Bloqueando totalmente o MSN com Squid + Iptables
Publicado por Diego Rodrigo Machado em 31/03/2006
[ Hits: 71.652 ]
Blog: http://www.bestlinux.com.br
Bloqueando totalmente o MSN com Squid + Iptables
Bom, escrevi esta dica a fim de ajudar um amigo aqui do VOL, que dizia que estava tendo problemas para bloquear o MSN, pois ele não conseguia bloqueá-lo mesmo seguindo algumas dicas.
Vamos seguir os seguintes passos:
1. Crie as seguintes regras no iptables:
# iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 1863 -j REJECT
# iptables -A FORWARD -s 192.168.1.0 -d loginnet.passport.com -j REJECT
Onde:
2. Crie as seguintes ACL's no Squid:
Edite o seu arquivo squid.conf e adicione as seguintes linhas:
Vamos seguir os seguintes passos:
1. Crie as seguintes regras no iptables:
# iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 1863 -j REJECT
# iptables -A FORWARD -s 192.168.1.0 -d loginnet.passport.com -j REJECT
Onde:
- 192.168.1.0: IP interno da sua Rede.
2. Crie as seguintes ACL's no Squid:
Edite o seu arquivo squid.conf e adicione as seguintes linhas:
acl HOST_MSN src 192.168.1.40/255.255.255.255
acl Negar_MSN dstdomain "/etc/squid/msn.txt"
acl Negar_MSN2 url_regex "/etc/squid/msn2.txt"
acl msn url_regex -i /gateway/gateway.dll
http_access allow HOST_MSN
http_access deny Negar_MSN
http_access deny Negar_MSN2
http_access deny msn
acl Negar_MSN dstdomain "/etc/squid/msn.txt"
acl Negar_MSN2 url_regex "/etc/squid/msn2.txt"
acl msn url_regex -i /gateway/gateway.dll
http_access allow HOST_MSN
http_access deny Negar_MSN
http_access deny Negar_MSN2
http_access deny msn
O arquivo msn.txt contém os principais endereços que o MSN usa para fazer autenticação. Crie-o, colocando o seguinte conteúdo:
passport.com
msn.com.br
msn.com
sc.msn.com
www.msn.be
207.46.110.11
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com
msn.com.br
msn.com
sc.msn.com
www.msn.be
207.46.110.11
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com
Crie também o arquivo msn2.txt, colocando o seguinte conteúdo:
x-msn
Pronto, você bloqueou totalmente o MSN.
Outras dicas deste autor
Fatec-SP Linux Install Fest 2005
Resolvendo problemas com HD SATA
Leitura recomendada
Projeto Root - Cifrando Dados com TrueCrypt
BIND: Ataque pode causar Negação de Serviço através do Dynamic Update
debsecan - Analisador de segurança do Debian
Corrigindo erros de chave pública no Debian (GPG)
Obtendo acesso a hosts internos de uma rede remota com SSH
Comentários
[1] Comentário enviado por dupotter em 31/03/2006 - 14:35h
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d messenger.hotmail.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1080 -j REJECT
além das regras do iptables, eu acrescentei mais estas, não sei se havia necessidade, mas tá funcionando pra mim (198.164.1.0 é minha rede interna)
Mas a dica tá ótima, mto boa msm.
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d messenger.hotmail.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1080 -j REJECT
além das regras do iptables, eu acrescentei mais estas, não sei se havia necessidade, mas tá funcionando pra mim (198.164.1.0 é minha rede interna)
Mas a dica tá ótima, mto boa msm.
[2] Comentário enviado por rebinat em 31/03/2006 - 15:39h
essa dica funciona com kernel 2.6???
Luiz Henrique
essa dica funciona com kernel 2.6???
Luiz Henrique
[4] Comentário enviado por pcnmota em 03/04/2006 - 17:40h
Veio como ficaria para liberar somente para alguns IPs?
Veio como ficaria para liberar somente para alguns IPs?
[5] Comentário enviado por bestlinux em 03/04/2006 - 17:47h
Cara...
Primeiro você precisa liberar o IP no squid. Faça o seguinte:
Crie um arquivo chamado msnlibera:
#touch msnlibera
Adicione os usuarios que você quer liberar dentro deste arquivo, exemplo:
bestlinux
diego
tux
Depois, adicione as seguintes acls no seu squid.conf:
acl msnlibera ident "/usr/local/squid/etc/msnlibera"
acl msn dst 207.46.110.0/24
http_access allow msnlibera msn
Lembre-se de troca o IP 207.46.110.0 pelo IP usado na sua rede...
Depois, você precisa criar a seguinte regra no iptables:
#iptables -t nat -A PREROUTING -s <o_ip_que_vc_quer_liberar> -p ALL -j ACCEPT
Falow !
Cara...
Primeiro você precisa liberar o IP no squid. Faça o seguinte:
Crie um arquivo chamado msnlibera:
#touch msnlibera
Adicione os usuarios que você quer liberar dentro deste arquivo, exemplo:
bestlinux
diego
tux
Depois, adicione as seguintes acls no seu squid.conf:
acl msnlibera ident "/usr/local/squid/etc/msnlibera"
acl msn dst 207.46.110.0/24
http_access allow msnlibera msn
Lembre-se de troca o IP 207.46.110.0 pelo IP usado na sua rede...
Depois, você precisa criar a seguinte regra no iptables:
#iptables -t nat -A PREROUTING -s <o_ip_que_vc_quer_liberar> -p ALL -j ACCEPT
Falow !
[6] Comentário enviado por gnomo_dead em 03/04/2006 - 18:03h
qdo se bloqueia o loginnet.passaport, nao dah pra bloquear qualquer tentativa de entrar no messenger nao neh?
Tipo, por sites como o meebo.com entra!?
qdo se bloqueia o loginnet.passaport, nao dah pra bloquear qualquer tentativa de entrar no messenger nao neh?
Tipo, por sites como o meebo.com entra!?
[7] Comentário enviado por bestlinux em 04/04/2006 - 09:14h
Sim....você esta bloqueando o endereço que todos os "clientes" usam para se autenticar....
Sim....você esta bloqueando o endereço que todos os "clientes" usam para se autenticar....
[8] Comentário enviado por bryeno em 15/05/2006 - 18:08h
tipo na empresa que trabalho as maquinas nao possuem ip fixo como eu faço pra bloquear entao ? pois tem pessoas que usam o msn pra trab com vendas online suporte entre outros queria criar tb uma lista de acesso para determinados membros ligados ao Active directory
quem souber da uma dica ae...
tipo na empresa que trabalho as maquinas nao possuem ip fixo como eu faço pra bloquear entao ? pois tem pessoas que usam o msn pra trab com vendas online suporte entre outros queria criar tb uma lista de acesso para determinados membros ligados ao Active directory
quem souber da uma dica ae...
[9] Comentário enviado por abfabricio em 21/07/2006 - 11:19h
Eu consigo bloquear o Orkut nas estações tbm??
Eu consigo bloquear o Orkut nas estações tbm??
[10] Comentário enviado por bruno_artur em 15/08/2006 - 17:54h
Essa regra bloqueia o acesso ao msn atraves de proxy anonimo?
Essa regra bloqueia o acesso ao msn atraves de proxy anonimo?
[11] Comentário enviado por glewber25 em 22/08/2006 - 17:35h
o meu bloqueio do msn esta funcionando normalmente e o meu proxy transparente esta barrando normal os sites na lista de bloqueados.So nao estou conseguindo liberar um Ip da minha rede para acessar os sites e o msn sem ser barrado pelo meu proxy
o meu bloqueio do msn esta funcionando normalmente e o meu proxy transparente esta barrando normal os sites na lista de bloqueados.So nao estou conseguindo liberar um Ip da minha rede para acessar os sites e o msn sem ser barrado pelo meu proxy
[12] Comentário enviado por edsb10 em 23/08/2006 - 11:11h
Pessoal eu não entendi essa a primeira acl=> acl HOST_MSN src 192.168.1.40/255.255.255.255 , alguem pode explicar essa acl?
Abraço a todos!!!!!
Eduardo
Pessoal eu não entendi essa a primeira acl=> acl HOST_MSN src 192.168.1.40/255.255.255.255 , alguem pode explicar essa acl?
Abraço a todos!!!!!
Eduardo
[13] Comentário enviado por robson.paviani em 25/08/2006 - 15:23h
ebsb10..
Essa regra ali é pra atribuir a acl HOST_MSN o endereço 192.168.1.40..
o 255.255.255.255 quer dizer que é apenas o ip .40 e não a rede ou parte dela..
aqui tem um link q explica direitinho:
http://www.guiadohardware.net/termos/mascara-de-sub-rede
depois ele dá um "http_access allow HOST_MSN" ANTES das regras de bloqueio... ou seja, o .40 vai poder acessar o MSN...
ebsb10..
Essa regra ali é pra atribuir a acl HOST_MSN o endereço 192.168.1.40..
o 255.255.255.255 quer dizer que é apenas o ip .40 e não a rede ou parte dela..
aqui tem um link q explica direitinho:
http://www.guiadohardware.net/termos/mascara-de-sub-rede
depois ele dá um "http_access allow HOST_MSN" ANTES das regras de bloqueio... ou seja, o .40 vai poder acessar o MSN...
[14] Comentário enviado por rafaelrls em 20/09/2006 - 10:35h
Senhores, Bom Dia!
Tenho um problema sério, os diretores da empresa em que trabalho querem por questões de segurança que os Terminal Serviçe seja bloqueado para da rede interna para fora, ou seja, eles desejam que os funcionários não consigam acessar as máquinas de casa(MAIS NÃO QUEREM O INVERSO). Desculpe se escrevi alguma besteira abaixo, mais segue os parâmetros que testei e não deu resultado. Alguém pode me ajudar???
iptables -A INPUT -s 192.168.13.0/24 -p tcp --dport 3389 -j DROP
iptables -A OUTPUT -p TCP -s 192.168.13.0/24 -s ! 192.168.13.100 --destination-port 5900 -j REJECT
Aguardo Retorno. Att.
Senhores, Bom Dia!
Tenho um problema sério, os diretores da empresa em que trabalho querem por questões de segurança que os Terminal Serviçe seja bloqueado para da rede interna para fora, ou seja, eles desejam que os funcionários não consigam acessar as máquinas de casa(MAIS NÃO QUEREM O INVERSO). Desculpe se escrevi alguma besteira abaixo, mais segue os parâmetros que testei e não deu resultado. Alguém pode me ajudar???
iptables -A INPUT -s 192.168.13.0/24 -p tcp --dport 3389 -j DROP
iptables -A OUTPUT -p TCP -s 192.168.13.0/24 -s ! 192.168.13.100 --destination-port 5900 -j REJECT
Aguardo Retorno. Att.
[15] Comentário enviado por aprendiz_ce em 25/09/2006 - 13:32h
Tem como bloquear o MSN de uma forma eficaz, mas sem o uso do SQUID?
Obrigado.
Tem como bloquear o MSN de uma forma eficaz, mas sem o uso do SQUID?
Obrigado.
[17] Comentário enviado por nil_anderson em 16/12/2007 - 23:26h
A documentação realmente é interessante, mas não acho que seja a melhor forma para bloqueio do MSN. São muitos servidores descritos. O simples fato de bloquear o "gateway.dll" já soluciona o caso.
No firewall deve-se bloquear simplesmente a porta TCP/1863 que de fato é a porta default da conexão MSN.
"Não há mistério..."
Fica ai a dica... em breve sairá a dica acima no site... ;)
A documentação realmente é interessante, mas não acho que seja a melhor forma para bloqueio do MSN. São muitos servidores descritos. O simples fato de bloquear o "gateway.dll" já soluciona o caso.
No firewall deve-se bloquear simplesmente a porta TCP/1863 que de fato é a porta default da conexão MSN.
"Não há mistério..."
Fica ai a dica... em breve sairá a dica acima no site... ;)
[18] Comentário enviado por py9mt em 21/01/2008 - 00:24h
Muito interessante, coloquei ake no meu proxy, funcionou 100%, valeu mesmo
Muito interessante, coloquei ake no meu proxy, funcionou 100%, valeu mesmo
[19] Comentário enviado por lusuave em 07/03/2008 - 20:55h
caro amigo..
nao estou conseguindo fazer funcionar no meu firewall.
essa regra funciona com proxy transparente??
eu acrescento essas linhas antes ou depois da linha que direciona a porta 80 para meu proxy??
obrigado
caro amigo..
nao estou conseguindo fazer funcionar no meu firewall.
essa regra funciona com proxy transparente??
eu acrescento essas linhas antes ou depois da linha que direciona a porta 80 para meu proxy??
obrigado
[20] Comentário enviado por tgomarino em 05/04/2008 - 13:54h
fora isso, eu gostaria de saber como eu faço para bloquear apenas um Lab, eu tenho dois Laborátorios e gostaria de bloquear site e acesso ao msn apenas em um LAB.
alguem pode me ajudar?
fora isso, eu gostaria de saber como eu faço para bloquear apenas um Lab, eu tenho dois Laborátorios e gostaria de bloquear site e acesso ao msn apenas em um LAB.
alguem pode me ajudar?
[22] Comentário enviado por Tacioandrade em 18/12/2009 - 17:56h
Só uma pergunta, pelo que eu vi, vocês fazendo isso bloqueiam o proprio site hotmail.com ou não????
Pois estou querendo bloquear o messenger do hotmail, mais o proprio hotmail tem que ser liberado.
=/
Eita dor de cabeça.
Só uma pergunta, pelo que eu vi, vocês fazendo isso bloqueiam o proprio site hotmail.com ou não????
Pois estou querendo bloquear o messenger do hotmail, mais o proprio hotmail tem que ser liberado.
=/
Eita dor de cabeça.
[23] Comentário enviado por ditsu em 18/04/2010 - 14:08h
ola amigo eu bloquiei a porta errada como q faz para desbloquear?
ola amigo eu bloquiei a porta errada como q faz para desbloquear?
[24] Comentário enviado por lf_sm em 01/12/2011 - 08:43h
Show de bola a dica, funcionou perfeitamente.
Show de bola a dica, funcionou perfeitamente.
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
SysAdmin ou DevOps: Qual curso inicial pra essa área? (0)
Melhores Práticas de Nomenclatura: Pastas, Arquivos e Código (3)
Top 10 do mês
-
Xerxes
1° lugar - 65.481 pts -
Fábio Berbert de Paula
2° lugar - 50.305 pts -
Buckminster
3° lugar - 17.395 pts -
Mauricio Ferrari
4° lugar - 15.397 pts -
Alberto Federman Neto.
5° lugar - 14.080 pts -
Diego Mendes Rodrigues
6° lugar - 13.335 pts -
Daniel Lara Souza
7° lugar - 12.674 pts -
edps
8° lugar - 10.849 pts -
Andre (pinduvoz)
9° lugar - 10.498 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.463 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
