+ Responder ao Tópico



  1. #1

    Padrão Dúvida para bloquear MSN, EMULE e etc

    Como faço para BLOQUEAR o MSN, EMULE, LIMEWIRE, KAZAA entre outros e downloads de arquivos na INTERNET? Quero deixar apenas o UPDATE dos anti-virus. Já segui alguns tutoriais da INTERNET mais não obtive muito sucesso.

    Obrigado e aguardo qualquer orientação.

    Ps. Utilizo iptables e squid como proxy transparente.

  2. #2

    Padrão

    procure sobre layer 7!

    também estou tentando implementar aqui...



  3. #3

    Padrão

    Kra como todos esses aplicativos trabalham na camada 3 OSI pelo iptables vc resolve seu problema, é um poquim trabalhoso, + resolve, no caso basta vc descobrir a porta q eles trabalham e bloquea-los, vou t passar o exemplo do msn e limewere

    MSN
    Código :
    #---> Bloquea pra todos
    iptables -A FORWARD -d 192.168.1.0/24 -s loginnet.passport.com -j DROP
    iptables -A FORWARD -s 192.168.1.0/24 -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
    iptables -A FORWARD -d loginnet.passport.com -j REJECT
    iptables -t filter -A INPUT -d 72.232.16.75 -j DROP
    iptables -t filter -A FORWARD -d 72.232.16.75 -j DROP
    iptables -t filter -A OUTPUT -d 72.232.16.75 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 63.208.13.126 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 64.4.12.200 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 64.4.12.201 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.131.249 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.194.118 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.211.61 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.104.20 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.110.2 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 204.46.106.162 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 208.175.188.30 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.239.141 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.179.192 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.183.192 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.110.252 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.107.3 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.109.55 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.112.65 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.239.211 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.27.253 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.0.0/24 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.0.0/24 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 7001 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 65.54.239.211 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.27.253 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -d 207.46.107.3 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 1863:1864 -j DROP
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 6891:6901
    iptables -t mangle -A PREROUTING -s 192.168.1.0/24 -p TCP -m tcp --dport 5190

    Limewere
    Código :
    iptables -t filter -A FORWARD -p TCP --dport 6346 -j REJECT

    Ai vc adapta a sua necessidade, pelo menos o msn e limewere aki foram pro beleleu hehehehe

    Da uma olhada o guia foca tb se tiver duvida:
    Guia Foca GNU/Linux - Firewall iptables

  4. #4

    Padrão

    Tem um excelente tutorial do Layer 7 em Linux: Instalação do Layer7 no Debian Etch [Artigo]

    Apenas com uma linha de iptables é possível realizar o bloqueio....é uma mão-na-roda :P



  5. #5

    Padrão

    Caros colegas,

    Não seria bem melhor eu bloquear geral e liberar somente o que vou utilizar? Tipo as portas 80, 21, 110, 25 e 22. Pergunto pois bloquear somente o que me interessa parece ser bem complicado. Confesso que fico meio receioso em bloquear geral, pois posso acabar bloqueando algum programa que tenha update ou envio de dados via INTERNET e eu não saber qual porta os mesmos utilizam para libera-las.

    Obrigado a todos pela atenção e aguardo qualquer orientação.

  6. #6

    Padrão

    bom, seria sim.. mas e os quadrilhões de webmessengers? :P

    eu acredito que um firewall bom é o que faz um certo bloqueio geral, mas ainda não tive tempo de implementar e realizar testes..



  7. #7

    Padrão

    Citação Postado originalmente por _N3o_ Ver Post
    bom, seria sim.. mas e os quadrilhões de webmessengers? :P

    eu acredito que um firewall bom é o que faz um certo bloqueio geral, mas ainda não tive tempo de implementar e realizar testes..

    Respondendo a sua pergunta.... Na minha rede tenho o SQUID instalado e rodando "bonitinho". Aonde bloqueio tudo, tudo mesmo, os usuários só navegam nos sites que eu LIBERO e nada mais. O problema é o software do MSN que já está instalado na estação de trabalho.

    Obrigado pela sua atenção e qualque idéia me avise.

  8. #8

    Padrão Bloqueio Utilizando o Squid

    Amigo para bloquear o msn no squid, basta colocar na sua black list o seguinte termo:

    gateway.dll

    Vc pode criar uma acl conforme abaixo:

    acl MSN url_regex -i '/etc/squid/msn'

    onde dentro do arquivo msn tem:

    gateway.dll
    dstdomain
    loginnet.passaport.com
    passport.com
    sc.msn.com
    207.46.110.11
    messenger.msn.com.br
    http.msg.yahoo.com
    nickname.msn.com.br
    chat.msn.com
    chat.msn.com.br
    gateway.messenger.hotmail.com
    http1.msgr.hotmail.com
    http2.msgr.hotmail.com
    http3.msgr.hotmail.com
    http4.msgr.hotmail.com
    http5.msgr.hotmail.com
    http6.msgr.hotmail.com
    http7.msgr.hotmail.com
    http8.msgr.hotmail.com
    http9.msgr.hotmail.com
    http10.msgr.hotmail.com
    http11.msgr.hotmail.com
    http12.msgr.hotmail.com
    http13.msgr.hotmail.com
    http14.msgr.hotmail.com
    http15.msgr.hotmail.com
    http16.msgr.hotmail.com
    http17.msgr.hotmail.com
    http18.msgr.hotmail.com
    http19.msgr.hotmail.com
    http20.msgr.hotmail.com
    gateway.messenger.com
    audiowatcher.msn.com
    kickme.to/msnmessenger2go
    www.msn2go.com.br
    msnanywhere.com
    Web Instant Messenger - Your boss will never know!
    www.rabbitandpork.com/webmsn
    www.wbmsn.net
    www.wbmsn.net/default.aspx
    Webmsn.net
    www.webtal.com.br/imagens/msn.html
    filter.msn.com
    msn2go.com.br
    aicosoft.3322.org/msn/
    c.msn.com
    d.msn.com
    h.msn.com
    g.msn.com
    i.msn.com
    o.msn.com
    r.msn.com
    s.msn.com
    x.msn.com
    msnger.com
    zone.msn.com
    server2.msnger.com
    cb2.msn.com
    MSN2Go - Web-based MSN Messenger | MSN Web Messenger | Web-based MSN Client
    msn2go.com
    msn.audiowatcher.com
    a.sc.msn.com
    cb1.msn.com
    music.msn.com.br
    webmessenger.msn.com

    Para bloquear extensões você pode fazer, conforme abaixo:

    Crie a lista e escreva as extensões que você quer bloquear da seguinte maneira no arquivo:
    \.mp3$
    \.wav$
    \.pif$
    \.bat$

    O "\" é um eliminador de metacaracteres e serve para cancelar a função do ".". Já o "$" serve para que seja analizado até o final de string.

    Agora adicione a ACL no Squid que vai bloquear as extensões efetivamente, juntamente com o seu http_access:

    acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes"
    http_access deny extensoes


    Faça um teste e depois diga se funcionou.

    Abrçs.



  9. #9

    Padrão

    Citação Postado originalmente por usuario Ver Post
    Amigo para bloquear o msn no squid, basta colocar na sua black list o seguinte termo:

    gateway.dll

    Vc pode criar uma acl conforme abaixo:

    acl MSN url_regex -i '/etc/squid/msn'

    onde dentro do arquivo msn tem:

    gateway.dll
    dstdomain
    loginnet.passaport.com
    passport.com
    sc.msn.com
    207.46.110.11
    messenger.msn.com.br
    http.msg.yahoo.com
    nickname.msn.com.br
    chat.msn.com
    chat.msn.com.br
    gateway.messenger.hotmail.com
    http1.msgr.hotmail.com
    http2.msgr.hotmail.com
    http3.msgr.hotmail.com
    http4.msgr.hotmail.com
    http5.msgr.hotmail.com
    http6.msgr.hotmail.com
    http7.msgr.hotmail.com
    http8.msgr.hotmail.com
    http9.msgr.hotmail.com
    http10.msgr.hotmail.com
    http11.msgr.hotmail.com
    http12.msgr.hotmail.com
    http13.msgr.hotmail.com
    http14.msgr.hotmail.com
    http15.msgr.hotmail.com
    http16.msgr.hotmail.com
    http17.msgr.hotmail.com
    http18.msgr.hotmail.com
    http19.msgr.hotmail.com
    http20.msgr.hotmail.com
    gateway.messenger.com
    audiowatcher.msn.com
    kickme.to/msnmessenger2go
    MSN2Go.com.br - Seu MSN em qualquer lugar!
    msnanywhere.com
    Web Instant Messenger - Your boss will never know!
    www.rabbitandpork.com/webmsn
    www.wbmsn.net
    www.wbmsn.net/default.aspx
    Webmsn.net
    www.webtal.com.br/imagens/msn.html
    filter.msn.com
    msn2go.com.br
    aicosoft.3322.org/msn/
    c.msn.com
    d.msn.com
    h.msn.com
    g.msn.com
    i.msn.com
    o.msn.com
    r.msn.com
    s.msn.com
    x.msn.com
    msnger.com
    zone.msn.com
    server2.msnger.com
    cb2.msn.com
    MSN2Go - Web-based MSN Messenger | MSN Web Messenger | Web-based MSN Client
    msn2go.com
    msn.audiowatcher.com
    a.sc.msn.com
    cb1.msn.com
    music.msn.com.br
    webmessenger.msn.com

    Para bloquear extensões você pode fazer, conforme abaixo:

    Crie a lista e escreva as extensões que você quer bloquear da seguinte maneira no arquivo:
    \.mp3$
    \.wav$
    \.pif$
    \.bat$

    O "\" é um eliminador de metacaracteres e serve para cancelar a função do ".". Já o "$" serve para que seja analizado até o final de string.

    Agora adicione a ACL no Squid que vai bloquear as extensões efetivamente, juntamente com o seu http_access:

    acl extensoes urlpath_regex -i "/etc/squid/lists/extensoes"
    http_access deny extensoes


    Faça um teste e depois diga se funcionou.

    Abrçs.
    Beleza!

    Gostei da sua dica, mas consegui resolver o problema da seguinte forma: Bloquiei tudo e só liberei os sites referentes a trabalho. E para o msn criei uma acl com gateway.dll dentro de um arquivo e ficou tudo certo.

    Obrigado pela sua atenção.