+ Responder ao Tópico



  1. #1

    Padrão Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Galera, vcs podem pensar que é mais um tópico igual, mas não é.....

    Estou quase de cabelos brancos, e não consigo fazer mais nada...

    Eu pesiquei (E como..) um método de bloquear os malditos MSN's, mas sem sucesso, abaixo estarei colando a regra: (OBS: elas estão no rc.local)

    $IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 64.4.13.0/24 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d gtwy.messenger.hotmail.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d gateway.messenger.hotmail.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d messenger.hotmail.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d login.passport.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d svcs.microsoft.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 72.21.56.243/24 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d iloveim.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d webmessenger.msn.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d e-messenger.net - REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d msn2go.com.br -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d mob.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d vegas.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d dallas.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d emessenger.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d capetown.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d start.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d wap.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d atlanta.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d newyork.e-messenger.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.wbmsn.net -j REJECT
    $IPTABLES -A FORWARD -s 102.168.0.0/24 -d e-messenger.cl -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d piglet-im.com -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d www.phonefox.com -j REJECT

    Ela regra, funcionou em partes, pois tem gente que consegue ainda se logarem. Mas o que eu reparei, foi que as pessoas recebem as mensagens e quando elas tentam enviar, não envia.... Queria saber o por que disso, e se teria como anular essa entrada?
    E outro problema, os ""WebMessengers" ainda estão funcionando...... Não sei como, mas depois de ter bloqueado UM MONTE, sem efeito...

    E o problema do Orkut também, uso aquelas 4 linhas de regra:

    $iptables -A FORWARD -d www.orkut.com -p tcp --dport 443 -j REJECT
    $iptables -A INPUT -d www.orkut.com -p tcp --dport 443 -j REJECT
    $iptables -A FORWARD -d orkut.com -p tcp --dport 443 -j REJECT
    $iptables -A INPUT -d orkut.com -p tcp --dport 443 -j REJECT

    E não bloqueou nada!!!!


    Se alguem souber a solução, agradeço...

  2. #2

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    o orkut funciona no http e https. Bloqueie também a porta 80, e se possível bloqueie pelos ips (os tres do orkut) que reduz a carga no servidor, pq não tem que resolver nomes para fazer tudo.

    DICA: se quiser eu tenho feita uma lista com os ip's de uns 1500 (pelo menos) proxies destes que as pessoas configuram no navegador. se precisar posto aqui (inclui também ip's de coisas desagradáveis como o orkut e msn) junto com os scripts (versão em php e bash)



  3. #3
    lferg
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Cara, sou iniciante em linux também, mas pesquisando na net e aplicando na prática aqui nos meus clientes, uma maneira que encontrei de bloquear o MSN e Web Messenger foi usando a tabela MANGLE, conforme regras abaixo:

    IPT="iptables"

    # Libera MSN Messenger para o host 192.168.0.124
    $IPT -t mangle -A PREROUTING -s 192.168.0.124 -p tcp --dport 1863 -j ACCEPT
    while read msnmessenger ; do
    $IPT -t mangle -A PREROUTING -s 192.168.0.124 -d $msnmessenger -j ACCEPT
    done < /etc/squid/ip-addresses-msnmessenger

    # Libera MSN Messenger para o host 192.168.0.100
    $IPT -t mangle -A PREROUTING -s 192.168.0.100 -p tcp --dport 1863 -j ACCEPT
    while read msnmessenger ; do
    $IPT -t mangle -A PREROUTING -s 192.168.0.100 -d $msnmessenger -j ACCEPT
    done < /etc/squid/ip-addresses-msnmessenger


    # Bloqueia MSN Messenger para os demais HOSTS
    $IPT -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
    while read msnmessenger ; do
    $IPT -t mangle -A PREROUTING -d $msnmessenger -j DROP
    done < /etc/squid/ip-addresses-msnmessenger

    ###

    Inclua essas regras dentro do script de inicialização ou crie um arquivo, de permição de execução para ele e chame na inicialização, por exemplo no rc.local.

    O arquivo "ip-addresses-msnmessenger" que coloquei em /etc/squid/ contem os endereços de autenticação do MSN. Voce pode incluir os IP´s do orkut.com nessa lista, que ele bloqueia também.
    Estou usando em vários clientes e o MSN não conecta mesmo... somente nos IP´s que estão liberados na regra acima.


    Hosts que inclui no arquivo "ip-addresses-msnmessenger"

    63.208.13.126
    64.4.12.200
    64.4.12.201
    65.54.131.249
    65.54.194.118
    65.54.211.61
    207.46.104.20
    207.46.110.2
    207.46.110.254
    207.46.245.222
    207.46.245.214
    messenger.hotmail.com
    messenger.msn.com
    messenger.microsoft.com
    echo-v1.msgr.hotmail.com
    echo-v2.msgr.hotmail.com
    login.passport.net
    messenger.t1msn.com.mx
    65.54.226.246
    65.54.226.252
    65.54.228.243
    65.54.228.254
    65.54.229.246
    65.54.229.254
    65.54.225.244
    65.54.225.252
    loginnet.passport.com
    65.54.225.241
    65.54.225.254
    65.54.226.247
    65.54.226.254
    65.54.228.244
    65.54.228.253
    65.54.229.248
    65.54.229.253
    login.passport.com
    65.54.231.240
    65.54.230.240
    207.68.173.245
    64.202.167.129
    63.241.128.250
    207.68.173.245
    config.messenger.msn.com

    Espero que ajude...

    :-D
    Luis Fermando

  4. #4

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Para evandrofisico:

    Não entendi o esquema de bloquear a porta 80 (Sou iniciante nesta parte). E manda para mim os 3 IP's do Orkut que eu não sei!!!!
    Outra coisa que eu não entendi são esses 1500 IP's de proxies... Eles são do que??? Mas posta ai, vc diz também que tem IP's para bloquear MSN e ORKUT. Ai está valendo tudo!!!!

    Para lferg:

    Também sou iniciante, e também não entendo muito de programação, tipo de do, if e while (Entendo quase nada). Não entendi muito bem essa regra. E outra, a Tabela Mangle, eu uso ela como TOS (Tipo de Serviço), para fazer QOS (Qualidade de Serviço), por isso não entendi mesmo a sua regra... se vc puder explicar ela!!!!


    Valew....



  5. #5
    felco
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    durban, eu olhei suas regras mas não sei dizer se tem algum furo lá... eu acredito que usando REJECT no caso do MSN não é bom, imagine que o MSN quando tentar a conexão vai receber uma resposta de rejeição e pedido para reiniciar a conexão, já que o REJECT manda um tcp-reset antes de dropar o pacote, oque eu quero observar é que a maioria dos Clients, seja doque for, hoje quando tem algum problema para se conectar a determinada porta, usa outra, ou outro metodo... nesse caso voce esta dizendo para o MSN: "Essa porta ta fechada, tente novamente"
    Porque voce ta usando REJECT, se voce usar o DROP o iptables nao vai retornar nada, nisso o MSN vai ficar tentando conectar ate dizer que "Existe um problema com a sua conexao Internet", porque ele simplismente nao vai receber resposta alguma de ninguem, o timeout e longo acho que 180 segundos.
    Eu nao sei se substituir o REJECT pelo DROP vai resolver seu problema com o MSN, mas acho que voce deveria tentar, porem pode ser que as novas versoes tentem um metodo de conexao diferente depois de um timeout...

    Na minha opniao, voce deveria colocar o Squid, mesmo que voce nao queira fazer cache, apenas para controle e no firewall bloquear a acesso a todos as portas e abrir a porta 80 no FORWARD so para o Squid, ter um DNS local tambem e interessante, assim seus clientes na rede nao vao acessar nada diretamente, eles sempre vao passar por algum servidor local e ai fica seu controle.
    Aqui eu tenho um setup parecido, so que eu tenho varias portas que sao abertas diretamente, mas por exemplo o Orkut e facil de bloquear aqui, porque ninguem abre porta 80 direto, sempre passa pelo Squid, mas se o cara usar um proxy aqui vai funcionar por exemplo...
    É so uma ideia...


  6. #6
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    resolvi o problema na minha empresa da seguinte forma

    bloqueando o msn

    iptables -A FORWARD -s 192.168.0.0./24 -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -s 192.168.0.0/24 -d loginnet.passport.com -j REJECT

    bloqueando Orkut

    iptables -A FORWARD -s 192.168.0.0/24 -d www.orkut.com -j DROP

    Espero que tenha ajudado abracos

    msn [email protected]




  7. #7
    etherlink
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    ####### Bloqueio de trafego de MSN ###############
    iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.0/24 -m layer7 --l7proto fasttrack -j DROP
    iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.0/24 -m layer7 --l7proto fasttrack -j DROP
    iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.10/32 -m layer7 --l7proto msnmessenger -j ACCEPT
    iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.10/32 -m layer7 --l7proto msnmessenger -j ACCEPT
    iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.8/32 -m layer7 --l7proto msnmessenger -j ACCEPT
    iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.8/32 -m layer7 --l7proto msnmessenger -j ACCEPT
    iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.0/24 -m layer7 --l7proto msnmessenger -j DROP
    iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.0/24 -m layer7 --l7proto msnmessenger -j DROP
    iptables -A FORWARD -i ${IFACELOCAL} -d 192.168.0.29/32 -m layer7 --l7proto msnmessenger -j DROP
    iptables -A FORWARD -i ${IFACELOCAL} -s 192.168.0.31/32 -m layer7 --l7proto msnmessenger -j DROP

  8. #8
    gsteixei
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Aqui no meu trabalho era um problema esses malditos msn, orkut, etc, ai resolvi fazer um programinha que detectava se o usuario instalava o msn ou abria no navegador o orkut, ilovemsn, etc, entre outros programas que instalavam nas maquinas (entre eles o M$ office). Se alguem faz isso, ele recebe imediatamente uma mensagem e a maquna é rebootada :roll:. O programa que instalaram é deletado e o nome do usuario guardado em um aquivo TXT . Eu posso te mandar os fontes se vc quiser, o problema é que só roda em ruindows, mas nunca tentei com o wine.



  9. #9

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    coloca esse script ai pra gente

  10. #10
    gsteixei
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Na verdade nao é um script é um programa em delphi, eu fiz ele pra rodar na nossa rede, mas com algumas alterações ele funciona em qualquer lugar...
    Os fontes estão na minha maquina, amanha eu mando pra quem quiser.
    Obs: Só roda em ruindows

    Alguem que tenha conhecimento em Kylix ajudar a fazer uma versão??? Eu tenho varios programas de ruindows que gostaria de colocar a disposição pro pessoal pra Linux. Se bem que acho que este programa deve ser bem facil de migrar, a maioria dos componentes que ele usa tem no kylix.

    Quem quiser me mande um e-mail..



  11. #11
    Michelitos
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    cara experimenta imprimi o local de acesso do usuario e falar com o pessoal do rh...
    antes eu me matava pra achar solucoes...ai comecei a fazer relatorios no squid, sentar junto com o reponsavel pelo rh e mostra para o responsavel como a pessoa fazia pra entrar e quem era a pessoa.

  12. #12
    gsteixei
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Pessoal hoje eu mandei o programa pra quem havia me mandado o e-mail pedindo. Se mais alguem quiser, mande um email que eu mando os fontes, a estrutura de diretorios que vao no servidor e o manual. Só nao divulguem pros nossos usuarios :-P heheheh
    Ele está funcionando aqui a mais de um ano e o unico furo que rola é algum usuario descobrir mais um sitezinho tipo "ilovemessenger.com" mas assim que descobrimos ele, é só colocar no sistema que nunca mais.... O programa registra o usuario, a data e a hora a maquina e o que ele estava fazendo.
    Ontem eu estava numa sala e vi um usuario acessando um tal de meebo.com, que funciona com msn e icq. O cara me olhou e começou a implorar pra nao bloquearem o site... HAHAHAAHAH foi muito ironico... Eu disse pra ele, se de por satisfeito que nao estamos cortando o teu login e aproveite que esta é a ultima vez... HUAHUAHAUA



  13. #13

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    esse programa eu devo instalar onde fera, e o arquivo siscore onde eu coloco ele??

  14. #14
    gsteixei
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    é o seguinte: vc deve ter descomprimido todos os arquivos, um deles é um exemplo de como deve estar no servidor. Entao, na maquina cliente, vc vai ter algo assim:
    /msn/instalar ali dentro tem dois arquivos o install98.reg é só colocar nele o caminho do seu servidor e executa-lo, ele muda o registro do windows para executar o programa executa.exe quando a maquina for inicializada. O outro arquivo vc edita e coloca as informações de onde esta a maquina (no exemplo que eu te dei deve estar lab = "linf f" (laboratorio de informatica F) e sala 101). Bem, o "linf f" é util nao só para saber de onde o meliante esta fazendo o que nao deve como para organizar seu servidor. Vc deve ter visto que dentro de /msn tem uma pasta "linf f". É la que o programa vai procurar quais programas bloquear e anotar quem fez o que nao devia.
    Bem, quando este "executa.exe" é rodado ele bloqueia o msn (é importante que o msn nunca seja instalado na maquina ANTES do siscore) e copia o siscore.exe e scr.txt para dentro da maquina (c:\windows\system). (fiz isso para facilitar as atualizações) O siscore le este scr.txt e caso encontre uma pasta ou uma janela aberta com o mesmo nome que a linha que ele estiver lendo, ele pega o infrator.... HAHAHAH

    Então, receita de bolo:
    1- Coloque no seu servidor a seguinte estrutura de diretorios
    /msn/aplic
    dentro deve conter o executa.exe e siscore.exe
    /msn/setor/dados
    dentro vai
    scr.txt (contem os programas a bloquear)
    users.txt (inicialmente deve estar em branco, depois vai ficar cheio de nomes de usuarios )
    /msn/setor/dados/limpa
    limpa.bat (rotinas para apagar os programas quando a maquina for reinicializada)
    /msn/instalar
    coloque aqui os arquivos .reg que instalam o sistema (esta é opcional)

    obs: tudo isso em um diretorio de rede publico onde todos os usuarios tenham acesso de leitura e escrita (nao dê direitos de apagar! ) e nunca divulgue este diretorio.

    2- Altere os fontes do programa para ele puxar os arquivos no caminho da sua rede (eu comentei nos fontes o que deve ser alterado), compile e coloque os executaveis na pasta Aplic :-P

    3- edite os arquivos Install.reg e infoLaboratorio.reg conforme suas nescessidades.

    4- va na maquina cliente e excecute o Install e infoLaboratorio.

    5 - reboote a maquina e ache um usario bem transgressor para ser o primeiro a cair na armadilha
    :roll:

    Obs:
    1 - a versão para XP tem alguns bugs, entre eles, o "gerenciador de processos" some! (hiii, isto é um problema para quem usa windows... huhuhu) isto pode ser resolvido alterando umas linhas do programa que agora nao me lembro quais são, mas vai ter o problema de que o usuario vai poder dar um finalizar tarefa no programa.
    2 - lembre-se de alterar o aviso que o usuario recebe quando cai na arapuca (tem o logo da empresa onde trabalho..)
    3 - O primeiro dia que o sistema vai funcionar vai ser bem engraçado, prepare-se para rir... :wink:
    4 - Estou querendo dar uma melhorada no programa, tipo, deixar ele configuravel, sem ter que editar codigo-fonte, e fazer uma versão para Linux. Só que o tempo anda curto. Alguem tem interesse em ajudar????



  15. #15
    alex_sorocaba
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    nossa mais é tão fácil bloquear o uso, faça um documento com as regras de uso da internet faça com que os usuários assinem consentindo com as regras, e coloque também que todo o tráfego http e msn será monitorado para verficação de descumprimento do documento, rode um sniffer na rede e veja se alguém tah usando o msn, e RUA pro camarada
    hehehehehehehehe

  16. #16
    japan
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Amigo da forma que vc fez, nao bloqueie so o tcp e sim tb o protocolo udp. faca o teste ae.



  17. #17

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT


    Pessoal, eu fiz diferente em relação ao MSN. Mas não consegui ainda em relação ao Orkut. No MSN, eu fiz 3 listas acl´s. Na que está liberada eu criei um usuário chamado cpdmsn e coloquei uma senha pelo htpasswd. Quando precisamos liberar algum usuário no MSN, vamos lá no MSN e na configuração dele dizemos que ele usa um proxy com autenticação. Colocamos o usuário e a senha. Quando não queremos que acessem eu mudo a senha. E claro, isso afeta todo mundo. Aí vou lá coloco a nova senha apenas nos usuários que podem ter acesso. No meu caso o acesso a internet é proxy autenticado.
    Um abraço a todos ......... :-)

  18. #18
    chingling
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Segue ai uma regra que funciona aqui na empresa:
    $LAN1=192.168.10.0/24
    #Bloqueando servicos P2P e chat
    #
    #Bloqueando MSN
    iptables -A FORWARD -i $LAN1 -p tcp --dport 1863 -j REJECT
    iptables -A FORWARD -i $LAN1 -d loginnet.passport.com -j REJECT
    #Bloqueando ORKUT
    iptables -I OUTPUT -d www.orkut.com -j DROP
    iptables -I OUTPUT -d www.orkut.com -p tcp --dport 443 -j DROP
    iptables -I OUTPUT -d 64.233.171.86 -j DROP
    iptables -I OUTPUT -d 64.233.171.85 -j DROP
    #===========================================================================================
    #Bloqueando WebMsn
    #===========================================================================================
    iptables -A FORWARD -i $LAN1 -d webmessenger.msn.com -j REJECT



  19. #19
    nestorlana
    Visitante

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Companheiro veja bem a sua regra !!!
    Quando você coloca ........ -s 10.1.1.0 -j reject você está bloqueando apenas os pacotes que atravessam o roteador com origem de sua rede interna.
    Por isso que eles recebem mas na hora de enviar ficam barrados !
    Se você adicionar as mesmas regras com ...... -d 10.1.1.0 ai você vai barrar tudo que vem de fora com destino a sua rede interna !

    Ok ?

    Nestor Lana

  20. #20

    Padrão Re: Alguma regra "EFETIVA" para bloquear MSN e ORKUT

    Pessoal que tal em vez de usar esse monte de regra, usar um proxy? Fica muito mais facil adicionar uma lista negra do que esse monte de regral de iptables. Bom, num dos clientes da minha empresa o pessoal usa proxy com lista branca e negra, aqui é ótimo, o pessoal só navega onde eu deixar e se eu quiser bloquer o msn eu só bloqueio a porta 1863, por que pela 80 o meu squid bloqueia.

    Abraço