» Menu

» Últimos artigos

Visualizando Área de Trabalho Remota Recuperando sistema em mirror LVM 1 LMDE Xfce - Instalação, configuração e extras Linux com Java 1.7 + JBoss 7 VPN PPTP - Instalação entre estações Windows, Dispositivos com Android e CentOS 5.x Server Introdução a CGI com a RFC 3875

» Últimas dicas

ZTE V821: Android Dual Sim Forçando a montagem do sistema de arquivos e do disco rígido para corrigir problemas Criando e instalando DEB do XAMPP Redimensionando imagens com Nautilus-Image-Manipulator Qual distribuição Linux o iniciante deve usar? Considerações de um ex-usuário Windows Ubuntu 12.04 LTS - Instalando o Hamachi Ubuntu 12.04 LTS - Instalando o Remastersys FFmpeg - Como inserir Logo em vídeo

» Segurança Linux

[Dica] Pacote Oficial Linux LPI [Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux.

» Últimos scripts

[Shell-Script] traduz_man - traduzir man pages [C/C++] Substituidor de letras [Python] Conexão de Roteadores CISCO [Shell-Script] Escrever números, datas, horas e outros por extenso [Shell-Script] Script simples de Backup para os diretórios listados abaixo do /

Intranet Open Source

Treinamento Zope Plone

» Destaques

28/05 - Palestra RJ: Django - um framework web para perfeccionistas co... (0) CloudConf LatAm 2012 (1) 04-06/06/2012 - Chamada para o IX Evidosol/VI Ciltec-online (0)

» Screenshot

Por ACTI0NX

» Login

» Top 10 usuários

6481738: Fábio Berbert de Paula 5651894: Alessandro de Oliveira Faria (A.K.A. CABELO) 2671347: Elgio Schlemer 2662918: Davidson Rodrigues Paulo 2560757: Xerxes Lins 2381279: Jefferson Estanislau da Silva 2311006: Percival F. Jr. 2230147: Cicero Juliao da Silva Junior 2119728: André L. (pinduvoz) 2094299: Edinaldo P. Silva

» Perguntas

SamSung CLX-3170FN (0) Nova distro - sugestão para União Livre (6) Formatar cartão SD (12) squid.conf ajuda (0) debian 5 (7) Há como, via linha de comando, exibir um texto criptografado? [RESOLVI... (2) Dúvida - WPAD (0) Liberar MSN + Hotmail no Squid (0)

» .Conf

[Squid] squid.conf - Simples configuração do squid [backup-manager] backup-manager.conf - Configuração de backup simples com backup-mana... [Asterisk] asterisk.conf - Arquivo Configuração asterisk [iptables] firewall.sh - firewall.sh [mutt] muttrc - arquivo de configuração para o Mutt

Dica

Bloqueando MSN messenger com iptables

Publicado por Abel em 13/04/2007

Login: abelardo, 351730 pontos

[ Hits: 11532 ]

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar dica

Bloqueando MSN messenger com iptables

Bom, hoje em dia nas empresas é bastante comum administradores de redes quererem bloquear o MSN, pois além de ocupar banda, os usuários às vezes deixam de trabalhar para ficarem conversando, sem falar na questão de segurança, em que muitos ficam transferindo arquivos e podendo comprometer sua rede.

Tentei fazer bloqueio com Squid, mas não obtive sucesso, então depois de muito estudar e tentar encontrei uma forma de bloquear o MSN com iptables, diga-se de passagem que não é uma coisa muito fácil, pois o MSN usa diversas portas para conectar, como 80, 8080, etc. Imagina se você bloqueia a porta 80, ninguém entra mais no MSN, mas também, ninguém mais navega! :(

Vamos lá então:

Bloqueando MSN:

# /sbin/iptables -I FORWARD -s 10.0.0.0/24 -p tcp --dport 1863 -j DROP

Liberando MSN:

# /sbin/iptables -I FORWARD -s 10.0.0.203/255.255.255.255 -p tcp --dport 1863 -j ACCEPT

Substitua a faixa de ip, reinicie o iptables e adicione essa nova regra, foi testado aqui na empresa e ele conseguiu bloquear, não entra mais de jeito nenhum, só quem eu liberar, mas não foi testado com o MSN live, somente com até 7.5 e ele realmente bloqueia.

Espero ter ajudado alguém.

Abraços.

Outras dicas deste autor

Configurando um proxy trasparente com liberação para o site da caixa (Conectividade Social)

Leitura recomendada

Remover vírus do pendrive e até de HDs com Linux e Windows

Serviços desnecessários rodando no S.O. são um risco

Usando o iptables de forma eficiente

Bloqueando Gtalk-web e Gtalk-Desktop pelo IPtables

PUCK: Uma distribuição Linux com as melhores ferramentas de teste de intrusão

Comentários

[1] Comentário enviado por y2h4ck em 16/04/2007 - 16:00h:

Mas isto não funciona, uma vez que se você bloquear a porta 1863 o msn encapsula o trafego através da porta 80 e 443.

:)

Para fazer a filtragem de MSN de forma convincente deve-se utilizar um proxy para filtrar a camada 7 (aplicação).

- Squid + Dansguardian
- ISA server 2006
- OOps

Qualquer um deles seria suficiente.

Obrigado
Abraços.

[2] Comentário enviado por abelardo em 16/04/2007 - 16:21h:

Cara, o seguinte, eu to usando dessa maneira aqui na empresa, com ip tables e com proxy trasparente, eu sei do que voce esta falando, ele realmente procura outras portas, mas aqui funcionou, neninguem consegue acessas pelo 7.5 (nao testei o live ainda), :)

[3] Comentário enviado por nil_anderson em 16/12/2007 - 23:40h:

Abelardo,

Está funcionando, pois como você já mencionou o Proxy é transparente. Quando o Proxy é autenticado ou quando há configuração de Proxy nos navegadores IE ocorre o problema de conexão pelo squid/ISA Server.

A conexão do cliente MSN é somente na porta TCP/1863, mas quando há alguma configuração de Proxy nas "opções de internet" o cliente MSN consulta tais configurações e se no Proxy estiver liberado o acesso, ele consegue conectar, compreende?

A solução é bloquear o MSN no Proxy nestes casos... logo sairá uma dica com os procedimentos mais práticos/completos para este assunto.

Outra alternativa é a seguinte, atualmente a política de muitas empresas é de bloquear o acesso ao MSN, há alguns softwares SOCKS que controlam a utilização deste recurso e ainda podem determinar com quais contatos são permitidos conversar, envio/recebimento de arquivos...
Particularmente conheço dois softwares que fazem isso, que é o IMControl e o Trevio/SOCKSArmor. Após testar as duas soluções, verifiquei que o Trevio/SOCKSArmor possui grandes diferenciais relação a esta situação, o software faz controle de conversas em tempo real, pode-se adicionar regras relacionando objetos.... realmente o funcionamento é bastante interessante.

Talvez fosse interessante fazer alguns testes com a versão 'demo' existente atualmente. Procure no Google pela palavra: Trevio que você encontrará... Penso que sua empresa irá gostar desta solução ;)

[4] Comentário enviado por legista em 23/10/2008 - 12:54h:

e ai pessoal?

que tal fazer diferente?

ao invez de bloquear a porta pq ele sempre fica escorregando para as outras bloqueia o ip destino?

iptables -A FORWARD -d 207.46.0.0/16 -j DROP ---> para proibir a rede toda.

tentem ai para ver se funfa

Abs a todos

Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL

Site hospedado por:

Viva o Linux

A maior comunidade Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda em Linux.

Estatísticas do site Equipe de moderadores FAQ: Perguntas freqüentes Membros da comunidade

Dica

Home » Dicas » Linux » Segurança » Visualização de dica

Bloqueando MSN messenger com iptables

Bloqueando MSN messenger com iptables

Viva o Linux