Bloqueando MSN

1. Bloqueando MSN

Allan Deni
allandenibr

(usa Debian)

Enviado em 04/12/2010 - 17:51h

Caros

Vou postar abaixo o firewall para que possam me ajudar a impĺementar a regra de bloqueio do MSN na rede, pois ja tentei de diversas formas e nada.

#!/bin/sh

# FIREWALL - V 1.0
# DESENVOLVIDO POR ALLAN DENI VIEIRA DE SÁ
# TECNOLOGIA DA INFORMAÇÃO
# APAE TERESINA

echo "####################ATIVANDO IPTABLES#######################"
### Passo 1: Limpando as regras ###
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -F -t nat

echo "Limpando as regras ..................................[ OK ]"

# Definindo a Politica Default das Cadeias
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
echo "Politica Default das Cadeias ........................[ OK ]"

### Passo 2: Desabilitar o trafego IP entre as placas de rede ###
echo "0" > /proc/sys/net/ipv4/ip_forward
echo "Desabilitar o trafego IP entre as placas ............[ OK ]"

###########setando protecao contra ataques
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
for i in /proc/sys/net/ipv4/conf/*; do
echo 0 >$i/accept_redirects
echo 0 >$i/accept_source_route
echo 1 >$i/log_martians
echo 1 >$i/rp_filter;
done
echo "Protecao contra ataques .............................[ OK ]"

# Impedimos que um atacante possa maliciosamente alterar alguma rota
echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects
echo "Impedimos alterar alguma rota .......................[ OK ]"

### Passo 3: Carregando os modulos do iptables ###
# Ativa modulos
# -------------------------------------------------------
/sbin/modprobe iptable_nat
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
echo "Carregando os modulos ...............................[ OK ]"

#Secretaria
#sefip
iptables -A FORWARD -p tcp --dport 2004 -j ACCEPT
iptables -A FORWARD -p tcp --dport 2631 -j ACCEPT
iptables -A FORWARD -p tcp --dport 1494 -j ACCEPT
iptables -A FORWARD -p tcp --dport 5017 -j ACCEPT
#iptables -A FORWARD -p tcp -s 192.168.0.198 --dport 3128 -j ACCEPT

###conectividde social
# Liberando conexao cmt.caixa.gov.br
#iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -I PREROUTING -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -I FORWARD -p tcp -d 200.201.0.0/16 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -d ! 200.201.174.207 --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -p tcp -d ! 200.201.174.0/24 --dport 80 -j REDIRECT --to-ports 3128
echo "Regras DP ...........................................[ OK ]"

# PORTA 3128 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth1 -p tcp --dport 3128 -j ACCEPT

# Redireciona porta 80 para 3128 (squid)
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

# PORTA 53 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth1 -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 53 -j ACCEPT

# PORTA 110 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth1 -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i eth1 -p udp --dport 110 -j ACCEPT

# PORTA 25 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth1 -p tcp --dport 25 -j ACCEPT

# PORTA 443 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -i eth1 -p tcp --dport 443 -j ACCEPT

# identd
iptables -A INPUT -p tcp --dport 113 -j ACCEPT
iptables -A INPUT -p udp --dport 113 -j ACCEPT

# https
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p udp --dport 443 -j ACCEPT

# PORTA 21 - ACEITA PARA A REDE LOCAL
iptables -A FORWARD -p tcp --dport 21 -j ACCEPT

#bloqueia qualquer tentativa de nova conexao de fora para esta maquina
iptables -A INPUT -i eth0 -m state --state ! ESTABLISHED,RELATED -j LOG --log-level 6 --log-prefix "FIREWALL entrada "
iptables -A INPUT -i eth0 -m state --state ! ESTABLISHED,RELATED -j DROP

#no iptables, temos de dizer quais sockets sao validos em uma conexao
iptables -A INPUT -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo "Cadeia de Entrada ...................................[ OK ]"

################################
# Cadeia de Reenvio (FORWARD).
# Primeiro, ativar o mascaramento (nat).
iptables -t nat -F POSTROUTING
iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

echo "Ativando o mascaramento .............................[ OK ]"

# Agora dizemos quem e o que podem acessar externamente
# O controle do acesso a rede externa e feito na cadeia "FORWARD"
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A FORWARD -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A FORWARD -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
echo "Ativando o acesso ftp.. .............................[ OK ]"

# No iptables, temos de dizer quais sockets sao validos em uma conexao

iptables -A FORWARD -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
echo "Quais sockets sao validos ...........................[ OK ]"


#Traceroutes caindo
iptables -A INPUT -p udp --dport 33434:33523 -j DROP
iptables -A INPUT -p tcp --dport 113 -j REJECT
iptables -A INPUT -p igmp -j REJECT
iptables -A INPUT -p tcp --dport 80 -j DROP
iptables -A INPUT -p tcp --dport 443 -j REJECT

echo "Rejeitando lixo :....................................[ OK ]"

# Finalmente: Habilitando o trafego IP, entre as Interfaces de rede
echo "1" > /proc/sys/net/ipv4/ip_forward
echo "Habilitar o trafego IP entre as placas: .............[ OK ]"

# Habilitando PROXY TRANSPARENTE
iptables -t nat -A PREROUTING -d 192.168.0.0/24 -p tcp --dport 80 -j REDIRECT --to-port 3128


echo "##################FIM DE REGRAS IPTABLES####################"
exit


  


2. Bloqueando MSN

thiago
thiagoubiratan

(usa Ubuntu)

Enviado em 04/12/2010 - 20:59h

Nobre Amigo Tente Assim adcionar isso aqui ooh.

iptables -A FORWARD -s redelocal/24 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s redelocal/24 -p tcp --dport 5190 -j REJECT
iptables -A FORWARD -s redelocal/24 -d loginnet.passport.com -J REJECT
iptables -A FORWARD -s redelocal/24 -d messenger.msn.com -J REJECT
iptables -A FORWARD -p tcp --dport 1080 -j DROP
iptables -A FORWARD -s redelocal/24 -p tcp --dport 1080 -J REJECT

espero que funcione pois no meu funciona que uma beleza..


3. Re: Bloqueando MSN

Luis Henrique Laguna
laguna

(usa Ubuntu)

Enviado em 06/12/2010 - 00:51h

Amigo quando o msn nao consegue acessar a porta 1863 ele vai via 80 mesma, verifique se esta fazendo os bloqueios pelo squid tb.
abs


4. MSN

Allan Deni
allandenibr

(usa Debian)

Enviado em 06/12/2010 - 09:51h

Cara, no SQUID não tem nada evidente para bloqueios.

Poderia me auxiliar?

Abraços.


5. Re: Bloqueando MSN

Felipe Domingos
Felipe Domingos

(usa Slackware)

Enviado em 06/12/2010 - 11:19h

Opa,

Veja se ajuda:

http://www.vivaolinux.com.br/topico/Redes/Bloquear-MSN-%28Squid-+-Iptables%29




6. Bloqueando MSN

MARCELO HENRIQUE BERNARDES RODRIGUES
marcelohbr

(usa CentOS)

Enviado em 06/12/2010 - 13:41h

Aki na empresa onde trabalho, isso deu certo, tente aí e me diga se funfou com vc. Abração!

# Bloqueia MSN Geral
iptables -A FORWARD -o ppp0 -p tcp -m multiport --dports 1863,7001 -j DROP
iptables -A FORWARD -o ppp0 -p udp --dport 7001 -j DROP



7. Re: Bloqueando MSN

Luis Henrique Laguna
laguna

(usa Ubuntu)

Enviado em 10/12/2010 - 00:31h

algum resultado?


8. nada

Allan Deni
allandenibr

(usa Debian)

Enviado em 10/12/2010 - 20:41h

nada resolvido


9. Re: Bloqueando MSN

Diego
diawd

(usa Ubuntu)

Enviado em 13/12/2010 - 11:36h

Cara, eu tenho o mesmo problema. Só que de tanto fazer testes, percebí que se o msn não conseguir conectar pelas portas padrão, ele conecta pela porta 443, aí lascouse tudo :/ ... provisoriamente eu fechei a porta 443 para as pessoas que não tem necessidade de acessar sites de banco por exemplo. Mas ainda estou procurando uma maneira mais eficiente de bloquear o msn.


10. Re: Bloqueando MSN

Luis Henrique Laguna
laguna

(usa Ubuntu)

Enviado em 13/12/2010 - 12:52h

Galera o problema que vcs estão tendo é simples de ser resolvido, pois se a porta padrão do msn esta bloqueada, basta fazer o bloqueio agora pelo squid, tentarei ajudar postando abaixo um pequeno scrupt e vcs add ele no squid de vcs

primeiro criar arquivo msn1.txt com os seguintes links

passport.com
msn.com.br
sc.msn.com
www.msn.be
207.46.110.11
65.55.255.18
65.55.255.38
messenger.msn.com.br
http.msg.yahoo.com
nickname.msn.com.br
chat.msn.com
chat.msn.com.br
msgr.hotmail.com
gateway.messenger.hotmail.com
messenger/sqmserver.dll
messenger.live.com
contacts.msn.com
http1.msgr.hotmail.com
http2.msgr.hotmail.com
http3.msgr.hotmail.com
http4.msgr.hotmail.com
http5.msgr.hotmail.com
http6.msgr.hotmail.com
http7.msgr.hotmail.com
http8.msgr.hotmail.com
http9.msgr.hotmail.com
http10.msgr.hotmail.com
http11.msgr.hotmail.com
http12.msgr.hotmail.com
http13.msgr.hotmail.com
http14.msgr.hotmail.com
http15.msgr.hotmail.com
http16.msgr.hotmail.com
http17.msgr.hotmail.com
http18.msgr.hotmail.com
http19.msgr.hotmail.com
http20.msgr.hotmail.com

arquivo msn2.txt com o conteudo
x-msn

agora vamos ao squid.conf adcionar as acls

#Bloqueando MSN
acl msn1 dstdomain -i "/etc/squid/msn1.txt"
acl msn2 url_regex -i "/etc/squid/msn2.txt"
acl msn url_regex -i /gateway/gateway.dll


agora vc deve colocar no seu grupo de bloqueio tipo

http_access allow all !msn !msn1 !msn2


bom espero que vcs tenham entendido qualquer problema postem aqui estarei on o dia inteiro










Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts