Iptables onde criar ? e problema live msn 2011 transparent proxy (RESOLVIDO)



  • O msn não é bloqueado pois usa a porta 80 em transparent.

    <custom_options>redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3;acl msn_req req_mime_type application/x-msn-messenger;acl msn_rep rep_mime_type application/x-msn-messenger;http_access deny msn_req;http_reply_access deny msn_rep;</custom_options>

    Essa acl está errada ?

    Não consigo bloquear o msn!

    Onde posso criar iptables ?

    desde já grato



  • Ola Vina18,

    desse jeito nao sei se ira funcionar, mas voce teria que adicionar uma linha se nao me engano no  mime.conf

    echo "application/x-msn-messenger" >> /usr/local/etc/squid/mime.conf

    o firewall é simples /Firewall/Rules/lan é bem flexivel para voce criar suas regras



  • @vina18:

    O msn não é bloqueado pois usa a porta 80 em transparent.
    <custom_options>redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3;acl msn_req req_mime_type application/x-msn-messenger;acl msn_rep rep_mime_type application/x-msn-messenger;http_access deny msn_req;http_reply_access deny msn_rep;</custom_options>
    Essa acl está errada ?
    Não consigo bloquear o msn!
    Onde posso criar iptables ?

    @vina18,

    Para bloquear o MSN pra toda rede, procure utilizar o recurso de "Layer7" que analisa os pacotes na camada de aplicação (tipo de aplicação). Para tanto, basta ir até o menu "Firewall->Traffic Shaper->Layer7", criar uma regra bloqueando os pacotes do tipo "msnmessenger" e depois vinculá-la em uma rule da sua LAN. Outra opção é criar uma ACL customizada no SquidGuard contendo todos os destinos/URLs de conexão ao serviço MSN.

    De todo modo, evite editar manualmente os arquivos de configuração no PFSense. Salvo situações muito específicas, isso não se justifica… Muito pelo contrário, pode acarretar problemas no seu próximo upgrade da ferramenta.

    Abraços!
    Jack



  • @sachelaride

    Obrigado pela ajuda.

    Mas entrei no arquivo mime.conf e os seguintes campos foram apresentados.

    This file has the format :

    regex content-type icon content-encoding transfer-mode

    regexp content-type icon encoding mode
    #–---------------------------------------------------------------------------------
    .gif$ image/gif anthony-image.gif - image +download
    .mime$ www/mime anthony-text.gif - ascii +download
    ^internal-dirup$ - anthony-dirup.gif - -

    Começo da lista pois é muito grande!

    Nas regras em LAN já criei regras para bloquear diversas portas que o msn se conecta tando para autenticar,detectar a rede,troca de arquivos,e muitos outros (criei um aliases),isso tanto para TCP quanto para UDP.

    Para fazer um teste eu bloquei um IP para acesso a todas as porta e liberei apenas a porta 80.Mesmo assim o msn conectou  >:(
    Isso significa que o msn se conectou pela porta 80 e que esses aliases não me servem de nada.

    @JackL

    Testei o layer7 e também não consegui.Com a seguinte regra

    Action:Pass
    Interface:Lan
    Source:Any
    Destination:Any
    Destination port range:Any
    Layer7:MSN    (layer7 criado com a regra block msnmessenger)

    Adicionei uma lista de host que o msn conecta em dns forward para redireionar para o ip 127.0.0.1 e continua conectando.
    Adicionei uma lista no Squidguard com os host e dominio que o msn se conecta e nada.
    Foi apartir do dia 17/08/11 que o msn começou a funcionar (será q o tio Bill trocou o endereço do host ?)

    VO perguntar a ele  :P
    PS:USO TRANSPARENT PROXY



  • Tente isso:
    1- crie regra na lan bloqueando destination port 1863
    2- coloque os dominios do arquivo anexo em Proxy server: Access control na opção Blacklist

    Essa Blacklist não tem todos domínios possíveis, mas vai ajudar um pouco.

    Tenha em mente que Proxy transparente não bloqueia HTTPS. Alguns espertinhos podem conseguir furar
    o Proxy usando HTTPS em páginas que disponibilizam o MSN via Web. Ou utilizando proxy externos.

    Pelo menos, você vai dar alguma dor de cabeça aos usuários.

    msn_block_dominios.txt



  • @vina18:

    Foi apartir do dia 17/08/11 que o msn começou a funcionar (será q o tio Bill trocou o endereço do host ?)

    @vina18,

    Sim… isso mesmo. O protocolo MSN implementado pela MS vem sofrendo mutações constantes desde o lançamento do MSN Live Essentials 2011.

    O colega @johnnybe foi bem feliz na resposta que lhe encaminhou. Proceda como ele descreveu e vai conseguir fazer o que precisa. Apenas adicionalmente a lista encaminhada por ele, acrescente mais estas URL/EXPRESSÃO:
    "gateway.messenger.hotmail.com"
    "gateway.dll"

    Isso deve resolver! ;-)

    Abraços!
    Jack



  • @johnnybe @JackL

    Muito obrigado pela ajuda.

    Consegui bloquear o maldito msn  8) com a lista que o jhonny me passou.

    Segue ai a solução para muita gente.

    Agradeço mais uma vez a ajuda.


Locked