeiros (pagos e mais caros).
instala o layer7, sniffa a rede pra ver como é o pacote enviado pelo msn, ai vc filtra os contatos, vai dar um trabalho do cao mas vai funfar e é de graça :P
iptables -t mangle -A FORWARD -m string --string '[email protected]' --algo bm -j DROP
acho que isso resolve...
mas cuidado ao usar o string.. ele utiliza regex.. isso aumenta o consumo de cpu se vc utilizar mtas regras...
HEIM, QUANTO A ESSA IPTABLES, EU PODERIA CRIAR UMA WHITE-LIST CONTENDO OS CONTATOS DA EMPRESA E BLOQUEANDO O RESTO, VC ACHA QUE DARIA CERTO?Citação:
Postado originalmente por Alexandre Correa
funciona sim..
So quero deixar uma observao... se usar o string sem expecificar uma porta(1863 tcp) voce corre o risco de bloquear pacotes HTTP por exemplo, ambos, tanto os pacotes do MSN como HTTP contem conjunto de caracteres legiveis, por isso voce consegue usar string neles, isso e bom, mas o iptables nao vai saber(a menos que vc especifique isso) que o pacote que ele tem que bloquear eh do MSN e nao do HTTP.
Desculpe, sou iniciante ainda... Por favor, vc poderia exemplificar como ficaria uma sintaxe desse tipo que vc colocou...Citação:
Postado originalmente por felco
iptables -t filter -A FORWARD -p tcp --dport 1863 -m string --string '[email protected]' -j DROP
Agora eu nao sei dizer uma coisa, ou melhor gostaria de saber, o MSN tambem faz conexao atravez da porta 80 TCP?
tb faz, mas vc pode bloquear através do proxy
e como ficaria a sintaxe pra bloquear pelo proxy? como vc sugere acima.
No Squid eu sei que da pra usar Regexp, mas nao sei como ficaria a ACL...
tb sei q pode usar, pesquisei um pouco mas nunca achei uma acl de exemplo com isso
Se nao me engano vc tem que bloquear
gateway.messenger.hotmail.com
E ONDE FICA O LUGAR ONDE DETERMINO O CONTATO QUE QUERO BLOQUEAR?
Essa url q eu passei , foi com o intuito de nem se conectar pela porta http , não sei se apos fazer isso vc consegue conectar no msn , soh com a porta 1863 ,
Mediante a regex no squid , vc nao vai conseguir fazer isso , porque o squid não le o conteudo do pacote ,
o que vc pode fazer eh a regrinha de strings valer pra porta 80 tambem , iria pesar um pouco , mais eh a unica solução !
iptables -t filter -A FORWARD -p tcp -m multiport --dport 1863:80 -m string --string '[email protected]' -j DROP
Qq coisa se vc quiser uma solução paga , vc pode ver o MP q um amigo meu usa , eh muito legal http://www.brc.com.br/mp.jsp
Acho que vale a pena testar, bloqueando o MSN no Squid atravez da ACL que foi passada no tópico e depois criar a regra com string para a porta 1863, eu acredito que o MSN va procurar se conectar primeiro na porta 1863 e depois, caso ele não consiga atravez da porta padrão, pela porta 80.
Eu não tenho certeza, mas eu acredito que o Layer7 possa ajudar nisso eu sei que é possivel criar novos filtros pra ele, seria o caso da gente ver se consegue criar um pra fazer isso, vamo da uma olhada acho que vale a pena... vou ver se coloco o Layer7 no meu Gentoo aqui para fazer testes, logo mais eu atualizo o tópico
iptables -t filter -A FORWARD -p tcp --dport 1863 -m string --string '[email protected]' -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 1863 -m string --string '[email protected]' -j ACCEPT
iptables -t filter -A FORWARD -p tcp --dport 1863 -m string --string ' hotmail.com' -j DROP
Nunca fiz isso antes, mas pelo lógica iria funcionar, vc libera primeiro e bloqueia o resto
No squid bloqueia com estas ACLs
acl blockmsn1 req_mime_type -i ^application/x-msn-messenger$
acl blockmsn2 url_regex -i gateway.messenger.hotmail.com
acl blockmsn3 url_regex -i gateway.dll?$
e dá o http_access DENY depois nelas
a primeira funciona sozinha, mas gosto de usar as 3 por causa que o pessoal do MSN gosta de lançar versões novas como novas forma de conexão, pelo menos me sinto mais seguro.