+ Responder ao Tópico



  1. #1
    capgaiotto
    Visitante

    Padrão Bloquear MSN em algumas estações

    Olá Caros Amigos!

    Achei um documento interessante que trata sobre como bloquear o MSN em redes que utilizam servidor Squid-Proxy transparente (normalmente o MSN fica liberado).
    Trata-se do seguinte:

    Cria-se uma ACL...

    acl bloc_msn url_regex "/etc/bloc_msn"
    http_access deny bloc_msn

    O arquivo bloc_msn em /etc, fica assim:

    #/etc/bloc_msn
    gateway.dll


    E apenas isso!

    Isso resolve 50% do meu problema, pois preciso bloquear em apenas algumas estações. Para ser mais exato, 192.168.30.10 e 192.168.30.50

    Muito Obrigado!


    Gaiotto
    Debian


  2. #2
    everton_fuzz
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    Cara, mas isso funcionou na sua rede?? eu já me cansei de colocar essas regras e elas nunca funcionam...o msn passa lindo....

  3. #3
    capgaiotto
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    Funcionou em mais de um servidor que configurei esta regra de bloqueio. Utilizo Debian, mas isso deve estar relacionado a versão do squid ou versão Windows que os usuarios utilizam. No meu caso, eram estações Windows XP Pro e Windows 2000 Pro.

    Preciso bloquear o MSN, utilizando esta regra em apenas duas estações e por algumas horas apenas.
    Alguém poderia me dar uma ajuda?

    Obrigado


    Gaiotto

  4. #4

    Padrão Re: Bloquear MSN em algumas estações

    Olha só.
    Se vc fizer na sua rede um tcpdump para ver o trafego da sua rede e conectar algum host ao msn. Você verá o log mostrando sobre o gateway.dll

    Se você quer bloquear o msn. Feche no firewall a porta 1863 que mata o problema.
    Se num tiver fechando é alguma regra sua que está liberando porque aqui eu uso dessa forma.
    Nem tenho regra no squid pra bloquear o msn, apenas webmessenger.

    Abraço


  5. #5

    Padrão Re: Bloquear MSN em algumas estações

    iptables -A FORWARD -p tcp -s $LAN_RANGE --dport 1863 -j DROP
    iptables -A FORWARD -p tcp --sport 1863 -d $LAN_RANGE -j DROP

    sendo que LAN_RANGE = 192.168.0.0/24 ou sei la qual é a classe que vc esta usando


  6. #6
    capgaiotto
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    Fala Spyder!

    Já estou conseguindo bloquear o MSN pelo Squid, meu problema é bloquear em algumas estações apenas e utilizando justamente o Squid.

  7. #7

    Padrão Re: Bloquear MSN em algumas estações

    UÉ, você não está bloqueando ja com o squid ?
    Segundo você disse.
    " Já estou conseguindo bloquear o MSN pelo Squid, meu problema é bloquear em algumas estações apenas e utilizando justamente o Squid."


    Desculpa mas num entendi agora não.

    Explique a situação.

  8. #8
    everton_fuzz
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    Entaum capgaiotto eu tb uso o debian (br) com estaçoes windows xp, 98, e me, eu creio que o problema é com o meu squid mesmo, presciso atualiza-lo.....mas no caso de fazer isso, perderei a configuração atual?? como proceder para atualiza-lo??

  9. #9
    capgaiotto
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    Fala Spyder!

    Não são todas as estações da rede que terão o MSN bloqueados, a maioria inclusive poderá utiliza-lo.
    Estou com dificuldades para bloquear o MSN em duas estações de trabalho apenas.

    Pergunta: Como faço para bloquear o MSN em apenas duas estações da rede utilizando esta ACL no squid ?


    Obrigado pela atenção Spyder!

    Fala Everton, antes de atualizar o Squid, salve o arquivo squid.conf em outro local de sua preferencia. Se não utiliza autenticação no browser nem nenhuma regra diferente do normal, é o único arquivo que precisa salvar.



  10. #10

    Padrão Re: Bloquear MSN em algumas estações

    Então faça da seguinte forma.
    Feche a porta do msn. 1863
    feche no proxy as urls de webmessenger.
    Tem muitas.

    Depois vc vai no firewall e cria regra para os hosts que terão no caso o acesso.
    Mesmo sendo em pouco tempo. Ao menos vc terá um controle real de quem acessa.

    Eu fiz isso aqui onde eu trampo.


    no firewall deixei


    liberando msn diretor 1

    liberando msn diretor 2

    liberando meu msn kkk 3

    depois bloqueando msn



    Com isso vc terá o proxy pra fechar o webmessenger e seu firewall pra fechar internamente.

    Detalhe, os ips tem que ser o mesmo. Aqui eu amarrei o IP ao MAC Address.

    Se não quiser seguir dessa forma, você vai ter muito trabalho pra fazer com o squid. Eu nem imagino como fazer isso somente por ele.

    Falow , espero ter ajudado um pouco

  11. #11

    Padrão Re: Bloquear MSN em algumas estações

    Vou colocar as regras como deixei sobre o msn

    # CAJU
    $IPTABLES -A FORWARD -s 192.168.0.62 -p tcp --dport 1863 -j ACCEPT
    $IPTABLES -A FORWARD -d 192.168.0.62 -p tcp --sport 1863 -j ACCEPT

    # Host 105
    $IPTABLES -A FORWARD -s 192.168.0.105 -p tcp --dport 1863 -j ACCEPT
    $IPTABLES -A FORWARD -d 192.168.0.105 -p tcp --sport 1863 -j ACCEPT

    # Rodrigo - SpYdErLiNuX
    $IPTABLES -A FORWARD -s 192.168.0.171 -p tcp --dport 1863 -j ACCEPT
    $IPTABLES -A FORWARD -d 192.168.0.171 -p tcp --sport 1863 -j ACCEPT

    echo "# FECHANDO MESSENGER "
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -p tcp --dport 1863 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.239.80 -j REJECT
    $IPTABLES -A FORWARD -s 192.168.0.0/24 -d 65.54.179.192 -j REJECT


    Espero ter ajudado agora totalmente

  12. #12
    Rodolpho Amorim
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    Bom dia...

    tente da seguinte forma amigo...

    tenta criar 2 regras...

    uma bloqueando a o ip da maquina que nao deve acessar o msn com destino ao ip 207.46.0.0/255.255.0.0.

    e outra ao contrario tipo assim :

    alvo: BLOQUEAR, protocolo: TODOS, origem : o ip da maquina que não deve acessar o msn destino: 207.46.0.0/255.255.0.0.

    e outra

    alvo: BLOQUEAR, protocolo: TODOS, origem : 207.46.0.0/255.255.0.0.destino: o ip da maquina que não deve acessar o msn .

    to sem o comando correto aki pra criar a regra mais espero ter ajudado...

    aqui funciona perfeitamente.

    tenta ae qlqr coisa da um toke :-D

    caso você queria LIBERAR o msn basta ao invez d criar a regra Bloqueando mude a mesma para LIBERAR.

  13. #13
    Rodolpho Amorim
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    Oh...
    Achei aqui as regras...

    Aqui tah tipo assim.

    o MSN é liberado pra todos e bloqueado para alguns :

    -A IMMSN -s 207.46.0.0/255.255.0.0 -d ??.??.??.? -j DROP
    -A IMMSN -s ??.??.??.? -d 207.46.0.0/255.255.0.0 -j DROP
    -A IMMSN -d 207.46.0.0/255.255.0.0 -j ACCEPT
    -A IMMSN -s 207.46.0.0/255.255.0.0 -j ACCEPT

    as duas ultimas regras liberam pra toda rede e as assima vão bloqueando.

    caso queria bloquear geral e ir liberando.

    mude as duas ultimas regras para DROP e as outras para ACCEPT

    -A IMMSN -s 207.46.0.0/255.255.0.0 -d ??.??.??.? -j ACCEPT
    -A IMMSN -s ??.??.??.? -d 207.46.0.0/255.255.0.0 -j ACCEPT
    -A IMMSN -d 207.46.0.0/255.255.0.0 -j DROP
    -A IMMSN -s 207.46.0.0/255.255.0.0 -j DROP


    lembrando que sempre tem que ter uma regra de ida e volta pra maquina.

    o " ??.??.??.? " é o ip da maquina que você quer liberar ou bloquear o acesso.

    Espero ter ajudado.

    da um toke ai se funca :wink:

    flwss

  14. #14

    Padrão Re: Bloquear MSN em algumas estações

    Citação Postado originalmente por spyderlinux
    iptables -A FORWARD -p tcp -s $LAN_RANGE --dport 1863 -j DROP
    iptables -A FORWARD -p tcp --sport 1863 -d $LAN_RANGE -j DROP

    sendo que LAN_RANGE = 192.168.0.0/24 ou sei la qual é a classe que vc esta usando

    Ué? esta porta tah bloqueada aki,tanto que não consigo usar o gaim por exemplo,mas o msn da m$ eu uso de boa...pq será?

  15. #15
    everton_fuzz
    Visitante

    Padrão Re: Bloquear MSN em algumas estações

    morronix o msn é esperto, ele procura outras portas pra se conectar, nao basta somente fechar a 1863

  16. #16

    Padrão Re: Bloquear MSN em algumas estações

    A porta de conexão é essa. O que pode acontecer é ele buscar algum link diferente de autenticação.
    Se você bloqueia esses links Otimo.
    Na minha rede, está totalmente controlado o msn.
    So usa quem precisa e os outros não conseguem. Somente coma s regras que eu coloquei.

    Deixando especificado tb que a politica é
    INPUT -DROP
    FORWARD - DROP