O layer 7 nao ajuda nisso?
O layer 7 nao ajuda nisso?
uma distro estou usando o red hat 7.3 e na outra 9.0
galera não é dificil não bloquear o msn ..
basta uma simples combinação de iptables + squid e tudo resolvido...
no firewall usa-se desta maneira.
$IPTABLES -A FORWARD -s 192.168.100.0/24 -p tcp --dport 1863 -j DROP
e no squid..
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
acl bloq_msn_ext req_mime_type ^application/x-msnmsgrp2p$
depois basta negar antes de liberar qualquer coisa
http_access deny msnmessenger
http_access deny MSN
http_access deny bloq_msn_ext
com isso duvido que alguem acesse o msn...
mas tem um porem galera o msn ele bloqueia, agora o maldito do windows messenger não então tomen cuidado derrepente seja o windows messenger que esta conectando e não o msn....
abraço pessoal espero ter ajudado..
Postado originalmente por perdiga
OK... mas e aee e no msn eu vou ter que colocar tambem que é pra ele usar o proxy e não o acesso normal.. isso ?
Se for assim não adianta ... eu tentei instalar no Red Hat 7.3 0 layer mas não da ... estou fazendo varias tentativas sem usar o proxy
não não, não precisa fazer nada no msn, simplesmente para quem estiver bloqueado ele num vai funcionar não....
sim mas ah outra duvida então terei que redirecionar a porta do squid no iptables ..
ou nada disso ...
pois o que vejo em minha mente é que pra funcar coisas do squid sem mexer nas aplicações nos usuarios teremos que redirecionar a porta .. no iptables .. mas aee outras aplicações que não suporta isso.
em duas maquinas
voce não disse que usa proxy transparente... então a porta 80 ja esta sendo redirecionada para a porta do squid correto...
faz o teste ai amigo e depois posta ai para ver se funcionou..
Desculpa amigo eu não estou usando o proxy trans.. tanto que postei uma parte do meu firewall como esta .. sacou ..
e desse mesmo jeito funca num fedora core 4 mas na maquina em produção que é esse sevidor que estou fazendo a aplicação não esta funcando.
sacou
realmente isso funcionou, porém o site do hotmail e da microsoft pararam de funcionar, então na minha situação eu tenho que barrar apenas o msn os sites do passport para autenticação do hotmail e o site da microsoft precisam funcionar. Ja estudei um pouco e percebi que se um desses sites ou algum ip que esses sites usam para serem acessados também podem ser usados pelo msn para se autenticaram e para se conectarem. e agora como faço pra liberar o site da microsoft e o do hotmail proibindo o msn de se conectar? :toim:
Postei isso em outro topico, mas vou por aqui também:
Resultado: bloqueio do MSN Messenger e do site MSN para a rede toda, sem bloquear o acesso ao site do hotmail e ao da microsoft, e liberando o MSN Messenger para os IPs da"diretoria".
1) a rede toda passa pelo squid (proxy transparente)
2) tenho um arquivo chamado de "diretoria", onde estao os IPs dos micros que podem acessar todos os sites e o MSN atraves de uma acl no squid
# neste arquivo estao os IPs que podem acessar o MSN, um por linha
acl diretoria src "/etc/squid/diretoria"
# neste vc poe a rede, ex: 192.168.0.0
acl outros src "/etc/squid/outros"
#palavras não permitidas, onde tenho varios endereços de webMSN e a palavra messenger
acl negados_outros url_regex -i "/etc/squid/negados_outros"
Dai depois vc vai ter as regras bloqueando ao grupo "outros" os sites de "negados_outros" e liberando tudo ao grupo "diretoria"
lembrando que as partes de ACL é para os sites, precisa ter para que os espertinhos não consigam usar os webMessengers. Mas o que faz a mágica mesmo é o firewall:
### bloqueando MSN MESSENGER e ICQ efetivamente mas liberando para diretoria #####
#---------------------------------------------------------------------------------
for a in `cat /etc/squid/diretoria`; do
$IPT -A FORWARD -p tcp -s $a -d 65.54.239.0/24 -j ACCEPT
$IPT -A FORWARD -p tcp -s $a -d login.icq.com -j ACCEPT
done
$IPT -A FORWARD -p tcp -d login.icq.com -j DROP
$IPT -A FORWARD -p tcp -d 65.54.239.0/24 -j DROP
Saliento que de tempos em tempos é bom vc testar conectar no MSN de uma maquina que esteja fora da "diretoria", pois vai que o MSN muda o range de IP deles. Se conectar é so abrir o command e digitar "netstat -a" para ver qual o IP... mas uso esse bloqueio na rede 65.54.239.0 a tempos e nunca tive problema...
Espero que ajude.
[/b]
Putz, nem lembro quem está querendo bloquear essa merda de msn.
Mas eu já enfrentei esse tipo de problema e depois de muito quebrar a cabeça, achei a solução e ela é bem simples.
No meu caso tenho as políticas INPUT e FORWARD com DROP.
Eu faço MASQUERADE apenas paras algumas portas, as principais, senão você escancara tudo.
As porta que eu faço MASQUERADE são as seguintes:
20,21,22,25,53,110,443,2083,2631,3456
Repare que nem a porta 80, nem a 1863 que o msn usa para conectar estão sendo "MASCARADAS". Então no firewall você já matou o msn. Deste jeito ele não conecta, você pode fazer o teste parando o squid e tentando fazer a conexão. Te garanto que não vai conectar.
Agora o proxima passo é o squid, quado o squid está rodando, o msn se conecta por ele. Se você monitorar o access.log do squid você vai ver que as máquinas estão se conectando.
Caro, basta você criar uma ACL negando a palavar "gateway.dll".
acl acesso_proibido url_regex -i src "/etc/squid/regras/acesso_proibido"
Então dentro do arquivo acesso_proibido você coloca a palavra "gateway.dll". Agora basta negar a ACL que você acabou de criar.
http_access deny acesso_proibido
Amigo, se você fizer esses passos, corto o meu saco se não funcionar.
kkkkkkkkkkkk
Então verifique as regras do teu firewall e crie essa ACL no squid que vai resolver o teu problema.
Abraços e qualquer coisa posta aí...
Amigo sera que teria como colocar o conjunto de regrasPostado originalmente por cristianff
do iptables que vc usou,
Gostaria de testar para ver se funciona aqui .
valew cara. :good:
Amigo sera que teria como colocar o conjunto de regrasPostado originalmente por cristianff
do iptables que vc usou,
Gostaria de testar para ver se funciona aqui .
valew cara. :good:
Caros,
Definitivamente basta usar a seguinte regra no iptables:
$IPT -A FORWARD -d loginnet.passport.com -j DROP
$IPT -A FORWARD -p tcp --dport 1863 -j DROP
No caso do MSN, use acls dstdomain
acl msn dstdomain loginnet.passport.com
http_access deny msn
Sem Mais,
Comigo num virou naum!Postado originalmente por wrochal
but, thanks by atencion!
:good:
Lincoln
Vou posta o meu script, não inteiro, mas o que interessa pra você:
#!/bin/sh
#Carrega módulos de connection tracking
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
#Define políticas de acesso padrão
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
#Limpa regras e cadeias de usuário prévias
/sbin/iptables -X
/sbin/iptables -F
/sbin/iptables -t nat -F
#Habilita repasse de pacotes
echo 1 > /proc/sys/net/ipv4/ip_forward
#Define variáveis
##Interface externa
EXT_IF=eth0
##Interface Interna
INT_IF=eth1
#Rede interna
INT_NET=XXX.XXX.XXX.XXX
##IP externo
EXT_HOST=XXX.XXX.XXX.XXX
### Habilita comunicação interna entre processos locais
/sbin/iptables -A INPUT -i lo -j ACCEPT
### Habilita acesso pela rede interna a esse host
/sbin/iptables -A INPUT -i $INT_IF -j ACCEPT
/sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT
### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), RECEITANET(3456,) CONECTIVIDADE SOCI
AL (2631)
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,2083,2631,3456 -j MASQUERADE
/sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE
Como você pode ver, meu firewall é simples, ele libera acesso apenas para algumas portas e serviços, como você pode notar, a porte 1863 não é mascarada, então o msn não se conecta diretamente, assim como a porta 80 também não.
A navegação é feita através do proxy, sendo que lá no proxy você vai ter que fazer uma acl com url_regex da expressão gateway.dll
acl expressions_deny url_regex -i src "/etc/squid/regras/expressions_deny"
Onde dentro do arquivo expressions_deny eu tenho a expressão gateway.dll, lembrando que você tem que negar a acl acima.
http_access deny expressions_deny
É isso aí, não desista que você consegue.
Qualquer coisa posta aí, mas essa é uma solução simples para o bloqueio do msn, deixando o hotmail funcionando.
Abraços[size=9px][/size]
ainda prefiro faze issu:
https://under-linux.org/modules.php?...ticle&sid=4799
Valew cara vo testa ja,Postado originalmente por cristianff
ja ja eu posto!
Cara, sou bolsista da faculdade. Como só tenho iptables no servidor (não tenho squid), então fiz o brute force. Pelo menos funcionou, tente isso.
Bloqueie as seguintes faixas de IP:
207.49.1.21 - 207.49.1.199
207.49.2.21 - 207.49.2.199
207.49.3.21 - 207.49.3.199
207.49.4.21 - 207.49.4.199
207.49.5.21 - 207.49.5.199
207.49.6.21 - 207.49.6.199
207.49.7.21 - 207.49.7.199
207.46.1.1 - 207.46.1.199
207.46.2.1 - 207.46.2.199
207.46.3.1 - 207.46.3.199
207.46.4.1 - 207.46.4.199
207.46.5.1 - 207.46.5.199
207.46.6.1 - 207.46.6.199
207.46.7.1 - 207.46.7.199
Não é possível que não funcione... pelo menos lá ninguém mais tá usando! Depois recomendo que você bloqueie portas como: 8080, 1080, 3128, 50050 pra evitar que usem proxy no MSN pra conectar.
tomara que na sua rede nao tenha ninguem que use HOTMAIL...porque ai o berreiro vai pegar!!!!!
Foi o meu problema aqui.
E a minha solução foi baixar a versão nova do IPTABLES que tem filtro por palavra.
iptables -A FORWARD -m string --string "msn." -j DROP
se quiser usar uma solução pré-historica mais que funciona..bloqueia toda a rede 207.46.0.0