Página 1 de 4 1234 ÚltimoÚltimo
+ Responder ao Tópico



  1. Galera, vcs podem pensar que é mais um tópico igual, mas não é.....

    Estou quase de cabelos brancos, e não consigo fazer mais nada...

    Eu pesiquei (E como..) um método de bloquear os malditos MSN's, mas sem sucesso, abaixo estarei colando a regra: (OBS: elas estão no rc.local)

    $IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 64.4.13.0/24 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d gtwy.messenger.hotmail.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d gateway.messenger.hotmail.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d login.passport.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d svcs.microsoft.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 72.21.56.243/24 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d iloveim.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d e-messenger.net - REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d msn2go.com.br -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d mob.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d vegas.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d dallas.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d emessenger.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d capetown.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d start.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d wap.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d atlanta.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d newyork.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
    $IPTABLES -A FORWARD -s 102.168.0.0/24 -d e-messenger.cl -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d piglet-im.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.phonefox.com -j REJECT

    Ela regra, funcionou em partes, pois tem gente que consegue ainda se logarem. Mas o que eu reparei, foi que as pessoas recebem as mensagens e quando elas tentam enviar, não envia.... Queria saber o por que disso, e se teria como anular essa entrada?
    E outro problema, os ""WebMessengers" ainda estão funcionando...... Não sei como, mas depois de ter bloqueado UM MONTE, sem efeito...

    E o problema do Orkut também, uso aquelas 4 linhas de regra:

    $iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j REJECT
    $iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j REJECT
    $iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j REJECT
    $iptables -A INPUT -d orkut.com -p tcp --dport 443 -j REJECT

    E não bloqueou nada!!!!


    Se alguem souber a solução, agradeço...

  2. o orkut funciona no http e https. Bloqueie também a porta 80, e se possível bloqueie pelos ips (os tres do orkut) que reduz a carga no servidor, pq não tem que resolver nomes para fazer tudo.

    DICA: se quiser eu tenho feita uma lista com os ip's de uns 1500 (pelo menos) proxies destes que as pessoas configuram no navegador. se precisar posto aqui (inclui também ip's de coisas desagradáveis como o orkut e msn) junto com os scripts (versão em php e bash)



  3. #3
    lferg
    Cara, sou iniciante em linux também, mas pesquisando na net e aplicando na prática aqui nos meus clientes, uma maneira que encontrei de bloquear o MSN e Web Messenger foi usando a tabela MANGLE, conforme regras abaixo:

    IPT="iptables"

    # Libera MSN Messenger para o host 192.168.0.124
    $IPT -t mangle -A PREROUTING -s 192.168.0.124 -p tcp --dport 1863 -j ACCEPT
    while read msnmessenger ; do
    $IPT -t mangle -A PREROUTING -s 192.168.0.124 -d $msnmessenger -j ACCEPT
    done < /etc/squid/ip-addresses-msnmessenger

    # Libera MSN Messenger para o host 192.168.0.100
    $IPT -t mangle -A PREROUTING -s 192.168.0.100 -p tcp --dport 1863 -j ACCEPT
    while read msnmessenger ; do
    $IPT -t mangle -A PREROUTING -s 192.168.0.100 -d $msnmessenger -j ACCEPT
    done < /etc/squid/ip-addresses-msnmessenger


    # Bloqueia MSN Messenger para os demais HOSTS
    $IPT -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
    while read msnmessenger ; do
    $IPT -t mangle -A PREROUTING -d $msnmessenger -j DROP
    done < /etc/squid/ip-addresses-msnmessenger

    ###

    Inclua essas regras dentro do script de inicialização ou crie um arquivo, de permição de execução para ele e chame na inicialização, por exemplo no rc.local.

    O arquivo "ip-addresses-msnmessenger" que coloquei em /etc/squid/ contem os endereços de autenticação do MSN. Voce pode incluir os IP´s do orkut.com nessa lista, que ele bloqueia também.
    Estou usando em vários clientes e o MSN não conecta mesmo... somente nos IP´s que estão liberados na regra acima.


    Hosts que inclui no arquivo "ip-addresses-msnmessenger"

    63.208.13.126
    64.4.12.200
    64.4.12.201
    65.54.131.249
    65.54.194.118
    65.54.211.61
    207.46.104.20
    207.46.110.2
    207.46.110.254
    207.46.245.222
    207.46.245.214
    messenger.hotmail.com
    messenger.msn.com
    messenger.microsoft.com
    echo-v1.msgr.hotmail.com
    echo-v2.msgr.hotmail.com
    login.passport.net
    messenger.t1msn.com.mx
    65.54.226.246
    65.54.226.252
    65.54.228.243
    65.54.228.254
    65.54.229.246
    65.54.229.254
    65.54.225.244
    65.54.225.252
    loginnet.passport.com
    65.54.225.241
    65.54.225.254
    65.54.226.247
    65.54.226.254
    65.54.228.244
    65.54.228.253
    65.54.229.248
    65.54.229.253
    login.passport.com
    65.54.231.240
    65.54.230.240
    207.68.173.245
    64.202.167.129
    63.241.128.250
    207.68.173.245
    config.messenger.msn.com

    Espero que ajude...

    :-D
    Luis Fermando

  4. Para evandrofisico:

    Não entendi o esquema de bloquear a porta 80 (Sou iniciante nesta parte). E manda para mim os 3 IP's do Orkut que eu não sei!!!!
    Outra coisa que eu não entendi são esses 1500 IP's de proxies... Eles são do que??? Mas posta ai, vc diz também que tem IP's para bloquear MSN e ORKUT. Ai está valendo tudo!!!!

    Para lferg:

    Também sou iniciante, e também não entendo muito de programação, tipo de do, if e while (Entendo quase nada). Não entendi muito bem essa regra. E outra, a Tabela Mangle, eu uso ela como TOS (Tipo de Serviço), para fazer QOS (Qualidade de Serviço), por isso não entendi mesmo a sua regra... se vc puder explicar ela!!!!


    Valew....



  5. #5
    felco
    durban, eu olhei suas regras mas não sei dizer se tem algum furo lá... eu acredito que usando REJECT no caso do MSN não é bom, imagine que o MSN quando tentar a conexão vai receber uma resposta de rejeição e pedido para reiniciar a conexão, já que o REJECT manda um tcp-reset antes de dropar o pacote, oque eu quero observar é que a maioria dos Clients, seja doque for, hoje quando tem algum problema para se conectar a determinada porta, usa outra, ou outro metodo... nesse caso voce esta dizendo para o MSN: "Essa porta ta fechada, tente novamente"
    Porque voce ta usando REJECT, se voce usar o DROP o iptables nao vai retornar nada, nisso o MSN vai ficar tentando conectar ate dizer que "Existe um problema com a sua conexao Internet", porque ele simplismente nao vai receber resposta alguma de ninguem, o timeout e longo acho que 180 segundos.
    Eu nao sei se substituir o REJECT pelo DROP vai resolver seu problema com o MSN, mas acho que voce deveria tentar, porem pode ser que as novas versoes tentem um metodo de conexao diferente depois de um timeout...

    Na minha opniao, voce deveria colocar o Squid, mesmo que voce nao queira fazer cache, apenas para controle e no firewall bloquear a acesso a todos as portas e abrir a porta 80 no FORWARD so para o Squid, ter um DNS local tambem e interessante, assim seus clientes na rede nao vao acessar nada diretamente, eles sempre vao passar por algum servidor local e ai fica seu controle.
    Aqui eu tenho um setup parecido, so que eu tenho varias portas que sao abertas diretamente, mas por exemplo o Orkut e facil de bloquear aqui, porque ninguem abre porta 80 direto, sempre passa pelo Squid, mas se o cara usar um proxy aqui vai funcionar por exemplo...
    É so uma ideia...







Tópicos Similares

  1. Respostas: 12
    Último Post: 06-07-2009, 15:31
  2. Dúvida para bloquear MSN, EMULE e etc
    Por aprendiz_ce no fórum Servidores de Rede
    Respostas: 8
    Último Post: 20-06-2007, 10:39
  3. Bloquear msn e orkut somente para um ip
    Por Buch no fórum Servidores de Rede
    Respostas: 0
    Último Post: 30-08-2006, 17:29
  4. Criador de ACL para bloquear MSN na rede .
    Por slackrio no fórum Servidores de Rede
    Respostas: 1
    Último Post: 04-06-2006, 11:37
  5. Bloquear MSN e Orkut
    Por CAPITU-RP no fórum Servidores de Rede
    Respostas: 39
    Último Post: 28-07-2005, 22:54

Visite: BR-Linux ·  VivaOLinux ·  Dicas-L