Olá pessoal, iniciando no mundo Linux e fascinado com sua potencialidade, inicio o meu primeiro tutorial ou seria melhor dizer, dica.
Cansado de procurar por soluções para bloquear o Messenger na minha rede e deparar com muitas, mais nenhuma viável - algumas até que funcionavam, mas eram regras extensas onde achava que poluíam muito a minha regra. Então resolvi sentar e pensar em uma solução mais limpa e funcional e depois de analisar muitos logs, consegui chegar à regra que agora passo para vocês. Espero ajudar e tornar sua pesquisa mais fácil e que ela acabe aqui. Bom vamos à regra.
Primeiro usei a seguinte regra no iptables. O ideal é bloquear o endereço que ele usa para autenticar:
iptables -A FORWARD -s rede -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s rede -d loginnet.passport.com -j REJECT
Onde:
rede = (192.168.0.0/24) exemplo de rede interna.
Para liberar para uma determinada máquina, use a seguinte regra:
iptables -A FORWARD -s 192.168.0.2/24 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/24 -d loginnet.passport.com -j ACCEPT
Onde:
192.168.0.2/24 = exemplo de um endereço na rede.
Mas só essa regra não basta, o Messenger é esperto e vai usar outro
endereço para autenticação. Para isso usei o Squid para fazer
esse trabalho para mim, pois a regra no iptables se tornaria muito
grande levando em consideração que ele usa vários IPs para fazer a
autenticação, mas nesse novo endereço sempre há duas palavras em
comum, o que me levou a criar a seguinte regra no Squid:
acl msn url_regex -i /gateway/gateway.dll
E depois para bloquear:
http_access deny msn
Pronto, basta iniciar os serviços e você estará livre deste mal que assombra todas as redes.
Espero que tenha ajudado e que este meu primeiro tutorial sirva para tirar algumas dúvidas.
[2] Comentário enviado por alinacio em 21/10/2005 - 08:26h
Olá amigo! para funcionar com o kernel 2.6 vc precisa do suporte ao String Match. Só vc procurar pelo patch-o-matic disponivel em: www.iptables.org/patch-o-matic/pom-extra.html
Nesse site vc encontra mais informações, além de espalhados pela net varios tutoriais sobre como instalar esse patch.
[4] Comentário enviado por alinacio em 09/11/2005 - 15:40h
Olá amigo, o problema é que com o kernel 2.6 não vai funcionar a segunda regra do iptables, para isso tem um patch, o link está na resposta do primeiro comentário.
[6] Comentário enviado por zemariarn em 09/12/2005 - 13:57h
Olá amigos.
Há alguma ordem na execução dos comandos acima?
Eu executei na forma que está... quando coloquei só as de bloqueio funcionou beleza. Mas, quando eu inseri as de liberação da máquina... aí ficou todos liberados.
Eu estou usando o kernel 2.4.21 (Conectiva 9).
[8] Comentário enviado por rafaellinux em 19/04/2006 - 08:18h
pessoal pode ser um comentaorio infeliz ainda nao entendendo ainda muito de linux mas nao tem como burlar e sistema de bloqueio memo o iptables sendo seguro deve haver alguma falha.
se tiver por favor me avise me mande um email slackwaredragon@oi.com.br
[9] Comentário enviado por marcospaulo em 09/05/2006 - 12:20h
Só existem duas maneiras, atualmente, de se bloquear o messenger em todas as suas versões. Ou se restringe no pc, utilizando-se de ferramentas administrativas, como o gpedit.msc no Windows XP ou essa que vou citar logo abaixo.
Não adianta bloquear a porta 1863 porque o messenger irá utilizar a porta 80. A mesma usada pelo protocolo http para navegação. Portanto não se pode bloquea-la. Mas podemos configurar em um filtro de pacotes para que sejam bloqueadas tentativas de conexão aos seguintes ranges de ip’s: 207.68.178.61 to 207.68.207.255 e 65.52.0.0 to 65.55.255.255.
O fato é que não dá para descobrir com facilidade qual endereço ip é utilizado pelo servidor do messenger, mas deu para descobrir o range onde se destina a conexão e ele nunca mais funcionou aqui onde trabalho.
Incovenientes: Sim, é claro! Bloqueio das páginas do site www.msn.com ou www.msn.com.br. Mas garanto que foi mais fácil assim.
[10] Comentário enviado por celo.legionario em 02/07/2006 - 14:18h
mas ai eu descordo pois se vc estiver fazendo autenticacao pelo squid o msn se auto reformula e sai por outra porta , por isso tem que fazer um script em acl no squid para poder fazer o bloqueio
[11] Comentário enviado por gvcom em 03/07/2006 - 12:35h
Até agora tudo que pesquisei, não tem funcionado (o msn se ajusta), exceto a sugestão do marcospaulo, que não sei se implementei certo.
Fica a impressão de que as indicações para resolver o problema definitivamente é mesmo o Layer7 e o IPP2.
[12] Comentário enviado por alinacio em 03/07/2006 - 15:55h
Ei pessoal quando escrevi essa dica a versão do messenger era a 6.0 agora já saiu a 7..., então mudou algumas coisas na regra de bloqueio, assim que der um tempinho escrevo uma nova dica, estou ajudando o pessoal que me procura por e-mail, e tem resovido legal.
[13] Comentário enviado por malacker em 06/08/2006 - 18:52h
Ao amigo de login rebinat, que usa o conectiva 10, que tentou e não deu certo. Fiz um script que instala o novo iptables, o novo kernel, o layer7, aplica as patches nos dois, compila o novo lernel e aplica as regras.
O primeiro script está em http://www.vivaolinux.com.br/scripts/verScript.php?codigo=2151
mas percebi que tem um bug, que tratei de informar logo que percebi. Se vc tem alguma experiência com shell, pode serguir as instruções para a correção do bug e resolver sozinho, mas se desejar posso enviar a versão sem bugs. Como eu disse o script faz tudo sem vc precisar meter a mão em nenhuma linha de código sequer. Mole, mole... Exclusivo para Conectiva 10.
[16] Comentário enviado por coffani em 03/02/2007 - 11:33h
Vlw André testei aqui no Fedora Core 5 e funcionou blz sem precisar de patch nenhum... foi so colocar as regras de iptables e criar a acl referente ao gateway.dll no squid e já ta funcionando blzinha..
[17] Comentário enviado por cmourafreitas em 14/02/2007 - 22:12h
Conheço pouco desse assunto mas gostaria de saber como faz para eu acessar o msn aqui do trabalho ("msn online") jah que o roteador firewall aqui do trampo tah barrando.. Tenho o ip do pc que barra..
Onde digito as linhas de código acima para concessão do acesso ? Eh no roteador mesmo ? (pq ai ficaria soh um pouquinho mais dificil! :-))
Grato rapazeada
[22] Comentário enviado por lcbele em 10/12/2008 - 12:20h
bom dia!!
Eu esto com esse problema para resolver mas nao estou conseguindo, a ja consegui criar regras para bloquear acesso a internet a determinados ip, e restingir alguns acesso a outros ip e fazer liberação total a outros ip, enfim as regras no squid esta funcionando direito, so nao estou estou conseguindo fazer que determinado ip nao tem acesso ao msn e outro ip tenha acesso.. eu segui o q postaram mas nao deu certo vou mostro o que eu fiz.. eu estou usando linux CentOs 5.0.2 final
dentro o arquivo vi /etc/sysconfig/iptables
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
# Regra ADD para liberar msn para ip e bloquear para o restante
-A FORWARD -s 10.0.0.9 -p tcp --dport 1863 -j ACCEPT
-A FORWARD -s 10.0.0.9 -d loginnet.passport.com -j ACCEPT
-A FORWARD -s 10.0.0.0/8 -p tcp --dport 1863 -j REJECT
-A FORWARD -s 10.0.0.0/8 -d loginnet.passport.com -j REJECT
e depois eu restarto o servico como
/etc/init.d/iptables restart
/etc/init.d/squid restart
eu sou novo nessa area, talvez eu esteja errando algum ponto, caso alguem me poder da uma ajuda eu agradeço estou com esse problema aqui na empresa.. tem meu e-mail lcbele@hotmail.com