Bloquear MSN no Coyote

[fpmazzi]

Ola Pessoal, eu li o artigo do willian e gostei muito, ainda nao deu tempo de testar, mas como bons administradores, tenho que te pergunta pra poder fazer algo completo gostaria de sber, se ao bloquear o msn pelo squid, como fazer para pode habilitar o acesso a um ou outro usuario??

Grato Fabio

[Rodrigo PIssin]

Bom no meu caso eu uso squid e iptables, mas pelo squid bloquiei e liberei para alguns ips pela regra, nem precisei bloquear a porta. apenas o loginnet.passport e tal.. mas o detalhe, como aqui na faculdade vários usuarios usam o e-mail do hotmail e os mesmos autenticam neste mesmo endereço do loginnet.passport, agora como faria para separar a autenticação feita atravez do programa msn messenger da autenticação feita via browser!! fica ae a minha duvida! se alguem puder ajudar eu agradeço!!

[oslnx]

lacierdias, nao critique outras distros, cada um usa a que tem mais a manha, se ele gosta de coyote deixa ele usar,

vamo la amigo, eu ja consegui bloquear o MSN uma vez na rede da UERJ, eu tive que fazer FORWARD das classes do MSN pra 127.0.0.1, e as portas do msn tambem, dai eu dou REJECT de 127.0.0.1

se nao souber como fazer ou nao entendeu me fala que eu te faco as regras, abracos

[muganga]

coloquei as seguintes regras para bloquear MSN mas nao deu certo

#Regra para bloquear MSN
iptables -A FORWARD -s 10.1.1.0/24 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 10.1.1.0/24 -p TCP --dport 1863 -j REJECT

olha a saida do meu iptables -L

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT tcp -- 0.0.0.0/24 200.201.174.209 tcp dpt:http
ACCEPT tcp -- 0.0.0.0/24 200.201.174.208 tcp dpt:http
ACCEPT tcp -- 0.0.0.0/24 200.201.174.207 tcp dpt:http
ACCEPT tcp -- 0.0.0.0/24 200.201.174.206 tcp dpt:http
ACCEPT tcp -- 0.0.0.0/24 200.201.174.205 tcp dpt:http
ACCEPT tcp -- 0.0.0.0/24 200.201.174.204 tcp dpt:http
ACCEPT tcp -- 0.0.0.0/24 200.201.174.203 tcp dpt:http
ACCEPT tcp -- 0.0.0.0/24 200.201.174.202 tcp dpt:http
DROP tcp -- anywhere anywhere tcp dpt:135
DROP udp -- anywhere anywhere udp dpt:135
DROP udp -- anywhere anywhere udp dpt:netbios-ns
DROP udp -- anywhere anywhere udp dpt:netbios-dgm
DROP tcp -- anywhere anywhere tcp dpt:netbios-ssn
DROP udp -- anywhere anywhere udp dpt:microsoft-ds
DROP tcp -- anywhere anywhere tcp dpt:microsoft-ds
DROP tcp -- anywhere anywhere tcp dpt:593
DROP all -- 7206-1-ric-64-83-28-77-serial.t1.cavtel.net anywhere
DROP all -- anywhere 7206-1-ric-64-83-28-77-serial.t1.cavtel.net
DROP all -- anywhere 200.221.7.2
DROP all -- anywhere ah1-p4sva-3.advancedhosters.com
REJECT all -- 10.1.1.0/24 loginnet.passport.comreject-with icmp-port-unreachable
REJECT all -- 10.1.1.0/24 loginnet.passport.comreject-with icmp-port-unreachable
REJECT tcp -- 10.1.1.0/24 anywhere tcp dpt:1863 reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


valew a todos

Muganga

[oslnx]

coe amigao, e' facil filtrar, o brabo e' que a microsoft disponibiliza varias classes para login no msn, ate para dificultar os admins a filtrarem essa praga

iptables -t nat -I FORWARD -p tcp --dport 1863 -s 0/0 -d 0/0 -j DROP
iptables -t nat -I FORWARD -p all -s 0/0 -d 207.46.106.0/24 -j DROP
iptables -t nat -I FORWARD -p all -s 0/0 -d 207.46.110.0/24 -j DROP
iptables -t nat -I FORWARD -p all -s 0/0 -d 207.68.178.0/24 -j DROP
iptables -t nat -I FORWARD -p all -s 0/0 -d 65.54.179.0/24 -j DROP
iptables -t nat -I FORWARD -p all -s 0/0 -d 65.54.183.0/24 -j DROP

dai segue as regras, vai tentando conectar e dando netstat, vai fechando todas as classes, uma hora vai acabar, se nao me engano nao faltam muitas, eu achei essas pra voce, abracos, se fechar todas e nao funfar me avisa ai que a gente da um jeito

[barata_branca]

boa noite galera, eu estou enfrentando alguns problemas com o slack 9.1 instalado aki na ksa de um amigo... quando eu inicio ele, mostra uma serie de erros, fechando as aplicacoes... SIGSEV 11... ai vai o backtrace de um...

(no debugging symbols found)...(no debugging symbols found)...
(no debugging symbols found)...(no debugging symbols found)...
(no debugging symbols found)...(no debugging symbols found)...
(no debugging symbols found)...(no debugging symbols found)...
(no debugging symbols found)...(no debugging symbols found)...
(no debugging symbols found)...(no debugging symbols found)...[New Thread 16384 (LWP 1109)]

0x40f535c9 in waitpid () from /lib/libpthread.so.0
#0 0x40f535c9 in waitpid () from /lib/libpthread.so.0
#1 0x4063f9ed in KCrash::defaultCrashHandler(int) ()
from /opt/kde/lib/libkdecore.so.4
#2 0x40f51c45 in __pthread_sighandler () from /lib/libpthread.so.0
#3 <signal handler called>
#4 0x411f169a in glXChannelRectSyncSGIX () from /usr/lib/./libGL.so.1
#5 0x08065ad0 in ?? ()
#6 0x40914b9b in qt_cleanup() () from /usr/lib/qt/lib/libqt-mt.so.3
#7 0x4097af84 in QApplication::~QApplication() ()
from /usr/lib/qt/lib/libqt-mt.so.3
#8 0x405c74c0 in KApplication::~KApplication() ()
from /opt/kde/lib/libkdecore.so.4
#9 0x41bbaadc in main () from /opt/kde/lib/konqueror.so
#10 0x0804cbe1 in strcpy ()
#11 0x0804da09 in strcpy ()
#12 0x0804de8c in strcpy ()
#13 0x0804ec3a in strcpy ()
#14 0x410a1d06 in __libc_start_main () from /lib/libc.so.6



Que raios [e isso????

[oslnx]

pode ser trojan, alguem neste servidor DEVE ter rodado algum binario "infectado" como root, agora nao sei se existem trojans que se aplicam a libs tambem ate hoje so vi com binarios com +x, mas quem sabe ...
instala o clamav ou algum outro anti virus pra linux, se nao der jeito, tenta reinstalar essas libs que tao dando pau, se nao der jeito, vai ter que formatar

[Adriano ch0wn]

Po galera, eu nao quero complicar muito nao.
Tava passando aqui na uln, e vi esse tópico aqui do lado.

Não vou escrever os passos aqui, mas um modo prático seria aplicar o patch POM (patch-o-matic) do IPTables, utilizar o módulo "string" nele, que vai resolver.

Com esse módulo, vc captura pacotes com determinadas "strings" dentro, e ajuda muito.

Como disse, o procedimento nao vou passar aqui.
Uma regra seria

iptables -A FORWARD -m string --string "msn" -j DROP

QUALQUER pacote que passar com a string "msn", vai ser derrubado.

Aí vem alguem e diz "mas isso vai barrar o meu usuário de acessar o webmail dele do hotmail, mesmo que seja pelo squid".

certo.
iptables -A FORWARD -p tcp --dport ! 80 -m string --string "msn" -j DROP

com isso, qualquer pacote que não esteja passando na 80, vai ser droppado (que coisa feia)

é + - isso.

provavelmente nao vou ver alguma resposta, qquer coisa, falem com o william

[]z

Adriano ch0wn.

[wrochal]

Caro Ch0wn,

Um detalhe que ja testei o modulo string se não souber configurar, o mesmo fica lento, mas recomendo bloquear com a seguinte string:

application/x-msn-messenger
gateway.dll

Essa duas seriam ideal.

falou,

Oi Pessoal, aqui na escola consegui bloquear o messeger bloqueando no squid a url "gateway.messenger.hotmail.com"

Abraços
Marcelo