Bloqueando totalmente o MSN com Squid + Iptables
Bom, escrevi esta dica a fim de ajudar um amigo aqui do VOL, que dizia que estava tendo problemas para bloquear o
MSN , pois ele não conseguia bloqueá-lo mesmo seguindo algumas dicas.
Vamos seguir os seguintes passos:
1. Crie as seguintes regras no
iptables :
# iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 1863 -j REJECT
# iptables -A FORWARD -s 192.168.1.0 -d loginnet.passport.com -j REJECT
Onde:
192.168.1.0: IP interno da sua Rede.
2. Crie as seguintes ACL's no
Squid :
Edite o seu arquivo squid.conf e adicione as seguintes linhas:
acl HOST_MSN src 192.168.1.40/255.255.255.255
acl Negar_MSN dstdomain "/etc/squid/msn.txt"
acl Negar_MSN2 url_regex "/etc/squid/msn2.txt"
acl msn url_regex -i /gateway/gateway.dll
http_access allow HOST_MSN
http_access deny Negar_MSN
http_access deny Negar_MSN2
http_access deny msn
O arquivo msn.txt contém os principais endereços que o MSN usa para fazer autenticação. Crie-o, colocando o seguinte conteúdo:
passport.com
msn.com.br
msn.com
sc.msn.com
www.msn.be
207.46.110.11
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com
Crie também o arquivo msn2.txt, colocando o seguinte conteúdo:
x-msn
Pronto, você bloqueou totalmente o MSN .
Outras dicas deste autor
Fatec-SP Linux Install Fest 2005
Usando o ed
Resolvendo problemas com HD SATA
Principais serviços do Linux
Fazendo backup com PostgreSQL
Leitura recomendada
Projeto Root - Cifrando Dados com TrueCrypt
BIND: Ataque pode causar Negação de Serviço através do Dynamic Update
debsecan - Analisador de segurança do Debian
Corrigindo erros de chave pública no Debian (GPG)
Obtendo acesso a hosts internos de uma rede remota com SSH
Comentários
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d messenger.hotmail.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1080 -j REJECT
além das regras do iptables, eu acrescentei mais estas, não sei se havia necessidade, mas tá funcionando pra mim (198.164.1.0 é minha rede interna)
Mas a dica tá ótima, mto boa msm.
essa dica funciona com kernel 2.6???
Luiz Henrique
Mensagem
essa dica funciona com kernel 2.6???
Luiz Henrique
Veio como ficaria para liberar somente para alguns IPs?
Mensagem
Veio como ficaria para liberar somente para alguns IPs?
Cara...
Primeiro você precisa liberar o IP no squid. Faça o seguinte:
Crie um arquivo chamado msnlibera:
#touch msnlibera
Adicione os usuarios que você quer liberar dentro deste arquivo, exemplo:
bestlinux
diego
tux
Depois, adicione as seguintes acls no seu squid.conf:
acl msnlibera ident "/usr/local/squid/etc/msnlibera"
acl msn dst 207.46.110.0/24
http_access allow msnlibera msn
Lembre-se de troca o IP 207.46.110.0 pelo IP usado na sua rede...
Depois, você precisa criar a seguinte regra no iptables:
#iptables -t nat -A PREROUTING -s <o_ip_que_vc_quer_liberar> -p ALL -j ACCEPT
Falow !
Mensagem
Cara...
Primeiro você precisa liberar o IP no squid. Faça o seguinte:
Crie um arquivo chamado msnlibera:
#touch msnlibera
Adicione os usuarios que você quer liberar dentro deste arquivo, exemplo:
bestlinux
diego
tux
Depois, adicione as seguintes acls no seu squid.conf:
acl msnlibera ident "/usr/local/squid/etc/msnlibera"
acl msn dst 207.46.110.0/24
http_access allow msnlibera msn
Lembre-se de troca o IP 207.46.110.0 pelo IP usado na sua rede...
Depois, você precisa criar a seguinte regra no iptables:
#iptables -t nat -A PREROUTING -s <o_ip_que_vc_quer_liberar> -p ALL -j ACCEPT
Falow !
qdo se bloqueia o loginnet.passaport, nao dah pra bloquear qualquer tentativa de entrar no messenger nao neh?
Tipo, por sites como o meebo.com entra!?
Mensagem
qdo se bloqueia o loginnet.passaport, nao dah pra bloquear qualquer tentativa de entrar no messenger nao neh?
Tipo, por sites como o meebo.com entra!?
Sim....você esta bloqueando o endereço que todos os "clientes" usam para se autenticar....
Mensagem
Sim....você esta bloqueando o endereço que todos os "clientes" usam para se autenticar....
tipo na empresa que trabalho as maquinas nao possuem ip fixo como eu faço pra bloquear entao ? pois tem pessoas que usam o msn pra trab com vendas online suporte entre outros queria criar tb uma lista de acesso para determinados membros ligados ao Active directory
quem souber da uma dica ae...
Mensagem
tipo na empresa que trabalho as maquinas nao possuem ip fixo como eu faço pra bloquear entao ? pois tem pessoas que usam o msn pra trab com vendas online suporte entre outros queria criar tb uma lista de acesso para determinados membros ligados ao Active directory
quem souber da uma dica ae...
Eu consigo bloquear o Orkut nas estações tbm??
Mensagem
Eu consigo bloquear o Orkut nas estações tbm??
Essa regra bloqueia o acesso ao msn atraves de proxy anonimo?
Mensagem
Essa regra bloqueia o acesso ao msn atraves de proxy anonimo?
o meu bloqueio do msn esta funcionando normalmente e o meu proxy transparente esta barrando normal os sites na lista de bloqueados.So nao estou conseguindo liberar um Ip da minha rede para acessar os sites e o msn sem ser barrado pelo meu proxy
Mensagem
o meu bloqueio do msn esta funcionando normalmente e o meu proxy transparente esta barrando normal os sites na lista de bloqueados.So nao estou conseguindo liberar um Ip da minha rede para acessar os sites e o msn sem ser barrado pelo meu proxy
Pessoal eu não entendi essa a primeira acl=> acl HOST_MSN src 192.168.1.40/255.255.255.255 , alguem pode explicar essa acl?
Abraço a todos!!!!!
Eduardo
Mensagem
Pessoal eu não entendi essa a primeira acl=> acl HOST_MSN src 192.168.1.40/255.255.255.255 , alguem pode explicar essa acl?
Abraço a todos!!!!!
Eduardo
ebsb10..
Essa regra ali é pra atribuir a acl HOST_MSN o endereço 192.168.1.40..
o 255.255.255.255 quer dizer que é apenas o ip .40 e não a rede ou parte dela..
aqui tem um link q explica direitinho:
http://www.guiadohardware.net/termos/mascara-de-sub-rede
depois ele dá um "http_access allow HOST_MSN" ANTES das regras de bloqueio... ou seja, o .40 vai poder acessar o MSN...
Mensagem
ebsb10..
Essa regra ali é pra atribuir a acl HOST_MSN o endereço 192.168.1.40..
o 255.255.255.255 quer dizer que é apenas o ip .40 e não a rede ou parte dela..
aqui tem um link q explica direitinho:
http://www.guiadohardware.net/termos/mascara-de-sub-rede
depois ele dá um "http_access allow HOST_MSN" ANTES das regras de bloqueio... ou seja, o .40 vai poder acessar o MSN...
Senhores, Bom Dia!
Tenho um problema sério, os diretores da empresa em que trabalho querem por questões de segurança que os Terminal Serviçe seja bloqueado para da rede interna para fora, ou seja, eles desejam que os funcionários não consigam acessar as máquinas de casa(MAIS NÃO QUEREM O INVERSO). Desculpe se escrevi alguma besteira abaixo, mais segue os parâmetros que testei e não deu resultado. Alguém pode me ajudar???
iptables -A INPUT -s 192.168.13.0/24 -p tcp --dport 3389 -j DROP
iptables -A OUTPUT -p TCP -s 192.168.13.0/24 -s ! 192.168.13.100 --destination-port 5900 -j REJECT
Aguardo Retorno. Att.
Mensagem
Senhores, Bom Dia!
Tenho um problema sério, os diretores da empresa em que trabalho querem por questões de segurança que os Terminal Serviçe seja bloqueado para da rede interna para fora, ou seja, eles desejam que os funcionários não consigam acessar as máquinas de casa(MAIS NÃO QUEREM O INVERSO). Desculpe se escrevi alguma besteira abaixo, mais segue os parâmetros que testei e não deu resultado. Alguém pode me ajudar???
iptables -A INPUT -s 192.168.13.0/24 -p tcp --dport 3389 -j DROP
iptables -A OUTPUT -p TCP -s 192.168.13.0/24 -s ! 192.168.13.100 --destination-port 5900 -j REJECT
Aguardo Retorno. Att.
Tem como bloquear o MSN de uma forma eficaz, mas sem o uso do SQUID?
Obrigado.
Mensagem
Tem como bloquear o MSN de uma forma eficaz, mas sem o uso do SQUID?
Obrigado.
onde fica o iptables?
Mensagem
onde fica o iptables?
A documentação realmente é interessante, mas não acho que seja a melhor forma para bloqueio do MSN. São muitos servidores descritos. O simples fato de bloquear o "gateway.dll" já soluciona o caso.
No firewall deve-se bloquear simplesmente a porta TCP/1863 que de fato é a porta default da conexão MSN.
"Não há mistério..."
Fica ai a dica... em breve sairá a dica acima no site... ;)
Mensagem
A documentação realmente é interessante, mas não acho que seja a melhor forma para bloqueio do MSN. São muitos servidores descritos. O simples fato de bloquear o "gateway.dll" já soluciona o caso.
No firewall deve-se bloquear simplesmente a porta TCP/1863 que de fato é a porta default da conexão MSN.
"Não há mistério..."
Fica ai a dica... em breve sairá a dica acima no site... ;)
Muito interessante, coloquei ake no meu proxy, funcionou 100%, valeu mesmo
Mensagem
Muito interessante, coloquei ake no meu proxy, funcionou 100%, valeu mesmo
caro amigo..
nao estou conseguindo fazer funcionar no meu firewall.
essa regra funciona com proxy transparente??
eu acrescento essas linhas antes ou depois da linha que direciona a porta 80 para meu proxy??
obrigado
Mensagem
caro amigo..
nao estou conseguindo fazer funcionar no meu firewall.
essa regra funciona com proxy transparente??
eu acrescento essas linhas antes ou depois da linha que direciona a porta 80 para meu proxy??
obrigado
fora isso, eu gostaria de saber como eu faço para bloquear apenas um Lab, eu tenho dois Laborátorios e gostaria de bloquear site e acesso ao msn apenas em um LAB.
alguem pode me ajudar?
Mensagem
fora isso, eu gostaria de saber como eu faço para bloquear apenas um Lab, eu tenho dois Laborátorios e gostaria de bloquear site e acesso ao msn apenas em um LAB.
alguem pode me ajudar?
funciona com webmessengers?
Mensagem
funciona com webmessengers?
Só uma pergunta, pelo que eu vi, vocês fazendo isso bloqueiam o proprio site hotmail.com ou não????
Pois estou querendo bloquear o messenger do hotmail, mais o proprio hotmail tem que ser liberado.
=/
Eita dor de cabeça.
Mensagem
Só uma pergunta, pelo que eu vi, vocês fazendo isso bloqueiam o proprio site hotmail.com ou não????
Pois estou querendo bloquear o messenger do hotmail, mais o proprio hotmail tem que ser liberado.
=/
Eita dor de cabeça.
ola amigo eu bloquiei a porta errada como q faz para desbloquear?
Mensagem
ola amigo eu bloquiei a porta errada como q faz para desbloquear?
Show de bola a dica, funcionou perfeitamente.
Mensagem
Show de bola a dica, funcionou perfeitamente.
Contribuir com comentário
Enviar