Alguma regra "EFETIVA" para bloquear MSN e ORKUT

[durban]

Galera, vcs podem pensar que é mais um tópico igual, mas não é.....

Estou quase de cabelos brancos, e não consigo fazer mais nada...

Eu pesiquei (E como..) um método de bloquear os malditos MSN's, mas sem sucesso, abaixo estarei colando a regra: (OBS: elas estão no rc.local)

$IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 64.4.13.0/24 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d gtwy.messenger.hotmail.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d gateway.messenger.hotmail.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d login.passport.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d svcs.microsoft.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d 72.21.56.243/24 -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d iloveim.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d e-messenger.net - REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d msn2go.com.br -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d mob.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d vegas.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d dallas.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d emessenger.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d capetown.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d start.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d wap.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d atlanta.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d newyork.e-messenger.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
$IPTABLES -A FORWARD -s 102.168.0.0/24 -d e-messenger.cl -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d piglet-im.com -j REJECT
$IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.phonefox.com -j REJECT

Ela regra, funcionou em partes, pois tem gente que consegue ainda se logarem. Mas o que eu reparei, foi que as pessoas recebem as mensagens e quando elas tentam enviar, não envia.... Queria saber o por que disso, e se teria como anular essa entrada?
E outro problema, os ""WebMessengers" ainda estão funcionando...... Não sei como, mas depois de ter bloqueado UM MONTE, sem efeito...

E o problema do Orkut também, uso aquelas 4 linhas de regra:

$iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j REJECT
$iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j REJECT
$iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j REJECT
$iptables -A INPUT -d orkut.com -p tcp --dport 443 -j REJECT

E não bloqueou nada!!!!


Se alguem souber a solução, agradeço...

[evandrofisico]

o orkut funciona no http e https. Bloqueie também a porta 80, e se possível bloqueie pelos ips (os tres do orkut) que reduz a carga no servidor, pq não tem que resolver nomes para fazer tudo.

DICA: se quiser eu tenho feita uma lista com os ip's de uns 1500 (pelo menos) proxies destes que as pessoas configuram no navegador. se precisar posto aqui (inclui também ip's de coisas desagradáveis como o orkut e msn) junto com os scripts (versão em php e bash)

[lferg]

Cara, sou iniciante em linux também, mas pesquisando na net e aplicando na prática aqui nos meus clientes, uma maneira que encontrei de bloquear o MSN e Web Messenger foi usando a tabela MANGLE, conforme regras abaixo:

IPT="iptables"

# Libera MSN Messenger para o host 192.168.0.124
$IPT -t mangle -A PREROUTING -s 192.168.0.124 -p tcp --dport 1863 -j ACCEPT
while read msnmessenger ; do
$IPT -t mangle -A PREROUTING -s 192.168.0.124 -d $msnmessenger -j ACCEPT
done < /etc/squid/ip-addresses-msnmessenger

# Libera MSN Messenger para o host 192.168.0.100
$IPT -t mangle -A PREROUTING -s 192.168.0.100 -p tcp --dport 1863 -j ACCEPT
while read msnmessenger ; do
$IPT -t mangle -A PREROUTING -s 192.168.0.100 -d $msnmessenger -j ACCEPT
done < /etc/squid/ip-addresses-msnmessenger


# Bloqueia MSN Messenger para os demais HOSTS
$IPT -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
while read msnmessenger ; do
$IPT -t mangle -A PREROUTING -d $msnmessenger -j DROP
done < /etc/squid/ip-addresses-msnmessenger

###

Inclua essas regras dentro do script de inicialização ou crie um arquivo, de permição de execução para ele e chame na inicialização, por exemplo no rc.local.

O arquivo "ip-addresses-msnmessenger" que coloquei em /etc/squid/ contem os endereços de autenticação do MSN. Voce pode incluir os IP´s do orkut.com nessa lista, que ele bloqueia também.
Estou usando em vários clientes e o MSN não conecta mesmo... somente nos IP´s que estão liberados na regra acima.


Hosts que inclui no arquivo "ip-addresses-msnmessenger"

63.208.13.126
64.4.12.200
64.4.12.201
65.54.131.249
65.54.194.118
65.54.211.61
207.46.104.20
207.46.110.2
207.46.110.254
207.46.245.222
207.46.245.214
messenger.hotmail.com
messenger.msn.com
messenger.microsoft.com
echo-v1.msgr.hotmail.com
echo-v2.msgr.hotmail.com
login.passport.net
messenger.t1msn.com.mx
65.54.226.246
65.54.226.252
65.54.228.243
65.54.228.254
65.54.229.246
65.54.229.254
65.54.225.244
65.54.225.252
loginnet.passport.com
65.54.225.241
65.54.225.254
65.54.226.247
65.54.226.254
65.54.228.244
65.54.228.253
65.54.229.248
65.54.229.253
login.passport.com
65.54.231.240
65.54.230.240
207.68.173.245
64.202.167.129
63.241.128.250
207.68.173.245
config.messenger.msn.com

Espero que ajude...

:-D
Luis Fermando

[durban]

Para evandrofisico:

Não entendi o esquema de bloquear a porta 80 (Sou iniciante nesta parte). E manda para mim os 3 IP's do Orkut que eu não sei!!!!
Outra coisa que eu não entendi são esses 1500 IP's de proxies... Eles são do que??? Mas posta ai, vc diz também que tem IP's para bloquear MSN e ORKUT. Ai está valendo tudo!!!!

Para lferg:

Também sou iniciante, e também não entendo muito de programação, tipo de do, if e while (Entendo quase nada). Não entendi muito bem essa regra. E outra, a Tabela Mangle, eu uso ela como TOS (Tipo de Serviço), para fazer QOS (Qualidade de Serviço), por isso não entendi mesmo a sua regra... se vc puder explicar ela!!!!


Valew....

[felco]

durban, eu olhei suas regras mas não sei dizer se tem algum furo lá... eu acredito que usando REJECT no caso do MSN não é bom, imagine que o MSN quando tentar a conexão vai receber uma resposta de rejeição e pedido para reiniciar a conexão, já que o REJECT manda um tcp-reset antes de dropar o pacote, oque eu quero observar é que a maioria dos Clients, seja doque for, hoje quando tem algum problema para se conectar a determinada porta, usa outra, ou outro metodo... nesse caso voce esta dizendo para o MSN: "Essa porta ta fechada, tente novamente"
Porque voce ta usando REJECT, se voce usar o DROP o iptables nao vai retornar nada, nisso o MSN vai ficar tentando conectar ate dizer que "Existe um problema com a sua conexao Internet", porque ele simplismente nao vai receber resposta alguma de ninguem, o timeout e longo acho que 180 segundos.
Eu nao sei se substituir o REJECT pelo DROP vai resolver seu problema com o MSN, mas acho que voce deveria tentar, porem pode ser que as novas versoes tentem um metodo de conexao diferente depois de um timeout...

Na minha opniao, voce deveria colocar o Squid, mesmo que voce nao queira fazer cache, apenas para controle e no firewall bloquear a acesso a todos as portas e abrir a porta 80 no FORWARD so para o Squid, ter um DNS local tambem e interessante, assim seus clientes na rede nao vao acessar nada diretamente, eles sempre vao passar por algum servidor local e ai fica seu controle.
Aqui eu tenho um setup parecido, so que eu tenho varias portas que sao abertas diretamente, mas por exemplo o Orkut e facil de bloquear aqui, porque ninguem abre porta 80 direto, sempre passa pelo Squid, mas se o cara usar um proxy aqui vai funcionar por exemplo...
É so uma ideia...

[[email protected]]

resolvi o problema na minha empresa da seguinte forma

bloqueando o msn

iptables -A FORWARD -s 192.168.0.0./24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT

bloqueando Orkut

iptables -A FORWARD -s 192.168.0.0/24 -d www.orkut.com -j DROP

Espero que tenha ajudado abracos

msn [email protected]

[etherlink]

####### Bloqueio de trafego de MSN ###############
iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.0/24 -m layer7 --l7proto fasttrack -j DROP
iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.0/24 -m layer7 --l7proto fasttrack -j DROP
iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.10/32 -m layer7 --l7proto msnmessenger -j ACCEPT
iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.10/32 -m layer7 --l7proto msnmessenger -j ACCEPT
iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.8/32 -m layer7 --l7proto msnmessenger -j ACCEPT
iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.8/32 -m layer7 --l7proto msnmessenger -j ACCEPT
iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.0/24 -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.0/24 -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.29/32 -m layer7 --l7proto msnmessenger -j DROP
iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.31/32 -m layer7 --l7proto msnmessenger -j DROP

[gsteixei]

Aqui no meu trabalho era um problema esses malditos msn, orkut, etc, ai resolvi fazer um programinha que detectava se o usuario instalava o msn ou abria no navegador o orkut, ilovemsn, etc, entre outros programas que instalavam nas maquinas (entre eles o M$ office). Se alguem faz isso, ele recebe imediatamente uma mensagem e a maquna é rebootada :roll:. O programa que instalaram é deletado e o nome do usuario guardado em um aquivo TXT . Eu posso te mandar os fontes se vc quiser, o problema é que só roda em ruindows, mas nunca tentei com o wine.

[minimim]

coloca esse script ai pra gente

[gsteixei]

Na verdade nao é um script é um programa em delphi, eu fiz ele pra rodar na nossa rede, mas com algumas alterações ele funciona em qualquer lugar...
Os fontes estão na minha maquina, amanha eu mando pra quem quiser.
Obs: Só roda em ruindows

Alguem que tenha conhecimento em Kylix ajudar a fazer uma versão??? Eu tenho varios programas de ruindows que gostaria de colocar a disposição pro pessoal pra Linux. Se bem que acho que este programa deve ser bem facil de migrar, a maioria dos componentes que ele usa tem no kylix.

Quem quiser me mande um e-mail..

[Michelitos]

cara experimenta imprimi o local de acesso do usuario e falar com o pessoal do rh...
antes eu me matava pra achar solucoes...ai comecei a fazer relatorios no squid, sentar junto com o reponsavel pelo rh e mostra para o responsavel como a pessoa fazia pra entrar e quem era a pessoa.

[gsteixei]

Pessoal hoje eu mandei o programa pra quem havia me mandado o e-mail pedindo. Se mais alguem quiser, mande um email que eu mando os fontes, a estrutura de diretorios que vao no servidor e o manual. Só nao divulguem pros nossos usuarios :-P heheheh
Ele está funcionando aqui a mais de um ano e o unico furo que rola é algum usuario descobrir mais um sitezinho tipo "ilovemessenger.com" mas assim que descobrimos ele, é só colocar no sistema que nunca mais.... O programa registra o usuario, a data e a hora a maquina e o que ele estava fazendo.
Ontem eu estava numa sala e vi um usuario acessando um tal de meebo.com, que funciona com msn e icq. O cara me olhou e começou a implorar pra nao bloquearem o site... HAHAHAAHAH foi muito ironico... Eu disse pra ele, se de por satisfeito que nao estamos cortando o teu login e aproveite que esta é a ultima vez... HUAHUAHAUA

[minimim]

esse programa eu devo instalar onde fera, e o arquivo siscore onde eu coloco ele??

[gsteixei]

é o seguinte: vc deve ter descomprimido todos os arquivos, um deles é um exemplo de como deve estar no servidor. Entao, na maquina cliente, vc vai ter algo assim:
/msn/instalar ali dentro tem dois arquivos o install98.reg é só colocar nele o caminho do seu servidor e executa-lo, ele muda o registro do windows para executar o programa executa.exe quando a maquina for inicializada. O outro arquivo vc edita e coloca as informações de onde esta a maquina (no exemplo que eu te dei deve estar lab = "linf f" (laboratorio de informatica F) e sala 101). Bem, o "linf f" é util nao só para saber de onde o meliante esta fazendo o que nao deve como para organizar seu servidor. Vc deve ter visto que dentro de /msn tem uma pasta "linf f". É la que o programa vai procurar quais programas bloquear e anotar quem fez o que nao devia.
Bem, quando este "executa.exe" é rodado ele bloqueia o msn (é importante que o msn nunca seja instalado na maquina ANTES do siscore) e copia o siscore.exe e scr.txt para dentro da maquina (c:\windows\system). (fiz isso para facilitar as atualizações) O siscore le este scr.txt e caso encontre uma pasta ou uma janela aberta com o mesmo nome que a linha que ele estiver lendo, ele pega o infrator.... HAHAHAH

Então, receita de bolo:
1- Coloque no seu servidor a seguinte estrutura de diretorios
/msn/aplic
dentro deve conter o executa.exe e siscore.exe
/msn/setor/dados
dentro vai
scr.txt (contem os programas a bloquear)
users.txt (inicialmente deve estar em branco, depois vai ficar cheio de nomes de usuarios )
/msn/setor/dados/limpa
limpa.bat (rotinas para apagar os programas quando a maquina for reinicializada)
/msn/instalar
coloque aqui os arquivos .reg que instalam o sistema (esta é opcional)

obs: tudo isso em um diretorio de rede publico onde todos os usuarios tenham acesso de leitura e escrita (nao dê direitos de apagar! ) e nunca divulgue este diretorio.

2- Altere os fontes do programa para ele puxar os arquivos no caminho da sua rede (eu comentei nos fontes o que deve ser alterado), compile e coloque os executaveis na pasta Aplic :-P

3- edite os arquivos Install.reg e infoLaboratorio.reg conforme suas nescessidades.

4- va na maquina cliente e excecute o Install e infoLaboratorio.

5 - reboote a maquina e ache um usario bem transgressor para ser o primeiro a cair na armadilha
:roll:

Obs:
1 - a versão para XP tem alguns bugs, entre eles, o "gerenciador de processos" some! (hiii, isto é um problema para quem usa windows... huhuhu) isto pode ser resolvido alterando umas linhas do programa que agora nao me lembro quais são, mas vai ter o problema de que o usuario vai poder dar um finalizar tarefa no programa.
2 - lembre-se de alterar o aviso que o usuario recebe quando cai na arapuca (tem o logo da empresa onde trabalho..)
3 - O primeiro dia que o sistema vai funcionar vai ser bem engraçado, prepare-se para rir... :wink:
4 - Estou querendo dar uma melhorada no programa, tipo, deixar ele configuravel, sem ter que editar codigo-fonte, e fazer uma versão para Linux. Só que o tempo anda curto. Alguem tem interesse em ajudar????

[alex_sorocaba]

nossa mais é tão fácil bloquear o uso, faça um documento com as regras de uso da internet faça com que os usuários assinem consentindo com as regras, e coloque também que todo o tráfego http e msn será monitorado para verficação de descumprimento do documento, rode um sniffer na rede e veja se alguém tah usando o msn, e RUA pro camarada
hehehehehehehehe

[japan]

Amigo da forma que vc fez, nao bloqueie so o tcp e sim tb o protocolo udp. faca o teste ae.

[pssgyn]

Pessoal, eu fiz diferente em relação ao MSN. Mas não consegui ainda em relação ao Orkut. No MSN, eu fiz 3 listas acl´s. Na que está liberada eu criei um usuário chamado cpdmsn e coloquei uma senha pelo htpasswd. Quando precisamos liberar algum usuário no MSN, vamos lá no MSN e na configuração dele dizemos que ele usa um proxy com autenticação. Colocamos o usuário e a senha. Quando não queremos que acessem eu mudo a senha. E claro, isso afeta todo mundo. Aí vou lá coloco a nova senha apenas nos usuários que podem ter acesso. No meu caso o acesso a internet é proxy autenticado.
Um abraço a todos ......... :-)

[chingling]

Segue ai uma regra que funciona aqui na empresa:
$LAN1=192.168.10.0/24
#Bloqueando servicos P2P e chat
#
#Bloqueando MSN
iptables -A FORWARD -i $LAN1 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -i $LAN1 -d loginnet.passport.com -j REJECT
#Bloqueando ORKUT
iptables -I OUTPUT -d www.orkut.com -j DROP
iptables -I OUTPUT -d www.orkut.com -p tcp --dport 443 -j DROP
iptables -I OUTPUT -d 64.233.171.86 -j DROP
iptables -I OUTPUT -d 64.233.171.85 -j DROP
#===========================================================================================
#Bloqueando WebMsn
#===========================================================================================
iptables -A FORWARD -i $LAN1 -d webmessenger.msn.com -j REJECT

[nestorlana]

Companheiro veja bem a sua regra !!!
Quando você coloca ........ -s 10.1.1.0 -j reject você está bloqueando apenas os pacotes que atravessam o roteador com origem de sua rede interna.
Por isso que eles recebem mas na hora de enviar ficam barrados !
Se você adicionar as mesmas regras com ...... -d 10.1.1.0 ai você vai barrar tudo que vem de fora com destino a sua rede interna !

Ok ?

Nestor Lana

[viny_carvalho]

Pessoal que tal em vez de usar esse monte de regra, usar um proxy? Fica muito mais facil adicionar uma lista negra do que esse monte de regral de iptables. Bom, num dos clientes da minha empresa o pessoal usa proxy com lista branca e negra, aqui é ótimo, o pessoal só navega onde eu deixar e se eu quiser bloquer o msn eu só bloqueio a porta 1863, por que pela 80 o meu squid bloqueia.

Abraço