Alguém conseguiu de fato bloquear o msn?

[new_linuxer]

olá amigos
gostaria de saber se alguém de fato consegui bloquear o msn
já usei as seguintes regras

iptables -A FORWARD -s rede -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s rede -d loginnet.passport.com -j REJECT

acl msn url_regex -i /gateway/gateway.dll

E depois para bloquear:


http_access deny msn

o msn na primeira vez não conecta, mas na segunda tentativa consegue conectar...
que posso fazer? sera que existe algum jeito de fazer isso no linux?

[chakalt]

Cinceramente não acredito que estou lendo isso de novo novamente mais uma vez acho que as pessoa antes de postar alguma coisa...pesquisar antes é bom....olha amigo depois que li sua pergunta fiz uma pesquisa e achei mais de 10 dicas só aki no site agora c vc quer tudo na mão a i complica acho que um profissional em linux tem que ser muito curioso c não não vai........ta dado o recado!!! :good:

[new_linuxer]

Cinceramente não acredito que estou lendo isso de novo novamente mais uma vez acho que as pessoa antes de postar alguma coisa...pesquisar antes é bom....olha amigo depois que li sua pergunta fiz uma pesquisa e achei mais de 10 dicas só aki no site agora c vc quer tudo na mão a i complica acho que um profissional em linux tem que ser muito curioso c não não vai........ta dado o recado!!! :good:

então amigo...esse é o problema...eu tb axei vários topicos ate viu...mais acontece que não está funcionando...ai to querendo saber...
se pode ser alguma coisa relacionada aqui com a minha distro ou se esse bloqueio do msn não funciona mesmo...
KARA EU AXEI AQUI VÁRIOS POSTS SIM
só que fiz e num funciono

[chakalt]

A sim irmão então blz!!!
vamu la então vo TENTAR te ajudar me diga ai qual é sua distro e o que vc ta usando(iptables,squid ou qual desses derivados) ?????

[new_linuxer]

A sim irmão então blz!!!
vamu la então vo TENTAR te ajudar me diga ai qual é sua distro e o que vc ta usando(iptables,squid ou qual desses derivados) ?????

tudo blz irmão...
to usando o fedora core 4
tem iptables, proxy transparent...

[chakalt]

Tenta bloquear a porta 80 da certo!

[chakalt]

bLOQUEI A PORTA 80,3128,4463 pra ver no que é que da 6)

[new_linuxer]

bLOQUEI A PORTA 80,3128,4463 pra ver no que é que da 6)

xi nadinha....

[acadori]

Cara vc pode utilizar o squid para fazer isso e criar uma acl
:@: 6)

[douglas_web]

Tente usar a seguinte regra também no squid

acl messenger req_mime_type ^application/x-msn-messenger$
http_access deny messenger


se não funcionar, vc vai ter que bloquear tb o hotmail, porque o passport vincula o hotmail com o msn.

Mas deve funcionar.

[Bruno]

bloqueia a palavra gateway.dll no squid

[c74yt0n]

Uso uma acl assim:

acl msn url_regex -i loginnet.passport.com nexus.passport.com services.msn.com bay7.oe.hotmail.com gateway.messenger.hotmail.com oe.hotmail.com webmessenger.net e-messenger.net gateway.dll

http_access deny msn

E no iptables:
-A FORWARD -p tcp -m state --state NEW -m tcp --dport 1863 -j REJECT --reject-with icmp-host-prohibited

Conosco tem funcionado.

[]'s

[Brenno]

https://under-linux.org/noticia4730.html

leia esse artigo e os poste nele, fui eu que escrevi, se mesmo assim não conseguir, posta ae que eu te ajudo.. abraço

[rootmaster]

olá

o msn usa a porta 1863 para se conectar caso não consiga estabelecer
comunicação ele procura na porta 80 os outros servidores....

então

bloquei a porta 1863, e bloquei a porta 80 e cire uma acl com as palavras usadas
nos servidores do msn como,

gateway.dll ,msn ,menssager, etc.

fiz isso e bloqueou ...

espero ter ajudado...

hehehe, essa é a grande dor de cabeça de muita gente e a cada versão as incansáveis regras do squid acabam sendo furradas.

Seguinte pessoal, depois de muito estudar o caso e passar horas mesmos fazendo refinamentos, o único jeito de bloquear o msn pelo squid é esse aqui.

Antes de criar as novas acls adicionar mais uma porta para a acl Safe_ports.

acl Safe_ports port 1863 # Messenger

Agora vamos criar as nossas.

# MSN
acl msn dstdomain "/etc/squid/acls/msn"
Nessa acl adicionar os endereços de conexão do messenger
gateway.messenger.hotmail.com
messenger.hotmail.com
webmessenger.msn.com
messenger.msn.com
g.msn.com
svcs.microsoft.com
microsoft.com
msn.com.br
msn.com
rad.msn.com
loginnet.passport.com
passportimages.com

acl msndst dst "/etc/squid/acls/msndst"
Aqui está o segredo do negócio. Observe que quando vc conecta no messenger a sua estação estabelece conexão com um ip da faixa 207.x.x.x.
Então alimente o esta acl com o valor

207.0.0.0./8

Sei que esta rede é classe C mas só funcionou pondo como classe A

acl msnhosts src "/etc/squid/acls/msnhosts"
Nesta acl alimente os ips que vão ser liberados para acessar o messenger.

192.168.1.10
192.168.1.55
...

# Liberar hosts para msn
http_access allow msnhosts msn
http_access allow msnhosts msndst

Bom, é isso ai, trabalhe com suas demais regras e prontinho. Ponha essas regras no inicio dos http_access antes de liberar sua rede para navegação. Não precisa fazer deny em nemhuma das regras, mas se quizer faça assim.

http_access allow msnhosts msn
http_access allow msnhosts msndst
http_access deny msndst

Obs.: No seu iptables bloquei a saida na porta 1863 e porta 80 se seu proxy não for transparente. E assim vc vai forçar a saida de HTTP e Messenger pelo proxy configurando o seu browser manualmente.

Caso seu proxy seja transparente só basta bloquear a porta 1863 já que vc está redirecionando toda conexão HTTP para o seu proxy.

Com certeza isso vai dar certo, tenho trocentos servidores e funfa 100%.

valeu!

[pssgyn]

Amigo, eu apenas fiquei acompanhando pelo /var/log/squid/access.log onde o usuário se conecta no Messenger. Daí prá frente foi fácil bloquear pelo Squid. As dicas escritas acima pelos nossos membros do Underlinux, funcionam perfeitas. Funciona na empresa, onde trabalho, tem mais de 3 anos. Outra coisa que fizemos para bloquear ou liberar quem pode ou não ter acesso no msn : Criamos somente um usuário que pode ter acesso no msn. Então na hora de configurar o msn do usuário , na opção de conexão no msn, nós colocamos o usuário que o msn pede para passar pelo proxy. Quando não queremos que ninguém acesse o msn, simplesmente mudamos a senha desse usuário que nós criamos. E é batata mesmo. Neguinho fica uma arara com a gente. Mas temos o controle do msn , numa boa. Mas as dicas que escreveram funcionam corretamente. O MSN hoje não é mais mistério no Linux não. É molinho bloquear pelo Squid que eu considero um serviço bem flexível no Linux. É uma questão de você tentar, testar, testar, mudar, ter paciência, que você vai chegar lá com certeza. É como eu escrevi no início : veja aonde o usuário se conecta no msn pelo /var/log/squid/access.log e comece a fazer a sua lista de bloqueio. Se bem que o usuário visitante já passou todas as url's onde o msn se conecta. Aí é somente você ir prá galera, comemorarrrrrrrrrrrr ......... Hoje tenho o sentimento que tenho é de que no Linux a gente controla qualquer coisa. É questão de estudar mesmo. Mas o Linux nos permite fazer coisas inimagináveis, que a M$ não tem.
Um grande abraço ......... :good: 8)

[mistymst]

o ralado disso tudo eh o seguinte, o msn ta dentro do bloco da microsoft, se quiser bloquear o msn (de um jeito hard ou de outro) eh soh bloquear a classe b deles, e liberar os ips que sao do www.microsoft.com e windowsupdate.microsoft.com ou seja, so o q interessa, mas entretanto isso e em caso de nao conseguires bloquear de outra maneira, por bem ou mal eh uma solucao um pouco "hard" e mesmo assim nao bloqueia os webmessengers...

para quem nao sabe esses sao os blocos da microsoft:

bruno-benchimols-powerbook-g4-12:~ brunobenchimol$ whois 207.68.183.32

OrgName: Microsoft Corp
OrgID: MSFT
Address: One Microsoft Way
City: Redmond
StateProv: WA
PostalCode: 98052
Country: US

NetRange: 207.68.128.0 - 207.68.207.255
CIDR: 207.68.128.0/18, 207.68.192.0/20
NetName: MICROSOFT-CORP-MSN-BLK
NetHandle: NET-207-68-128-0-1
Parent: NET-207-0-0-0-0
NetType: Direct Allocation
NameServer: NS1.MSFT.NET
NameServer: NS5.MSFT.NET
NameServer: NS2.MSFT.NET
NameServer: NS3.MSFT.NET
NameServer: NS4.MSFT.NET
Comment:
RegDate: 1996-03-26
Updated: 2005-06-29

RTechHandle: ZM39-ARIN
RTechName: Microsoft
RTechPhone: +1-425-882-8080
RTechEmail: [email protected]

OrgAbuseHandle: HOTMA-ARIN
OrgAbuseName: Hotmail Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]

OrgAbuseHandle: MSNAB-ARIN
OrgAbuseName: MSN ABUSE
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]

OrgAbuseHandle: ABUSE231-ARIN
OrgAbuseName: Abuse
OrgAbusePhone: +1-425-882-8080
OrgAbuseEmail: [email protected]

OrgNOCHandle: ZM23-ARIN
OrgNOCName: Microsoft Corporation
OrgNOCPhone: +1-425-882-8080
OrgNOCEmail: [email protected]

OrgTechHandle: MSFTP-ARIN
OrgTechName: MSFT-POC
OrgTechPhone: +1-425-882-8080
OrgTechEmail: [email protected]

# ARIN WHOIS database, last updated 2005-11-18 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.
bruno-benchimols-powerbook-g4-12:~ brunobenchimol$

basicamente:

CIDR: 207.68.128.0/18, 207.68.192.0/20

[pssgyn]

Mistymst, boa tarde meu caro.
Não sei, talvez eu esteja dando palpites malucos. Mas podemos notar que determinados tópicos são corriqueiros, repetitivos e sempre vem a tona. Tipo bloquear msn, squid não bloqueia, regra de iptables para isso, aquilo e aquilo outro. Mas podes notar que são temas bem comuns. Será que não teria como no home do Underlinux ficar algo fixo, que chamasse a atenção dos usuários e membros para irem direto nesses tópicos ??? Não sei se estou falando besteiras. Se eu estiver, perdoe-me por favor. Mas temos volta e meia usuários perguntando coisas bem repetitivas. Eles não tem culpa. São usuários querendo saber, aprender e principalmente solucionar. Nós brasileiros, por características nossas, somos do tipo deixar tudo para última hora. Tipo : fazer inscrição no último dia de algum concurso e enfrentar fila, entregar uma declaração no último dia e enfrentar fila, tomar o remédio e depois ler a bula. Coisas de Brasil e brasileiros. Creio que o Underlinux que é formado por excelentes moderadores e principalmente pessoas de muito gabarito e conhecimentos em Linux, poderiam de repente analisar essa questão. O Underlinux hoje é talvez o site mais visitado no Brasil sobre Linux. E usuário é usuário. Eu trabalho com isso todos os dias. As vezes é chato responder as mesmas questões. Mas elas vão sempre existir. E temos que ter paciência e perseverança para responder. As vezes vemos alguns membros com respostas um tanto ríspidas. Faz parte. O usuário quer conhecer. Quer também dominar um sistema operacional que é fabuloso, mas muito complexo nos detalhes. Não estamos falando de windows, que é um treco que você vai instalar e vai no next, next, next, next, e finish. Nós sabemos disso. Acho que o Underlinux, através dos nossos moderadores e principalmente os colaboradores mais ativos pensem nessa questão.
Espero não estar polemizando nada. O Underlinux hoje é ponto de referência sobre o Linux. E isso torna o site muito visitado e com pessoas as vezes desesperadas por soluções. Eu mesmo já passei por isso várias vezes. Claro que estudar, testar, retestar e chegar lá é uma vitória.
Um grande abraço caro amigo. Fique com Deus ...... :good:

[silmar]

Concordo de Fixar esses tipos de duvida.
Por exemplo quando era a merda do msn 6.0 era muito facil de bloquer mas agora com o 7x esta muito dificil de bloquear

Por exemplo o meu firewall

ta assim

/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe iptable_nat
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
/sbin/iptables -t nat -F POSTROUTING
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP


######################### Bloquear MSN Messenger
/sbin/iptables -A FORWARD -p TCP --dport 1863 -j DROP
/sbin/iptables -A FORWARD -d 64.4.13.0/24 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.31.0/24 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.31.0/24 -d loginnet.passport.com -j REJECT

CHATPORT="1863,5190"
/sbin/iptables -A FORWARD -p tcp -m multiport --dport ${CHATPORT} -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.31.0/0 -d 207.46.110.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.31.0/0 -d 207.46.104.0/24 -j DROP
/sbin/iptables -A FORWARD -p tcp -s 192.168.31.0/0 -d 64.4.13.0/24 -j DROP
/sbin/iptables -A FORWARD -d messenger.hotmail.com -j REJECT
/sbin/iptables -A FORWARD -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
/sbin/iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 63.208.13.126 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.200 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 64.4.12.201 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.131.249 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.194.118 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 65.54.211.61 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.104.20 -j DROP
/sbin/iptables -t mangle -A PREROUTING -d 207.46.110.2 -j DROP


e por ultimo

######################### Regra de NAT
/sbin/iptables -t nat -A POSTROUTING -j MASQUERADE

######################### Regras de entrada
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 21 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 25 -j ACCEPT
#sbin/iptables -A INPUT -p tcp --dport 53 -j ACCEPT
#sbin/iptables -A INPUT -p udp --dport 53 -j ACCEPT
#sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 110 -j ACCEPT
/sbin/iptables -A INPUT -s 192.168.31.0/24 -j ACCEPT
############ Regras de passagem
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.31.0/24 -j ACCEPT

e não funca .. ja tentei de varios modos e nada .. he he da raiva ... 6) 6)

[silmar]

Agora nesse mesmo post tem falado sobre usar o squid.
Se fizermos isso o IPTABLES não fará seu papel e ou função de segurança