Bom, meu amigo. O MSN � mais esperto que todos pensam. Al�m das portas padr�o (tcp 1863, e outras pra transfer�ncia de arquivos, �udio e v�deo), usa a porta 80 (http) e tamb�m as portas 443 e 563 (usadas para https).
Aqui na empresa utilizo kernel 2.6.9 com iptables 1.2.11, ao qual apliquei o pacote de patchs patch-o-matic, dispon�vel na Netfilter (www.netfilter.org). Por�m, o principal patch para bloqueio correto do MSN � o "string", que n�o se aplica direito no kernel 2.6.x. consegui esse patch e fiz algumas altera��es necess�rias para funcionamento no kernel. A partir da�, usei as seguintes regras no iptables: iptables -A FORWARD -s <ip usuario> -o <interfacesaida> -p tcp -m string --string 'msn' -m limit --limit 6/h -j LOG --log-prefix "Messenger-msn denied: " iptables -A FORWARD -s <ip usuario> -o <interfacesaida> -p tcp -m string --string 'msn' -m limit --limit 6/h -j REJECT Se voc� utilizar kernel 2.4.x, acima de 2.4.9, poder� baixar o patch numa boa. Lembre-se que, para baixar esse patch, precisar� recompilar o kernel habilitando as op��es de string match nas configura��es de Netfilter. Poder� fazer tamb�m filtro no proxy usando as seguintes regras: acl messenger req_mime_type -i ^application/x-msn-messenger ... http_access deny messenger Espero ter ajudado. Abra�o Luiz Gonzaga Pinto Jr Diretor T�cnico BR10 www.br10.com.br > -----Mensagem original----- > De: [EMAIL PROTECTED] [mailto:linux-br- > [EMAIL PROTECTED] Em nome de Ricardo Barros > Enviada em: segunda-feira, 22 de novembro de 2004 14:16 > Para: Linux-br > Assunto: Re: (linux-br) IPTABLES - Bloqueando messenger qual melhor m�todo? > > Utilizo o conectiva 9 com iptables v1.2.7a e tentei fazer a mesma coisa, > apenas alterando o ip 192.168.0.5,192.168.0.4 para > 192.168.1.117,192.168.1.119 respectivamente. Executei novamente o meu > arquivo(./firewall-masq) com o Squid desabilitado e recebe a seguinte > mensagem: > > iptables v1.2.7a: multiple -d flags not allowed. Que isso quer dizer? > > Depois executei: iptables -L > E apareceu: > > Chain FORWARD(policy ACCEPT) > target prot opt source destination > ACCEPT all -- anywhere anywhere > ACCEPT tcp -- 192.168.1.117 anywhere tcp dpt:1863 > ACCEPT tcp -- 192.168.1.117 messenger.hotmail.com > ACCEPT tcp -- 192.168.1.119 anywhere tcp dpt:1863 > ACCEPT tcp -- 192.168.1.119 messenger.hotmail.com > REJECT tcp -- anywhere anywhere tcp dpt::1863 > reject-with icmp-port-unreachble > > Que decep��o n�o funfou. Gostaria que apenas os computadores > 192.168.1.117,192.168.1.119 tivessem acesso bloqueando todos os outros. > O que est� errado? > > Minha conex�o � VELOX e o meu modem � 3Com HomeConection. > > GuiNET� escreveu: > Ol� pessoal, > > Tenho minhas regras de bloqueio de MSN ... Bom, est� funcionando legal > consigo liberar apenas quem eu quero e etc.. > > Eu estou meio inseguro a dois fatores, e adoraria conversar com os > colegas sobre esses fatores: > > 1)Estou me baseando nas regras de bloqueio a apenas um IP ou seja: > 207.46.104.20 2)Estou bloqueando e liberando para determinadas > maquinas como acontece com o ip, uma porta 1863 que te�ricamente seria > do MSN, mais fiquei sabendo que n�o adiantaria muito essa regra, > pelo fato de o MSN pular para porta 80. > > Segue o Script do Iptables > -------------CORTA---------------------------- > #MSN - MESSENGER > # Liberando para algumas maquina > #$IPTABLES -A FORWARD -s 192.168.0.5 -p tcp --dport 1863 -j ACCEPT > #$IPTABLES -A FORWARD -s 192.168.0.5 -p tcp -d 207.46.104.20 -j ACCEPT > > $IPTABLES -A FORWARD -s 192.168.0.4 -p tcp --dport 1863 -j ACCEPT > $IPTABLES -A FORWARD -s 192.168.0.4 -p tcp -d 207.46.104.20 -j ACCEPT > > # Bloqueando o resto da rede > $IPTABLES -A FORWARD -s 0/0 -p tcp --dport 1863 -j REJECT > $IPTABLES -A FORWARD -s 0/0 -d 207.46.104.20 -j REJECT > -------------CORTA---------------------------- > > > Bom galera � isso est� funcionando... mais gostaria de trocar > conhecimentos com a galera que j� tanto devem manjar do assunto. > > > fico no aguardo. > > > --------------------------------------------------------------------------- > Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br > > Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br > Regras de utiliza��o da lista: http://linux-br.conectiva.com.br > FAQ: http://www.zago.eti.br/menu.html --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
