+ Responder ao Tópico



  1. #1

    Padrão Liberando MSN e tb Bloqueando via NAT o msn [ RESOLVIDO ]

    Boa Tarde, estou mudando meu firewall de algumas regras que acredito que são um pouco falhas, não estão erradas, mas acabam permitindo uma liberdade não desejada aos usuários da rede.

    Bom, o que acontece ?

    Usava anteriormente as seguintes regras para compartilhar a conexão.

    # Ativando roteamento dinamico
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr

    # Deixando a conex. Mascarada
    $IPTABLES -t nat -A POSTROUTING -s $LAN_RANGE -j MASQUERADE


    Porém, tenho na rede um proxy transparente E,
    agora mudei para a seguinte regra.

    -A POSTROUTING -o $EXT_IFACE -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,995,2083,2631,3456 -j MASQUERADE
    -A POSTROUTING -o $EXT_IFACE -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE


    E agora não consigo fazer os diretores conectarem mais no msn.

    Alguem pode mi dar uma mão ai.
    Eu sei que o msn usa a porta 1863, sei que no proxy posso colocr o gateway.dll.

    Grato

  2. #2

    Padrão Re: Liberando MSN

    Citação Postado originalmente por spyderlinux
    Boa Tarde, estou mudando meu firewall de algumas regras que acredito que são um pouco falhas, não estão erradas, mas acabam permitindo uma liberdade não desejada aos usuários da rede.

    Bom, o que acontece ?

    Usava anteriormente as seguintes regras para compartilhar a conexão.

    # Ativando roteamento dinamico
    echo 1 > /proc/sys/net/ipv4/ip_forward
    echo 1 > /proc/sys/net/ipv4/ip_dynaddr

    # Deixando a conex. Mascarada
    $IPTABLES -t nat -A POSTROUTING -s $LAN_RANGE -j MASQUERADE


    Porém, tenho na rede um proxy transparente E,
    agora mudei para a seguinte regra.

    -A POSTROUTING -o $EXT_IFACE -m multiport -p tcp --dports 20,21,22,25,53,110,443,465,995,2083,2631,3456 -j MASQUERADE
    -A POSTROUTING -o $EXT_IFACE -m multiport -p udp --dports 20,21,53,443 -j MASQUERADE


    E agora não consigo fazer os diretores conectarem mais no msn.

    Alguem pode mi dar uma mão ai.
    Eu sei que o msn usa a porta 1863, sei que no proxy posso colocr o gateway.dll.

    Grato
    Seguinte.

    eu mi senti um topera agora.
    Olha so.

    Estou mascarando somente as portas necessárias. Portanto, preciso mascarar a conexão para o Ip que vai usar o MSN.
    Mas seguinte...
    Basta inserir uma linha pra cada máquina, referenciando o ip.

    -t nat -A POSTROUTING -s 192.168.0.171 -p tcp --dport 1863 -j MASQUERADE

    Abraço ai e segue uma nova dica caso alguem precise.




  3. #3
    Badfile
    Visitante

    Padrão Re: Liberando MSN [ RESOLVIDO ]

    topera é?
    você encontrou um meio de bloquear o msn ou é impressão minha?

  4. #4

    Padrão Re: Liberando MSN [ RESOLVIDO ]

    Sim, tem essa forma. Pelo menos no meu micro aqui num entrou nem a pau. Caiu a conexão do msn até.

    Mas algumas pessoas na rede estão navegando nele. Num sei porque, mas estou vendo meu squid.conf




  5. #5
    Badfile
    Visitante

    Padrão Re: Liberando MSN [ RESOLVIDO ]

    Interessante. Talvez estejam navegando usando proxy público, tudo na porta 80, já que você tem squid.
    Se precisar tenho uma lista com bloqueios de proxys.

  6. #6

    Padrão Re: Liberando MSN [ RESOLVIDO ]

    Se vc puder mi mandar, mas acho que seria interessante postar aqui tb, afinal vai auxiliar outras pessoas.

    Mas olha so, acho dificil estarem usando isso, pq eles podem usar o msn so que fica logado no servidor.

    O proxy ta com regras bem fortes em relação aos acessos, o unico ponto falho eh o orkut via https mesmo.




  7. #7
    Badfile
    Visitante

    Padrão Re: Liberando MSN [ RESOLVIDO ]

    Vou postar as listas num endereço alternativo. Algumas foram postadas aqui mesmo no Under por colegas.
    Para bloquear o orkut encontrei regras que devem ser implementadas no iptables. Dê uma olhada nos seguintes posts:

    https://under-linux.org/forum8-topic,22129.0.html
    https://under-linux.org/topic,19640.15.html

    Vou postar as listas num endereço alternativo, entre hoje e amanhã.