[FUG-BR] Bloqueio de MSN

Alessandro de Souza Rocha etherlinkii em gmail.com
Sexta Agosto 3 08:10:24 BRT 2007 

Em 02/08/07, Joao Victor da Costa<victor em openit.com.br> escreveu:
> Como dito anteriormente no meu e-mail.
> Se o firewall não estiver restritivo não irá adiantar....
> Afinal qual intuito de se bloquear msn e deixar outras coisas passando
> num firewall não restritivo...
> 0.o
>
> []'s.
>
> On Thu, 2007-08-02 at 14:09 -0300, Welkson Renny de Medeiros wrote:
> > Uso proxy transparent... mas como o msn nem sempre utiliza porta 80, não sei
> > se isso tem alguma utilidade... realmente não testei...
> >
> > Pelo PF tem funfado bem... time que tá ganhando não se mexe...
> >
> >
> > --
> > Welkson Renny de Medeiros
> > Focus Automação Comercial
> > Desenvolvimento / Gerência de Redes
> > welkson em focusautomacao.com.br
> >
> >
> >
> >                       Powered by ....
> >
> >                                            (__)
> >                                         \\\'',)
> >                                           \/  \ ^
> >                                           .\._/_)
> >
> >                                       www.FreeBSD.org
> >
> > ----- Original Message -----
> > From: "Joao Victor da Costa" <victor em openit.com.br>
> > To: "Lista_Brasileira_de_Discussão_sobre_FreeBSD_" <freebsd em fug.com.br>
> > Sent: Thursday, August 02, 2007 11:59 AM
> > Subject: Re: [FUG-BR] Bloqueio de MSN
> >
> >
> > Ola,
> >  Coisas mirabolantes estão sendo feitas.
> > Você utiliza proxy ?
> > Se sim, pq não bloqueia o MSN simplesmente bloqueando o MIME msn ?
> >
> > acl msn rep_mime_type -i ^application/x-msn-messenger
> > http_access deny msn
> >
> > []'s.
> >
> > Vale lembrar que para o correto funcionamento precisa-se de um firewall
> > restritivo na rede...
> >
> >
> > On Thu, 2007-08-02 at 10:44 -0300, Welkson Renny de Medeiros wrote:
> > > A minha em PF...
> > >
> > > # ips msn
> > > msn_ip = "{ 192.168.3.74, 192.168.1.3 }"
> > >
> > > msn_port = "{ 80, 1863 }"
> > >
> > > # bloquear MSN (excessoes na variavel "msn_ip")
> > > pass in quick on $int_if proto tcp from $msn_ip to 207.46.0.0/16 port
> > > $msn_port
> > > pass in quick on $int_if from $msn_ip to 65.54.239.0/16
> > > block in log quick on $int_if proto tcp from any to 207.46.0.0/16 port
> > > $msn_port
> > > block in log quick on $int_if from any to 65.54.239.0/16
> > >
> > > Se o ip muda, não sei... mas aqui pega uma /16 e funciona blz.... sempre
> > > que
> > > alguém precisa me liga pedindo para liberar, porque não entra de jeito
> > > nenhum...
> > >
> > >
> > > --
> > > Welkson Renny de Medeiros
> > > Focus Automação Comercial
> > > Desenvolvimento / Gerência de Redes
> > > welkson em focusautomacao.com.br
> > >
> > >
> > >
> > >                       Powered by ....
> > >
> > >                                            (__)
> > >                                         \\\'',)
> > >                                           \/  \ ^
> > >                                           .\._/_)
> > >
> > >                                       www.FreeBSD.org
> > >
> > >
> > > ----- Original Message -----
> > > From: "Lutieri G." <lutierigbtrabalho em gmail.com>
> > > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)"
> > > <freebsd em fug.com.br>
> > > Sent: Thursday, August 02, 2007 8:14 AM
> > > Subject: Re: [FUG-BR] Bloqueio de MSN
> > >
> > >
> > > Eu costumo bloquear pelo squid. Aí pode ser por MAC, usuário, ip de
> > > origem.. sei lah..
> > > Por exemplo:
> > >
> > >
> > >     ##Usuarios
> > >     acl usuarios_msn proxy_auth -i "usuarios_msn.txt"
> > >     ##Site MSN
> > >     acl msn url_regex -i gateway.messenger.
> > >     acl msn url_regex -i login.live.com
> > >     acl msn url_regex -i gateway.dll
> > >     acl msn url_regex -i msn.com
> > >
> > >     ##ACL's MSN
> > >     http_access allow usuarios_msn msn
> > >     http_access deny usuarios_msn all
> > >
> > >
> > >
> > >
> > > Em 01/08/07, Alessandro de Souza Rocha<etherlinkii em gmail.com> escreveu:
> > > > Em 01/08/07, Marcelo de Souza Sant'Anna<marcelo.santanna em gmail.com>
> > > > escreveu:
> > > > > Bloquear MSN por rede ou IP é complicado e não muito eficiente,
> > > > > principalmente porque a Microsoft está sempre modificando seus
> > > > > servidores. Além disto, você pode sem querer bloquear endereços que
> > > > > forneçam suporte a download de drivers para atualização das estações
> > > > > entre outros problemas.
> > > > >
> > > > > A maneira mais eficiente é bloquear softwares como este, assim como
> > > > > também softwares P2P, através do cabeçalho do pacote, de preferência
> > > > > no
> > > > > início da conexão, utilizando softwares ou equipamentos que façam a
> > > > > filtragem de conteúdo na camada de aplicação.
> > > > >
> > > > > Você também pode fazer este bloqueio, porém de forma mais simples,
> > > > > utilizando um servidor proxy e criando algumas regras de mime-type...
> > > > >
> > > > > Lembre sempre que se algum usuário utilizar algum webproxy, ou
> > > > > qualquer
> > > > > aplicativo para encapsular os dados, você terá como detectar através
> > > > > das
> > > > > regras que criou. Isto porque para você seus usuários estarão
> > > > > utilizando
> > > > > a porta 80 de um determinado site, quem não do MSN.
> > > > >
> > > > > Sites como ebuddy, permitem que o usuário utilizem o MSN passando tudo
> > > > > através do site deles, e você somente verá conexões para o site
> > > > > www.phonefox.com ou ebuddy.com
> > > > >
> > > > >
> > > > >
> > > > > On Wed, 2007-08-01 at 05:36 -0300, lucio_flavio wrote:
> > > > >
> > > > > > Pesquisei alguns topicos sobre bloqueio de msn aqui na lista e no
> > > > > > oraculo
> > > > > > google, a algum tempo atras consegui uma possivel "formula", porém
> > > > > > estou com
> > > > > > problemas em um cliente (parece que as maquinas acessam normalmente
> > > > > > o
> > > > > > msn.),
> > > > > > se
> > > > > > alguem puder me ajudar para que os demais que precisem tambem se
> > > > > > beneficiem.
> > > > > > Aqui esta o que fiz
> > > > > >
> > > > > > ### Tables ###
> > > > > > table <ips_bloqueados_ext> { 64.92.165.219, 64.233.171.85,
> > > > > > 206.190.49.191,
> > > > > > 72.14.209.85, 72.14.209.86, 72.14.209.87 }
> > > > > > table <ips_liberados_ext> { 200.215.114.175, 200.189.167.124 }
> > > > > > #-> MSN e Cia
> > > > > > table <chat_ips> {65.54.239.0/24, 64.12.200.89, 216.155.193.161,
> > > > > > 65.54.194.118,
> > > > > > 207.46.216.62}
> > > > > > table <chat_liberados_int> {10.0.15.110, 10.0.15.118, 10.0.15.117}
> > > > > >
> > > > > > # Bloqueio MSN e outros IMs
> > > > > > pass in quick on $int_if proto tcp from <chat_liberados_int> to any
> > > > > > port
> > > > > > {1863,
> > > > > > 3128, 8080}
> > > > > > pass in quick on $int_if proto tcp from <chat_liberados_int> to
> > > > > > <chat_ips>
> > > > > > port
> > > > > > { 80, 1863, 5050, 5190 }
> > > > > > block in quick on $int_if proto tcp from $internal_net to any port {
> > > > > > 3124,
> > > > > > 8000,
> > > > > > 6588, 65506, 444, 1863, 8080, 5050, 5190 }
> > > > > > block in quick on $int_if proto tcp from $internal_net to <chat_ips>
> > > > > > port {
> > > > > > 80,
> > > > > > 1863, 5050, 5190 }
> > > > > >
> > > > > > # Excecoes
> > > > > > block out on $ext_if proto tcp from any to <ips_bloqueados_ext>
> > > > > > block in on $int_if proto tcp from any to port { 3124 8000 8080 6588
> > > > > > 65506
> > > > > > 444
> > > > > > 8081 }
> > > > > >
> > > > > > Desde já grato pela ajuda!
> > > > > >
> > > > > > um abraço pessoal!
> > > > > > ------------------------- Histórico:
> > > > > > http://www.fug.com.br/historico/html/freebsd/ Sair da lista:
> > > > > > https://www.fug.com.br/mailman/listinfo/freebsd
> > > > > -------------------------
> > > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > > >
> > > >
> > > > eu tenho um forma melhor de bloquear msn da galera usano ipfw
> > > > com esta regra vc reduz o trafego em 60% do pacote para porta 1863
> > > > ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.2 to not
> > > > 192.168.0.0/24,200.0.0.0/8,201.0.0.0/8 1863
> > > > prente atenca que a unica maquina que vai ter acesso ao msn e o ip
> > > > 192.168.0.2
> > > > os reto da rede nao tera acesso ao menos que vc libera outra maquina
> > > > para acessar.
> > > > --
> > > > Alessandro de Souza Rocha
> > > > Administrador de Redes e Sistemas
> > > > Freebsd-BR User #117
> > > > -------------------------
> > > > Histórico: http://www.fug.com.br/historico/html/freebsd/
> > > > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> > > >
> > >
> > >
> --
> Joao Victor da Costa.
> Depto. de Suporte Unix
> http://www.techmaster.com.br http://www.openit.com.br
> http://www.myfreebsd.com.br
>
> Tel.: 2517-6001 e 2517-6002
> E-mail: victor em openit.com.br, suporteunix em techmaster.com.br
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

como postei anteriomente esta regra so liberar o ip 192.168.0.2 o
resto e bloqueado, mais vc pode mudar de acordo com seu gosto.
outra coisa so ip 2 e 3 vao ter acesso ao msn da vida.

ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.2 to not
192.168.0.0/24,200.0.0.0/8,201.0.0.0/8 1863

ipfw add 5000 prob 0.6 drop tcp from not 192.168.0.3 to not
192.168.0.0/24,200.0.0.0/8,201.0.0.0/8 1863

-- 
Alessandro de Souza Rocha
Administrador de Redes e Sistemas
Freebsd-BR User #117

Mais detalhes sobre a lista de discussão freebsd