Página 8 de 9 PrimeiroPrimeiro ... 3456789 ÚltimoÚltimo
+ Responder ao Tópico



  1. Lincoln

    Vou posta o meu script, não inteiro, mas o que interessa pra você:

    #!/bin/sh
    #Carrega módulos de connection tracking
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack_irc
    /sbin/modprobe ip_nat_ftp

    #Define políticas de acesso padrão
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT ACCEPT

    #Limpa regras e cadeias de usuário prévias
    /sbin/iptables -X
    /sbin/iptables -F
    /sbin/iptables -t nat -F

    #Habilita repasse de pacotes
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Define variáveis
    ##Interface externa
    EXT_IF=eth0
    ##Interface Interna
    INT_IF=eth1
    #Rede interna
    INT_NET=XXX.XXX.XXX.XXX
    ##IP externo
    EXT_HOST=XXX.XXX.XXX.XXX

    ### Habilita comunicação interna entre processos locais
    /sbin/iptables -A INPUT -i lo -j ACCEPT

    ### Habilita acesso pela rede interna a esse host
    /sbin/iptables -A INPUT -i $INT_IF -j ACCEPT
    /sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT

    ### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


    ### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), RECEITANET(3456,) CONECTIVIDADE SOCI
    AL (2631)
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,2083,2631,3456 -j MASQUERADE
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE

    Como você pode ver, meu firewall é simples, ele libera acesso apenas para algumas portas e serviços, como você pode notar, a porte 1863 não é mascarada, então o msn não se conecta diretamente, assim como a porta 80 também não.

    A navegação é feita através do proxy, sendo que lá no proxy você vai ter que fazer uma acl com url_regex da expressão gateway.dll

    acl expressions_deny url_regex -i src "/etc/squid/regras/expressions_deny"

    Onde dentro do arquivo expressions_deny eu tenho a expressão gateway.dll, lembrando que você tem que negar a acl acima.

    http_access deny expressions_deny

    É isso aí, não desista que você consegue.
    Qualquer coisa posta aí, mas essa é uma solução simples para o bloqueio do msn, deixando o hotmail funcionando.

    Abraços[size=9px][/size]




  2. #38
    Lincoln
    Citação Postado originalmente por cristianff
    Lincoln

    Vou posta o meu script, não inteiro, mas o que interessa pra você:

    #!/bin/sh
    #Carrega módulos de connection tracking
    /sbin/modprobe ip_conntrack
    /sbin/modprobe ip_conntrack_ftp
    /sbin/modprobe ip_conntrack_irc
    /sbin/modprobe ip_nat_ftp

    #Define políticas de acesso padrão
    /sbin/iptables -P INPUT DROP
    /sbin/iptables -P FORWARD DROP
    /sbin/iptables -P OUTPUT ACCEPT

    #Limpa regras e cadeias de usuário prévias
    /sbin/iptables -X
    /sbin/iptables -F
    /sbin/iptables -t nat -F

    #Habilita repasse de pacotes
    echo 1 > /proc/sys/net/ipv4/ip_forward

    #Define variáveis
    ##Interface externa
    EXT_IF=eth0
    ##Interface Interna
    INT_IF=eth1
    #Rede interna
    INT_NET=XXX.XXX.XXX.XXX
    ##IP externo
    EXT_HOST=XXX.XXX.XXX.XXX

    ### Habilita comunicação interna entre processos locais
    /sbin/iptables -A INPUT -i lo -j ACCEPT

    ### Habilita acesso pela rede interna a esse host
    /sbin/iptables -A INPUT -i $INT_IF -j ACCEPT
    /sbin/iptables -A FORWARD -i $INT_IF -j ACCEPT

    ### Habilita todas a conexões previamente aceitas (estados Estabelicida e Relacionada)
    /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT


    ### Liberar acesso externo às portas de Mail(25), Pop-3(110), Dns(53(tcp e udp)), Https(443), RECEITANET(3456,) CONECTIVIDADE SOCI
    AL (2631)
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p tcp --dports 20,21,22,25,53,110,443,2083,2631,3456 -j MASQUERADE
    /sbin/iptables -t nat -A POSTROUTING -o $EXT_IF -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE

    Como você pode ver, meu firewall é simples, ele libera acesso apenas para algumas portas e serviços, como você pode notar, a porte 1863 não é mascarada, então o msn não se conecta diretamente, assim como a porta 80 também não.

    A navegação é feita através do proxy, sendo que lá no proxy você vai ter que fazer uma acl com url_regex da expressão gateway.dll

    acl expressions_deny url_regex -i src "/etc/squid/regras/expressions_deny"

    Onde dentro do arquivo expressions_deny eu tenho a expressão gateway.dll, lembrando que você tem que negar a acl acima.

    http_access deny expressions_deny

    É isso aí, não desista que você consegue.
    Qualquer coisa posta aí, mas essa é uma solução simples para o bloqueio do msn, deixando o hotmail funcionando.

    Abraços[size=9px][/size]
    Valew cara vo testa ja,
    ja ja eu posto!

  3. #39
    Luizim
    Cara, sou bolsista da faculdade. Como só tenho iptables no servidor (não tenho squid), então fiz o brute force. Pelo menos funcionou, tente isso.

    Bloqueie as seguintes faixas de IP:

    207.49.1.21 - 207.49.1.199
    207.49.2.21 - 207.49.2.199
    207.49.3.21 - 207.49.3.199
    207.49.4.21 - 207.49.4.199
    207.49.5.21 - 207.49.5.199
    207.49.6.21 - 207.49.6.199
    207.49.7.21 - 207.49.7.199

    207.46.1.1 - 207.46.1.199
    207.46.2.1 - 207.46.2.199
    207.46.3.1 - 207.46.3.199
    207.46.4.1 - 207.46.4.199
    207.46.5.1 - 207.46.5.199
    207.46.6.1 - 207.46.6.199
    207.46.7.1 - 207.46.7.199

    Não é possível que não funcione... pelo menos lá ninguém mais tá usando! Depois recomendo que você bloqueie portas como: 8080, 1080, 3128, 50050 pra evitar que usem proxy no MSN pra conectar.



  4. #40
    vilao
    tomara que na sua rede nao tenha ninguem que use HOTMAIL...porque ai o berreiro vai pegar!!!!!

    Foi o meu problema aqui.

    E a minha solução foi baixar a versão nova do IPTABLES que tem filtro por palavra.

    iptables -A FORWARD -m string --string "msn." -j DROP

    se quiser usar uma solução pré-historica mais que funciona..bloqueia toda a rede 207.46.0.0






Tópicos Similares

  1. Respostas: 7
    Último Post: 20-01-2012, 22:41
  2. Bloquear LIve Messenger 2009 - Alguem conseguiu?
    Por luizrfabri no fórum Servidores de Rede
    Respostas: 14
    Último Post: 20-11-2009, 15:24
  3. Como bloquear o MSN MESSENGER?
    Por no fórum Servidores de Rede
    Respostas: 3
    Último Post: 25-08-2003, 09:26
  4. alguem manja de CBQ nesse forum???
    Por no fórum Servidores de Rede
    Respostas: 4
    Último Post: 26-06-2003, 09:24
  5. Como faço para bloquear o MSN via ipchains?
    Por DigoSampa no fórum Servidores de Rede
    Respostas: 4
    Último Post: 15-01-2003, 10:20

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L