Bloqueando MSN/WeMsn com iptables,ipchains e Squid

[_Dr4k0_]

Autoria de William da Rocha Lima

Vou relatar como bloquear o MSN ou WebMensseger, usando iptables, ipchains e squid. Não chamaria de artigo e sim uma dica, porque eu particularmente não agüento mais ver tanta gente falando que não consegue bloquear o MSN, e outras pessoas menos experientes dando soluções invalidas ou sem sucesso. IPTABLES

Bloqueando MSN

A regra abaixo bloqueia qualquer host da rede ao conectar no MSN:

iptables -A FORWARD -s LAN -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s LAN -d loginnet.passport.com -j REJECT

LAN = Rede interna (192.168.0.0/32)

Essa regra libera para o host 192.168.0.2, 192.168.0.3 e 192.168.0.4

# Host Liberados
iptables -A FORWARD -s 192.168.0.2/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3/32 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.4/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.4/32 -d loginnet.passport.com -j ACCEPT

# Bloqueando os Demais
iptables -A FORWARD -s 192.168.0.0/32 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/32 -d loginnet.passport.com -j REJECT

Bloqueando WebMensseger

Para bloquear o WebMensseger basta usar o seguinte host: webmessenger.msn.com

iptables -A FORWARD -s LAN -d webmessenger.msn.com -j REJECT

LAN = Rede interna (192.168.0.0/32)

Essa regra libera para o host 192.168.0.2, 192.168.0.3 e 192.168.0.4

# Host Liberados
iptables -A FORWARD -s 192.168.0.2/32 -d webmessenger.msn.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3/32 -d webmessenger.msn.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.4/32 -d webmessenger.msn.com -j ACCEPT

# Bloqueando os Demais
iptables -A FORWARD -s 192.168.0.0/32 -d webmessenger.msn.com -j REJECT

Esse script é uma outra forma que você possa bloquear o MSN
PORTS="1863:1864 6891:6900 6901 1863 5190 6901"

for PORT in $PORTS; do

$IPTABLES -A FORWARD -o $DEV_PUB -s ! 192.168.0.20 -p tcp --dport $PORT -j DROP

done

$IPTABLES -A FORWARD -s ! 192.168.1.20 -d 64.4.13.0/24 -j REJECT


IPCHAINS

Saiba como bloquear usando o ipchains, apesar de ser um firewall antigo decidi colocar que muitos admin não migraram para o iptables.

Bloqueando MSN

ipchains -A input -p TCP -b --sport 1863 -j DENY
ipchains -A input -b -d loginnet.passport.com -j DENY

Bloqueando WebMensseger

ipchains -A input -b -d webmessenger.msn.com -j DENY

Não vou aborda mais sobre o ipchains devido ao pouco uso.

SQUID

Caso você use proxy e deseja bloquear o MSN, para algum usuário/ip vou mostrar como fazer as regras.

Bloqueando MSN

acl msn dstdomain loginnet.passport.com
http_access deny msn

acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$

http_access deny msnmessenger
http_access deny MSN

Bloqueando WebMensseger

acl webmsn dstdomain webmessenger.msn.com
http_access deny webmsn

Liberando MSN apenas no horário do almoço e final do expediente (Fábio Augusto )

acl msn url_regex loginnet.passport.com
acl almoco time MTWHF 12:05-13:55 18:05-19:00

http_access allow msn almoco
http_access deny msn

Liberando MSN apenas para alguns usuários ou ip, nesse caso vamos usar blacklist

Esse exemplo é para quem usa Autenticação

acl listabloqueada url_regex -i "/etc/squid/listas/blocked"
acl msn url_regex -i gateway.messenger.com
acl permitidos proxy_auth fulano ciclano beltrano

http_access allow msn permitidos
http_access deny msn
http_access deny listabloqueada

Esse outro exemplo é por IP, caso não use autenticação.

acl listabloqueada url_regex -i "/etc/squid/listas/blocked"
acl msn url_regex -i gateway.messenger.com
acl ips src 192.168.0.2 192.168.0.4 192.168.0.30

http_access allow msn ips
http_access deny msn
http_access deny listabloqueada

[brunosolar]

gostei muito do topico, porem lembre-se que a cada dia aparecem novos metodos para se acessar os IMs da vida. Por exemplo os famoso MEEBOO ou os IloveIM (que so este ultimo consiste em pelos menos umas 15 urls diferentes para acessar o IM ) e por mais que os adicione as regras dos firewalls/proxys, alem de se conectarem pela porta 80, novos irao surgir e a cada nova regra um novo gargalo será criado.

Mais uma vez posso estar falando besteira.. mas que e dificil bloquear estes messengers ... isso são.


Abraços

[JulioReis]

Boa Noite, sou novo por aqui e lí suas dicas a respeito de impedir do MSN...
Gostaria de saber se vc conhece um método eficáz pra CONTROLAR o uso do MSN, pois não quero impedir radicalmente, muito menos invadir a privacidade de ninguem, quero simplesmente controlar com quem os usuários de minha empresa conversam... eu gostaria da possibilidade de um gerenciador de controle que o user solicita quem ele quer adicionar e depois de certa pesquisa eu (admin) cadastrar o contato dele...
Assim limitando o user a ter apenas contatos profissionais...
Aguardo e agradeço
Júlio

[fgp]

Boa Noite, sou novo por aqui e lí suas dicas a respeito de impedir do MSN...
Gostaria de saber se vc conhece um método eficáz pra CONTROLAR o uso do MSN, pois não quero impedir radicalmente, muito menos invadir a privacidade de ninguem, quero simplesmente controlar com quem os usuários de minha empresa conversam... eu gostaria da possibilidade de um gerenciador de controle que o user solicita quem ele quer adicionar e depois de certa pesquisa eu (admin) cadastrar o contato dele...
Assim limitando o user a ter apenas contatos profissionais...
Aguardo e agradeço
Júlio

Se você pretende fazer isso deve considerar alguns fatores.
Se o MSN é um meio de contato que contribui para os negócios da empresa, torna-se viável a empresa criar contas exclusivas para cada funcionário, mas que sejam contas que pertencem á empresa. Com algumas regras como por exemplo informar a cada contato adicionado.

Observe se você está pretendendo monitorar uma conta que a empresa disponibilisa para os funcionários usarem a serviço ou se os funcionários usam contas particulares para isso.

[zecadolinux]

Estávamos com este mesmo problema, fazer com que funcionários se comunicassem somente com pessoas autorizadas pela empresa, com o msn até onde pesquisamos isto é impossível. A solução foi instalar em nossos servidores o wildfire (http://www.jivesoftware.org/wildfire), ou seja, criar um chat privado para a empresa. O software está até o momento funcionando normalmente e atendendo nossas necessidades.

[zecadolinux]

Complementando... Fora estes servidores de aplicação como: meebo, msn2go, iloveim dentre outros tantos que inviabiliza gastar tempo olhando registros para bloquear um a um, tem a questão do acesso remoto, posso deixar minha máquina ligada em casa e conectada ao msn, acessá-la remotamente e utilizar o msn dela, fazendo de minha máquina um servidor de aplicação.