Bloquear MSN Messenger

Dica publicada em Linux / Segurança

Por Andre Luiz Inacio em 20/10/2005

Hits: 60.405 Categoria: Linux Subcategoria: Segurança

Bloquear MSN Messenger

Olá pessoal, iniciando no mundo Linux e fascinado com sua potencialidade, inicio o meu primeiro tutorial ou seria melhor dizer, dica.

Cansado de procurar por soluções para bloquear o Messenger na minha rede e deparar com muitas, mais nenhuma viável - algumas até que funcionavam, mas eram regras extensas onde achava que poluíam muito a minha regra. Então resolvi sentar e pensar em uma solução mais limpa e funcional e depois de analisar muitos logs, consegui chegar à regra que agora passo para vocês. Espero ajudar e tornar sua pesquisa mais fácil e que ela acabe aqui. Bom vamos à regra.

Primeiro usei a seguinte regra no iptables. O ideal é bloquear o endereço que ele usa para autenticar:

iptables -A FORWARD -s rede -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s rede -d loginnet.passport.com -j REJECT

Onde:

rede = (192.168.0.0/24) exemplo de rede interna.

Para liberar para uma determinada máquina, use a seguinte regra:

iptables -A FORWARD -s 192.168.0.2/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/24 -d loginnet.passport.com -j ACCEPT

Onde:

192.168.0.2/24 = exemplo de um endereço na rede.

Mas só essa regra não basta, o Messenger é esperto e vai usar outro endereço para autenticação. Para isso usei o Squid para fazer esse trabalho para mim, pois a regra no iptables se tornaria muito grande levando em consideração que ele usa vários IPs para fazer a autenticação, mas nesse novo endereço sempre há duas palavras em comum, o que me levou a criar a seguinte regra no Squid:

acl msn url_regex -i /gateway/gateway.dll

E depois para bloquear:

http_access deny msn

Pronto, basta iniciar os serviços e você estará livre deste mal que assombra todas as redes.

Espero que tenha ajudado e que este meu primeiro tutorial sirva para tirar algumas dúvidas.

Para entrarem em contato: alinacio@gmail.com

Um abraço,
André Luiz Inácio

Outras dicas deste autor

Nenhuma dica encontrada.

Leitura recomendada

Metasploitable no VirtualBox

Klamav: antivírus no KDE

Palestra How Stuff Works: Exploits

Recuperar senha de root

OWASP Zed Attack Proxy Project

Comentários

#1 Comentário enviado por silviojunior em 20/10/2005 - 20:08h

Tudo bem, mas essa solução só funciona com kernel 2.4.
Vc consegue usar a segunda regra com kernel 2.6???

abraço

#2 Comentário enviado por alinacio em 21/10/2005 - 08:26h

Olá amigo! para funcionar com o kernel 2.6 vc precisa do suporte ao String Match. Só vc procurar pelo patch-o-matic disponivel em:
www.iptables.org/patch-o-matic/pom-extra.html
Nesse site vc encontra mais informações, além de espalhados pela net varios tutoriais sobre como instalar esse patch.

Abraços

#3 Comentário enviado por rebinat em 09/11/2005 - 14:19h

tentei e nao deu certo... falta algo

uso o Conectiva 10 com kernel 2.6.5

grato

Luiz Henrique

#4 Comentário enviado por alinacio em 09/11/2005 - 15:40h

Olá amigo, o problema é que com o kernel 2.6 não vai funcionar a segunda regra do iptables, para isso tem um patch, o link está na resposta do primeiro comentário.

Obrigado!

#5 Comentário enviado por rebinat em 17/11/2005 - 09:09h

é uma pena nao entendo muito esse negocio de patch... kernel...

fazer o que...

Valeu

Luiz Henrique

#6 Comentário enviado por zemariarn em 09/12/2005 - 13:57h

Olá amigos.
Há alguma ordem na execução dos comandos acima?
Eu executei na forma que está... quando coloquei só as de bloqueio funcionou beleza. Mas, quando eu inseri as de liberação da máquina... aí ficou todos liberados.
Eu estou usando o kernel 2.4.21 (Conectiva 9).

Um abraço,
José Maria

#7 Comentário enviado por gvcom em 05/02/2006 - 19:15h

Oi pessoal,

Segui as instruções acima, usando FC 4, kernel 2.6 e deu tudo certo, sem acrescer o patch citado. Rebinat você ainda não está perdido.

Zemariarn, há uma ordem para inserir as regras sim, mas é necessário um ajuste para não liberar para toda rede. Onde se lê:

iptables -A FORWARD -s 192.168.0.2/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/24 -d loginnet.passport.com -j ACCEPT

ajuste para:

iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -d loginnet.passport.com -j ACCEPT

A regra de liberação do pc com ip 192.168.0.2 vem antes da regra de bloqueio da rede.

valeus mesmo!

Reinaldo

#8 Comentário enviado por rafaellinux em 19/04/2006 - 08:18h

pessoal pode ser um comentaorio infeliz ainda nao entendendo ainda muito de linux mas nao tem como burlar e sistema de bloqueio memo o iptables sendo seguro deve haver alguma falha.
se tiver por favor me avise me mande um email slackwaredragon@oi.com.br

#9 Comentário enviado por marcospaulo em 09/05/2006 - 12:20h

Só existem duas maneiras, atualmente, de se bloquear o messenger em todas as suas versões. Ou se restringe no pc, utilizando-se de ferramentas administrativas, como o gpedit.msc no Windows XP ou essa que vou citar logo abaixo.
Não adianta bloquear a porta 1863 porque o messenger irá utilizar a porta 80. A mesma usada pelo protocolo http para navegação. Portanto não se pode bloquea-la. Mas podemos configurar em um filtro de pacotes para que sejam bloqueadas tentativas de conexão aos seguintes ranges de ip’s: 207.68.178.61 to 207.68.207.255 e 65.52.0.0 to 65.55.255.255.
O fato é que não dá para descobrir com facilidade qual endereço ip é utilizado pelo servidor do messenger, mas deu para descobrir o range onde se destina a conexão e ele nunca mais funcionou aqui onde trabalho.
Incovenientes: Sim, é claro! Bloqueio das páginas do site www.msn.com ou www.msn.com.br. Mas garanto que foi mais fácil assim.

#10 Comentário enviado por celo.legionario em 02/07/2006 - 14:18h

mas ai eu descordo pois se vc estiver fazendo autenticacao pelo squid o msn se auto reformula e sai por outra porta , por isso tem que fazer um script em acl no squid para poder fazer o bloqueio

#11 Comentário enviado por gvcom em 03/07/2006 - 12:35h

Até agora tudo que pesquisei, não tem funcionado (o msn se ajusta), exceto a sugestão do marcospaulo, que não sei se implementei certo.
Fica a impressão de que as indicações para resolver o problema definitivamente é mesmo o Layer7 e o IPP2.

#12 Comentário enviado por alinacio em 03/07/2006 - 15:55h

Ei pessoal quando escrevi essa dica a versão do messenger era a 6.0 agora já saiu a 7..., então mudou algumas coisas na regra de bloqueio, assim que der um tempinho escrevo uma nova dica, estou ajudando o pessoal que me procura por e-mail, e tem resovido legal.

#13 Comentário enviado por malacker em 06/08/2006 - 18:52h

Ao amigo de login rebinat, que usa o conectiva 10, que tentou e não deu certo. Fiz um script que instala o novo iptables, o novo kernel, o layer7, aplica as patches nos dois, compila o novo lernel e aplica as regras.
O primeiro script está em http://www.vivaolinux.com.br/scripts/verScript.php?codigo=2151
mas percebi que tem um bug, que tratei de informar logo que percebi. Se vc tem alguma experiência com shell, pode serguir as instruções para a correção do bug e resolver sozinho, mas se desejar posso enviar a versão sem bugs. Como eu disse o script faz tudo sem vc precisar meter a mão em nenhuma linha de código sequer. Mole, mole... Exclusivo para Conectiva 10.

#14 Comentário enviado por marcusdzn em 20/09/2006 - 16:12h

Comigo funcionou o seguinte kit :

tudo acima + os bloqueios com mimes no squid, ele entra no hotmail, mas não no msn :)

#15 Comentário enviado por vinteumdoonze em 29/01/2007 - 17:52h

Show de bola André, configurei testei e blz.
Funcionou direitinho...

valeu pela dica

#16 Comentário enviado por coffani em 03/02/2007 - 11:33h

Vlw André testei aqui no Fedora Core 5 e funcionou blz sem precisar de patch nenhum... foi so colocar as regras de iptables e criar a acl referente ao gateway.dll no squid e já ta funcionando blzinha..

Vlw pela contribuição.. Parabéns

#17 Comentário enviado por cmourafreitas em 14/02/2007 - 22:12h

Conheço pouco desse assunto mas gostaria de saber como faz para eu acessar o msn aqui do trabalho ("msn online") jah que o roteador firewall aqui do trampo tah barrando.. Tenho o ip do pc que barra..

Onde digito as linhas de código acima para concessão do acesso ? Eh no roteador mesmo ? (pq ai ficaria soh um pouquinho mais dificil! :-))
Grato rapazeada

#18 Comentário enviado por clistenis em 27/02/2007 - 20:13h

# Bloqueando o Messenger
$IPT -A FORWARD -s $IPSOURCE -p tcp --dport 1863 -j REJECT --reject-with tcp-reset
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p tcp --dport 1863 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 63.208.13.126 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 64.4.12.200 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 64.4.12.201 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.131.249 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.194.118 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.211.61 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.104.20 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.110.2 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 204.46.106.162 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 208.175.188.30 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.239.141 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 1863 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.179.192 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.183.192 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.110.252 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.107.3 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.109.55 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.112.65 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.239.211 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.27.253 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.0.0/24 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.0.0/24 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 1863 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 7001 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 65.54.239.211 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.27.253 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 6891:6901
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 5190
$IPT -t mangle -A PREROUTING -s $IPSOURCE -d 207.46.107.3 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 1863:1864 -j DROP
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 6891:6901
$IPT -t mangle -A PREROUTING -s $IPSOURCE -p TCP -m tcp --dport 5190

Onde $IPT = iptables
e $IPSOURCE = IP da máquina que vc quer bloquar....

Essa é a regra que uso aqui no meu server e funciona...

Abraços.

#19 Comentário enviado por HenriqueRJ em 20/02/2008 - 20:29h

Amigo Reinaldo,

Funcionou direitinho!

Uma pergunta: Como eu faço para liberar o MSN para mais de um IP?

Desde já muito obrigado!

#20 Comentário enviado por coffani em 21/02/2008 - 09:04h

HenriqueJR, para liberar mais de uma maquina basta repetir a regra

iptables -A FORWARD -s 192.168.0.2 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2 -d loginnet.passport.com -j ACCEPT

antes da regra de bloqueio, basta trocar o IP da regra acima para o IP da maquina q vc quer liberar..

#21 Comentário enviado por vagnerjunior em 15/07/2008 - 15:40h

alguém sabe me dizer como faço isso no Mikrotik

#22 Comentário enviado por lcbele em 10/12/2008 - 12:20h

bom dia!!
Eu esto com esse problema para resolver mas nao estou conseguindo, a ja consegui criar regras para bloquear acesso a internet a determinados ip, e restingir alguns acesso a outros ip e fazer liberação total a outros ip, enfim as regras no squid esta funcionando direito, so nao estou estou conseguindo fazer que determinado ip nao tem acesso ao msn e outro ip tenha acesso.. eu segui o q postaram mas nao deu certo vou mostro o que eu fiz.. eu estou usando linux CentOs 5.0.2 final

dentro o arquivo vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
# Regra ADD para liberar msn para ip e bloquear para o restante
-A FORWARD -s 10.0.0.9 -p tcp --dport 1863 -j ACCEPT
-A FORWARD -s 10.0.0.9 -d loginnet.passport.com -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p tcp --dport 1863 -j REJECT
-A FORWARD -s 10.0.0.0/8 -d loginnet.passport.com -j REJECT

e dentro do arquivo vi /etc/squid/squid.conf

#Bloquear Msn Regra do Msn
acl msn url_regex -i /gateway/gateway.dll
http_access deny msn

# IP Bloqueados - Nao tem Acesso a Internet
acl ipbloqueados src "/etc/squid/ip_bloqueados"
http_access deny ipbloqueados

# IP Com Aceso Restrito
acl iprestrito src "/etc/squid/ip_ac_restrito"
acl urlbloquado url_regex -i "/etc/squid/url_bloqueado"
http_access deny iprestrito urlbloquado

# IP Acesso Livre
acl ipliberado src "/etc/squid/ip_ac_livre"
http_access allow ipliberado

e depois eu restarto o servico como
/etc/init.d/iptables restart
/etc/init.d/squid restart

eu sou novo nessa area, talvez eu esteja errando algum ponto, caso alguem me poder da uma ajuda eu agradeço estou com esse problema aqui na empresa.. tem meu e-mail lcbele@hotmail.com

#23 Comentário enviado por fainha em 07/06/2010 - 17:38h

Como ficaria uma regra para mim bloquear o msn ou sites no squid em um determinado horario do dia ???

agradeço desde ja

Bloquear MSN Messenger

Outras dicas deste autor

Leitura recomendada

Comentários

Contribuir com comentário