Pular para o conteúdo

Bloqueando totalmente o MSN com Squid + Iptables

Dica publicada em Linux / Segurança
Diego Rodrigo Machado bestlinux

Por Diego Rodrigo Machado em 31/03/2006

Hits: 72.335 Categoria: Linux Subcategoria: Segurança
  • Indicar
  • Impressora
  • Denunciar

Bloqueando totalmente o MSN com Squid + Iptables

Bom, escrevi esta dica a fim de ajudar um amigo aqui do VOL, que dizia que estava tendo problemas para bloquear o MSN, pois ele não conseguia bloqueá-lo mesmo seguindo algumas dicas.

Vamos seguir os seguintes passos:

1. Crie as seguintes regras no iptables:

# iptables -A FORWARD -s 192.168.1.0 -p tcp --dport 1863 -j REJECT
# iptables -A FORWARD -s 192.168.1.0 -d loginnet.passport.com -j REJECT

Onde:
  • 192.168.1.0: IP interno da sua Rede.

2. Crie as seguintes ACL's no Squid:

Edite o seu arquivo squid.conf e adicione as seguintes linhas:

acl HOST_MSN src 192.168.1.40/255.255.255.255
acl Negar_MSN dstdomain "/etc/squid/msn.txt"
acl Negar_MSN2 url_regex "/etc/squid/msn2.txt"
acl msn url_regex -i /gateway/gateway.dll

http_access allow HOST_MSN
http_access deny Negar_MSN
http_access deny Negar_MSN2
http_access deny msn

O arquivo msn.txt contém os principais endereços que o MSN usa para fazer autenticação. Crie-o, colocando o seguinte conteúdo:

passport.com
msn.com.br
msn.com
sc.msn.com
www.msn.be
207.46.110.11
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com

Crie também o arquivo msn2.txt, colocando o seguinte conteúdo:

x-msn

Pronto, você bloqueou totalmente o MSN.

Outras dicas deste autor

Entrando no Linux sem autenticação

Os comandos uncompress e zcat

Principais serviços do Linux

Bloqueando usúarios com o usermod

O comando compress

Leitura recomendada

Quebrando senha de root

Encriptar arquivos utilizando ENCFS e FUSE

Usando o iptables de forma eficiente

Samba 4 AD-DC 2026: Backup & Restore

Configurar HeartBeat

Comentários

#1 Comentário enviado por dupotter em 31/03/2006 - 14:35h
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d loginnet.passport.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d messenger.hotmail.com -j REJECT
iptables -A FORWARD -s 198.164.1.0/24 -d webmessenger.msn.com -j REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s 198.164.1.0/24 -p tcp --dport 1080 -j REJECT


além das regras do iptables, eu acrescentei mais estas, não sei se havia necessidade, mas tá funcionando pra mim (198.164.1.0 é minha rede interna)


Mas a dica tá ótima, mto boa msm.
#2 Comentário enviado por rebinat em 31/03/2006 - 15:39h
essa dica funciona com kernel 2.6???


Luiz Henrique
#3 Comentário enviado por bestlinux em 31/03/2006 - 15:41h
Sim :-)
#4 Comentário enviado por pcnmota em 03/04/2006 - 17:40h
Veio como ficaria para liberar somente para alguns IPs?
#5 Comentário enviado por bestlinux em 03/04/2006 - 17:47h
Cara...

Primeiro você precisa liberar o IP no squid. Faça o seguinte:
Crie um arquivo chamado msnlibera:

#touch msnlibera

Adicione os usuarios que você quer liberar dentro deste arquivo, exemplo:

bestlinux
diego
tux

Depois, adicione as seguintes acls no seu squid.conf:

acl msnlibera ident "/usr/local/squid/etc/msnlibera"
acl msn dst 207.46.110.0/24
http_access allow msnlibera msn

Lembre-se de troca o IP 207.46.110.0 pelo IP usado na sua rede...

Depois, você precisa criar a seguinte regra no iptables:

#iptables -t nat -A PREROUTING -s <o_ip_que_vc_quer_liberar> -p ALL -j ACCEPT

Falow !
#6 Comentário enviado por gnomo_dead em 03/04/2006 - 18:03h
qdo se bloqueia o loginnet.passaport, nao dah pra bloquear qualquer tentativa de entrar no messenger nao neh?
Tipo, por sites como o meebo.com entra!?
#7 Comentário enviado por bestlinux em 04/04/2006 - 09:14h
Sim....você esta bloqueando o endereço que todos os "clientes" usam para se autenticar....
#8 Comentário enviado por bryeno em 15/05/2006 - 18:08h
tipo na empresa que trabalho as maquinas nao possuem ip fixo como eu faço pra bloquear entao ? pois tem pessoas que usam o msn pra trab com vendas online suporte entre outros queria criar tb uma lista de acesso para determinados membros ligados ao Active directory

quem souber da uma dica ae...
#9 Comentário enviado por abfabricio em 21/07/2006 - 11:19h
Eu consigo bloquear o Orkut nas estações tbm??
#10 Comentário enviado por bruno_artur em 15/08/2006 - 17:54h
Essa regra bloqueia o acesso ao msn atraves de proxy anonimo?
#11 Comentário enviado por glewber25 em 22/08/2006 - 17:35h
o meu bloqueio do msn esta funcionando normalmente e o meu proxy transparente esta barrando normal os sites na lista de bloqueados.So nao estou conseguindo liberar um Ip da minha rede para acessar os sites e o msn sem ser barrado pelo meu proxy
#12 Comentário enviado por edsb10 em 23/08/2006 - 11:11h
Pessoal eu não entendi essa a primeira acl=> acl HOST_MSN src 192.168.1.40/255.255.255.255 , alguem pode explicar essa acl?


Abraço a todos!!!!!

Eduardo
#13 Comentário enviado por robson.paviani em 25/08/2006 - 15:23h
ebsb10..

Essa regra ali é pra atribuir a acl HOST_MSN o endereço 192.168.1.40..

o 255.255.255.255 quer dizer que é apenas o ip .40 e não a rede ou parte dela..

aqui tem um link q explica direitinho:

http://www.guiadohardware.net/termos/mascara-de-sub-rede

depois ele dá um "http_access allow HOST_MSN" ANTES das regras de bloqueio... ou seja, o .40 vai poder acessar o MSN...

#14 Comentário enviado por rafaelrls em 20/09/2006 - 10:35h
Senhores, Bom Dia!

Tenho um problema sério, os diretores da empresa em que trabalho querem por questões de segurança que os Terminal Serviçe seja bloqueado para da rede interna para fora, ou seja, eles desejam que os funcionários não consigam acessar as máquinas de casa(MAIS NÃO QUEREM O INVERSO). Desculpe se escrevi alguma besteira abaixo, mais segue os parâmetros que testei e não deu resultado. Alguém pode me ajudar???


iptables -A INPUT -s 192.168.13.0/24 -p tcp --dport 3389 -j DROP

iptables -A OUTPUT -p TCP -s 192.168.13.0/24 -s ! 192.168.13.100 --destination-port 5900 -j REJECT

Aguardo Retorno. Att.
#15 Comentário enviado por aprendiz_ce em 25/09/2006 - 13:32h
Tem como bloquear o MSN de uma forma eficaz, mas sem o uso do SQUID?

Obrigado.
#16 Comentário enviado por chuma em 08/10/2007 - 12:53h
onde fica o iptables?
#17 Comentário enviado por nil_anderson em 16/12/2007 - 23:26h
A documentação realmente é interessante, mas não acho que seja a melhor forma para bloqueio do MSN. São muitos servidores descritos. O simples fato de bloquear o "gateway.dll" já soluciona o caso.

No firewall deve-se bloquear simplesmente a porta TCP/1863 que de fato é a porta default da conexão MSN.
"Não há mistério..."

Fica ai a dica... em breve sairá a dica acima no site... ;)
#18 Comentário enviado por py9mt em 21/01/2008 - 00:24h
Muito interessante, coloquei ake no meu proxy, funcionou 100%, valeu mesmo
#19 Comentário enviado por lusuave em 07/03/2008 - 20:55h
caro amigo..

nao estou conseguindo fazer funcionar no meu firewall.
essa regra funciona com proxy transparente??
eu acrescento essas linhas antes ou depois da linha que direciona a porta 80 para meu proxy??

obrigado

#20 Comentário enviado por tgomarino em 05/04/2008 - 13:54h
fora isso, eu gostaria de saber como eu faço para bloquear apenas um Lab, eu tenho dois Laborátorios e gostaria de bloquear site e acesso ao msn apenas em um LAB.

alguem pode me ajudar?
#21 Comentário enviado por pardalz em 02/12/2009 - 15:44h
funciona com webmessengers?
#22 Comentário enviado por Tacioandrade em 18/12/2009 - 17:56h
Só uma pergunta, pelo que eu vi, vocês fazendo isso bloqueiam o proprio site hotmail.com ou não????

Pois estou querendo bloquear o messenger do hotmail, mais o proprio hotmail tem que ser liberado.

=/


Eita dor de cabeça.
#23 Comentário enviado por ditsu em 18/04/2010 - 14:08h
ola amigo eu bloquiei a porta errada como q faz para desbloquear?
#24 Comentário enviado por lf_sm em 01/12/2011 - 08:43h
Show de bola a dica, funcionou perfeitamente.

Contribuir com comentário

Entre na sua conta para comentar.