Bloqueando o Messenger com iptables e Squid

solucoesnandor

Com simples passos iremos bloquear todo e qualquer acesso dos usuários da rede interna ao messenger. Mas não se desespere, como bônus veremos como liberar o acesso para a máquina do seu chefe.

[ Hits: 56.392 ]

Por: Nandor em 21/08/2006 | Blog: http://www.solucoesnandor.com.br/

0 0

Denuncie Favoritos Indicar Impressora

Portas a Bloquear

O bloqueio do messenger é possível e não é relativamente complicado. Primeiramente o que você tem que saber é que tem que bloquear a porta 1863 no firewall, se você usa iptables, com uma regra simples você pode fazer isso:

iptables -I FORWARD -s "IP da Rede Interna" -p tcp --dport 1863 -j DROP

Algumas vezes o messenger pode utilizar a porta 443 para passar pelo teu firewall e é muito comum essa porta estar aberta devido ao acesso aos bancos.

Caso queira apenas fazer um teste, poderá bloquear com o seguinte comando:

iptables -I FORWARD -s "IP da Rede Interna" -p tcp --dport 443 -j DROP

Mas fique atento para que não seja prejudicado o funcionamento da rede interna. Ou se quiser ser um pouco mais radical e ter certeza de que o messenger não utilizara outra porta, pode utilizar o seguinte comando para bloquear o repasse dos pacotes.

iptables -I FORWARD -s "IP da Rede Interna" -j DROP

Mas cuidado, pois alguns serviços, como por exemplo o recebimento de e-mails externos, poderão parar de funcionar.

Próxima página

Páginas do artigo

   1. Portas a Bloquear
   2. Regras de bloqueio no Squid
   3. Liberando para algumas máquinas

Outros artigos deste autor

Evite desgaste diário de seus CDs

Configurar autenticação no Postfix

Monitoramento de utilização do DNS

Rodando seu script como "service" no Conectiva

Virtual Host e Virtual Host Mod_Proxy

Leitura recomendada

Instalando natACL no Debian Etch (proxy autenticado)

Implementação de um proxy/cache para ganho de conexão

Grace - Usando a função "Regression"

Manual traduzido do Squid - Parte 2

Instalando o Videocache no Debian Lenny

Comentários

[1] Comentário enviado por leoberbert em 21/08/2006 - 17:27h

Esta do squid pelo menos comigo nunca funcionou! Ja o IPTABLES funciona numa boa! :)

Parabéns!

0 0

[2] Comentário enviado por cleicimar em 21/08/2006 - 17:48h

parabens pelo artigo so que no meu squid eu fiz o seguinte:

acl msn url_regex -i .msn.com http://207.46.1.6/gateway/gateway.dll? http://gateway.messenger.hotmail.com/gateway/gateway.dll? login.live.com http://207.46.1.6/gateway/gateway.dll? http://207.46.1.8/gateway/gateway.dll? http://207.46.1.10/gateway/gateway.dll? http://207.46.1.11/gateway/gateway.dll? http://207.46.1.12/gateway/gateway.dll? http://207.46.1.13/gateway/gateway.dll? http://207.46.1.14/gateway/gateway.dll?

se ajuda..
vlw

0 0

[3] Comentário enviado por ijv314 em 22/08/2006 - 07:26h

Bom dia,

Alguém sabe alguma receita quando os usuários do messenger tunelam uma conexão com uma maquina externa e apartir dessa maquina eles acessam o messenger. O pessoal aqui tem a pessima mania de usar o putty para fazer isso.

0 0

[4] Comentário enviado por solucoesnandor em 22/08/2006 - 08:30h

Caro Ismael, acho que a melhor pratica seria bloquear o repasse pelo teu firewall, para que eles não possam acessar maquinas externas pelo putty.
iptables -I FORWARD -s "ip da maquina" -p tcp --dport 22 -j DROP
Acima segue um exemplo, mas ainda assim o usuario pode mudar a porta do ssh que ele acessa e essa sua regra vai pro espaço, aqui na empresa eu uso a politica de que ninguem pode passar pelo firewall
iptables -I FORWARD -j DROP
Mas isso depende de rede pra rede, quanto mais você bloquear mais você "ingessa"
Abraço

0 0

[5] Comentário enviado por solucoesnandor em 22/08/2006 - 08:33h

Boa ideia Cleicimar mas é quase que a mesma coisa que eu trato no arquivo /bloqueio/msn, só que eu generalizo indicando o gateway.dll
Não testei essa tua ideia, mas ideias novas são sempre bem vindas
Obrigado !
Valew

0 0

[6] Comentário enviado por solucoesnandor em 22/08/2006 - 08:36h

Leonardo, talvez seja algum problema de posição de regras, porque o squid lê o arquivo de configuração de cima para baixo e da esquerda pra direita, de repente alguma regra está anulando a outra, se você estiver precisando dessa solução me coloco a disposição pra "brigarmos" em fazer funcionar no teu proxy.
Abraço

0 0

[7] Comentário enviado por DHRS em 22/08/2006 - 09:03h

Olá!
Bem agora sim parece muito fácil. Parabéns pelo tutorial vai contrinuir muito, isto é uma necessidade constante de administradores. Parabéns!

0 0

[8] Comentário enviado por andrei_scaratti em 13/07/2007 - 20:06h

Opa amigo meu ajudou muito essa dica...

0 0

[9] Comentário enviado por ACarlos em 03/05/2010 - 14:27h

Sou novato no linux, mais novato ainda no que se diz respeito à configuração do squid, peguei esse squid transparente já pronto em minha empresa, onde o MSN é totalmente bloqueado, tentei utilizar a dica acima para desbloquear alguns IP's mas sem sucesso, os seguintes erros aparecem quando reaplico as regras do squid:

Resultados de squid -k reconfigure .. 2010/05/03 14:18:06| strtokFile: etc/bloqueio/msn not found 2010/05/03 14:18:06| aclParseAclLine: WARNING: empty ACL: acl msn url_regex -i "etc/bloqueio/msn" 2010/05/03 14:18:06| ACL name 'msn_libera' not defined! FATAL: Bungled squid.conf line 66: http_access deny msn !msn_libera Squid Cache (Version 2.6.STABLE18): Terminated abnormally.

Alguem pode me socorrer?

Desde já, muito obrigado.

0 0

[10] Comentário enviado por franklincsilva em 27/06/2010 - 17:50h

Olá AC,

no meu caso a primeira vez que usei:

acl msn url_regex -i "/bloqueio/msn"
acl msn_libera src "ip máquina 01" "ip máquina 02"
http_access deny msn !msn_libera

Ele me deu o erro:
aclParseAclLine: WARNING: ......

Ma foi porque usei as aspas...
Sou seja coloque assim:

acl msn url_regex -i "/etc/squid/bloqueio/msn"
acl msn_libera src 192.168.1.2/192.168.1.3
http_access deny msn !msn_libera

Dei um start e funcionou sem erros:

Espero ter ajudado.

0 0