Liberar Messenger

[lrezende]

Oi Pessoal,
Eu mudei a minha policy da FORWARD para DROP e estou querendo liberar o messenger. Alguém tem as regras?

Parece que não é apenas liberar a porta 1863... Tem um outro site que ele tenta acessar... 65.x.x.x/8 eu acho...

Help!

Abraços,
Leonardo Rezende

[Danilo_Montagna]

olha .. eu nao sei como estao suas regras..

mais aqui minha politica tb esta em DROP..

e eu so estou liberando a porta 1863 e funciona..

[Futuremax]

Se vc possui um proxy, manda o messenger procurar pelo http, pois se vc configurar o proxy no navegador ele auto identifica, senão, tenta liberar a 1080 que talvez fucione...

[lrezende]

Oi pessoal,
Se eu libero apenas a minha porta 1863 no FORWARD, ele não vai... Aí aconteceu de na minha máquina ir e em outra máquina não... A diferença que o proxy na minha estava ativado... Estava conectando via proxy...
Bom, eu percebi que ele acessa 207.46.104.20:1863 e depois faz alguma coisa via https no site loginnet.passport.com ... aí é que eu danço... <IMG SRC="images/forum/icons/icon_frown.gif">

Tudo bem, está funcionando via proxy... mas eu queria colocar pra funcionar via iptables...

Alguém tem alguma dica?

Agradeço a danilo e a futuremax pela ajuda...

Abraços,
Leonardo Rezende

[lrezende]

Oi, sou eu novamente...
Eu poderia liberar o acesso da galera para loginnet.passport.com, porém são vários ips que o DNS responde...

Abraços,
Leonardo Rezende

[mistymst]

Olha todos os meus usuarios, rolam o MSN via proxy sem nenhum problema, eu nao vejo problema nisso, mas entretanto como voce quer via iptables... voce tera que liberar todos os IPs ou pelo menos uma porrada ><IMG SRC="images/forum/icons/icon_smile.gif"> eles tem varias classes de IP, pelo menos umas 10 classes C. <IMG SRC="images/forum/icons/icon_smile.gif"> bom ai vai de voce,
EU preferiria deixar via proxy, menos regras no seu iptables, menos trabalho para ele. <IMG SRC="images/forum/icons/icon_smile.gif"> entretanto... se voce quiser do seu jeito, libere tudo, eh o jeito. e ainda assim voce ainda corre o risco de ficar desatulizado caso eles mudem alguma classe de ip, removam alguma ou adicione uma nova.

A decisao eh sua, minha opniao eh essa.

[lrezende]

ok mystmst,
mas mesmo utilizando o proxy eu tenho que liberar a porta 1863 no meu forward né isso? ou não?

eu não consegui deixar funcionando sem liberar a porta no FORWARD!
como eu faria isso? mesmo eu colocando a configuração do meu messenger para ir pelo proxy ele tenta conectar direto a um ip tipo 207.46.104.20 na port 1863 e depois vai pelo proxy pra acessar o login net...

outra pergunta, onde eu poderia encontrar as classes de ip&acute;s que o messenger usa?

agradeço,
Leonardo Rezende

se quiser liberar direto via o iptables.. faz isso aqui..

iptables -A FORWARD -p TCP --dport 1863 -j ACCEPT
iptables -A FORWARD -d 64.4.13.0/24 -j ACCEPT

falow

[lrezende]

oi,
não funfou não!!!! <IMG SRC="images/forum/icons/icon_mad.gif">

na minha máquina firewall e proxy, eu tenho um redirecionamento da porta 80 e 443 para a 3128... de forma que ele tenta acessar através do meu squid... porém, o ip que ele tenta acessar é 65.54.226.254 que é um dos loginnet.passort.com...

eu queria saber também onde encontro as classes que ele utiliza...

valeu a ajuda pessoal,
Leonardo Rezende

[Fernando]

ipchains -A INPUT -p tcp -j ACCEPT -s ip_do_pc -d 0/0 1863
ipchains -A INPUT -p udp -j ACCEPT -s ip_do_pc -d 0/0 1863
ipchains -A INPUT -p tcp -j ACCEPT -s ip_do_pc -d 64.4.13.0/24

[Fernando]

Perdoe a forca do habito,

iptables -A INPUT -p tcp -s ip_do_pc --dport 1863 -j ACCEPT
iptables -A INPUT -p udp -s ip_do_pc --dport 1863 -j ACCEPT
iptables -A INPUT -p tcp -s ip_do_pc -d 64.4.13.0/24 -j ACCEPT

=)

[Danilo_Montagna]

psy,

acredito que usando o IPTABLES essas regars de INPUT nao fariam efeito, pois esses pacotes nao estariam saindo da maquina FIREWALL e sim do cliente atraz ddele..

o correto é usar a chain FORWARD..

[lrezende]

Oi pessoal,
Estou voltando esse assunto pq fiz mais alguns testes e descobri que não o meu firewall que tá bloqueando a "funfada" do Messenger...

Eu desabilitei o squid e tentei conectar ao Messenger, não funfou... Tudo bem, eu pensei, deve ser o meu firewall que tá com a policy FORWARD em DROP...
Daí eu liberei o meu FORWARD para ACCEPT mas mesmo assim não funfou... Eí eu fiquei encudado novamente...
A minha estrutura é mais ou menos assim...

INTERNET --------------- ROUTER ------------- LINUX ---------------- MINHA REDE (192.168.1.0/24)

O linux faz NAT pra galera navegar funfar legal....

Alguém tem alguma dica? Estou começando, mais uma vez, a achar que o estudo tá pouco... <IMG SRC="images/forum/icons/icon27.gif">

Abraços,
Leo

[Danilo_Montagna]

cara.. para usar o MSN quem te faz a conexao é o NAT do seu firewall.. pois o proxy so escuta nas portas 80, 443 e 21

o que vc tem que fazer para achar o furo é usar monitoramento de saida da conexao..

use iptraf, nmap, netstat, tcpdump... etc..

com essas ferramentas ae vc sabe determinar em qual ponto a conexao esta parando...

[PiTsA]

eu entri no site do messenger para descobrir qual portas ele usa para conversação com VOZ,
e achei lá toda a documentação sobre quais portas liberar do meu firewall para funfar.....

já pensou em entrar lá ....??

pois entre......

[lrezende]

Olá amigo,
Eu já monitorei com o tcpdump mas não consegui descobrir onde está emperrando... Eu sei que ele usa a porta 1863...
E eu uso MASCARAMENTO em todos os pacotes que saem... tem uma regra no nat-postrouting...

De qualquer forma vou dar uma olhada no site da "microfofa" pra ver se rola...

Qualquer ajuda será bem vinda... <IMG SRC="images/forum/icons/icon_wink.gif">

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-1>Quote:</font><HR></TD></TR><TR><TD><FONT SIZE=-1><BLOCKQUOTE>
On 2003-03-09 18:23, Danilo_Montagna wrote:
cara.. para usar o MSN quem te faz a conexao é o NAT do seu firewall.. pois o proxy so escuta nas portas 80, 443 e 21

o que vc tem que fazer para achar o furo é usar monitoramento de saida da conexao..

use iptraf, nmap, netstat, tcpdump... etc..

com essas ferramentas ae vc sabe determinar em qual ponto a conexao esta parando...
</BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE>

[Danilo_Montagna]

To support AV in both directions through the firewall, all UDP ports between 5004 and 65535 must be opened to allow signaling (SIP) and media streams (RTP) to traverse the firewall. This is required because dynamic ports are used. AS and WB also use dynamic ports for signaling.

File Transfer can be enabled by opening ports 6891 to 6900 on the firewall. Remote Assistance can be enabled by opening port 3389.

Fonte: Microsoft MSN Help for Network Administrators

[lrezende]

Oi pessoal,
Em primeiro lugar, valeu Danilo pelas informações e ao resto pela participação no assunto... Queria resgistrar aqui um elogia à lista que tem me ajudado um bocado... Valeu pessoal!

Voltando ao assunto...
O problema é mais simples... Talvez por isso mais complicado... <IMG SRC="images/forum/icons/icon_confused.gif">

A situação é a seguinte:
Eu estou fazendo nat!
Minha política da FORWARD está ACCEPT!
Meu squid está parado!
Meu messenger não funfa!
<IMG SRC="images/forum/icons/icon_frown.gif">

Arquitetura:
INTERNET ----- ROUTER -------- LINUX --------- EU <IMG SRC="images/forum/icons/icon_wink.gif">

Então, eu acho que não é um problema de abrir ou não alguma porta no firewall...

[Danilo_Montagna]

humm realmente muito estranho ele nao funcionar...

se vc esta saidno via NAT ok.. e o forward esta em accept.. ja era pra estar funfando ...
tem certeza que o seu linux esta tudo blz?

vc cionsegue usar outros serviços.. fora o MSN.. que precisem sofrer NAT?


[ Esta mensagem foi editada por: Danilo_Montagna em 10-03-2003 15:45 ]

[lrezende]

Oi,
Sim, consigo navegar normal... Meu ICQ funciona normal... SSH pra uma rede de fora... etc...

Tô ficando invodado... <IMG SRC="images/forum/icons/icon_smile.gif">

Valeu...