Netgate Discussion Forum
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search
    • Register
    • Login

    Iptables onde criar ? e problema live msn 2011 transparent proxy (RESOLVIDO)

    Scheduled Pinned Locked Moved Portuguese
    7 Posts 4 Posters 3.6k Views
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • V
      vina18
      last edited by

      O msn não é bloqueado pois usa a porta 80 em transparent.

      <custom_options>redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3;acl msn_req req_mime_type application/x-msn-messenger;acl msn_rep rep_mime_type application/x-msn-messenger;http_access deny msn_req;http_reply_access deny msn_rep;</custom_options>

      Essa acl está errada ?

      Não consigo bloquear o msn!

      Onde posso criar iptables ?

      desde já grato

      Just do it !

      1 Reply Last reply Reply Quote 0
      • S
        sachelaride
        last edited by

        Ola Vina18,

        desse jeito nao sei se ira funcionar, mas voce teria que adicionar uma linha se nao me engano no  mime.conf

        echo "application/x-msn-messenger" >> /usr/local/etc/squid/mime.conf

        o firewall é simples /Firewall/Rules/lan é bem flexivel para voce criar suas regras

        1 Reply Last reply Reply Quote 0
        • JackLJ
          JackL
          last edited by

          @vina18:

          O msn não é bloqueado pois usa a porta 80 em transparent.
          <custom_options>redirect_program /usr/local/bin/squidGuard -c /usr/local/etc/squidGuard/squidGuard.conf;redirector_bypass on;redirect_children 3;acl msn_req req_mime_type application/x-msn-messenger;acl msn_rep rep_mime_type application/x-msn-messenger;http_access deny msn_req;http_reply_access deny msn_rep;</custom_options>
          Essa acl está errada ?
          Não consigo bloquear o msn!
          Onde posso criar iptables ?

          @vina18,

          Para bloquear o MSN pra toda rede, procure utilizar o recurso de "Layer7" que analisa os pacotes na camada de aplicação (tipo de aplicação). Para tanto, basta ir até o menu "Firewall->Traffic Shaper->Layer7", criar uma regra bloqueando os pacotes do tipo "msnmessenger" e depois vinculá-la em uma rule da sua LAN. Outra opção é criar uma ACL customizada no SquidGuard contendo todos os destinos/URLs de conexão ao serviço MSN.

          De todo modo, evite editar manualmente os arquivos de configuração no PFSense. Salvo situações muito específicas, isso não se justifica… Muito pelo contrário, pode acarretar problemas no seu próximo upgrade da ferramenta.

          Abraços!
          Jack

          Treinamentos de Elite: http://sys-squad.com
          Soluções: https://conexti.com.br

          1 Reply Last reply Reply Quote 0
          • V
            vina18
            last edited by

            @sachelaride

            Obrigado pela ajuda.

            Mas entrei no arquivo mime.conf e os seguintes campos foram apresentados.

            This file has the format :

            regex content-type icon content-encoding transfer-mode

            regexp content-type icon encoding mode
            #–---------------------------------------------------------------------------------
            .gif$ image/gif anthony-image.gif - image +download
            .mime$ www/mime anthony-text.gif - ascii +download
            ^internal-dirup$ - anthony-dirup.gif - -

            Começo da lista pois é muito grande!

            Nas regras em LAN já criei regras para bloquear diversas portas que o msn se conecta tando para autenticar,detectar a rede,troca de arquivos,e muitos outros (criei um aliases),isso tanto para TCP quanto para UDP.

            Para fazer um teste eu bloquei um IP para acesso a todas as porta e liberei apenas a porta 80.Mesmo assim o msn conectou  >:(
            Isso significa que o msn se conectou pela porta 80 e que esses aliases não me servem de nada.

            @JackL

            Testei o layer7 e também não consegui.Com a seguinte regra

            Action:Pass
            Interface:Lan
            Source:Any
            Destination:Any
            Destination port range:Any
            Layer7:MSN    (layer7 criado com a regra block msnmessenger)

            Adicionei uma lista de host que o msn conecta em dns forward para redireionar para o ip 127.0.0.1 e continua conectando.
            Adicionei uma lista no Squidguard com os host e dominio que o msn se conecta e nada.
            Foi apartir do dia 17/08/11 que o msn começou a funcionar (será q o tio Bill trocou o endereço do host ?)

            VO perguntar a ele  :P
            PS:USO TRANSPARENT PROXY

            Just do it !

            1 Reply Last reply Reply Quote 0
            • J
              johnnybe
              last edited by

              Tente isso:
              1- crie regra na lan bloqueando destination port 1863
              2- coloque os dominios do arquivo anexo em Proxy server: Access control na opção Blacklist

              Essa Blacklist não tem todos domínios possíveis, mas vai ajudar um pouco.

              Tenha em mente que Proxy transparente não bloqueia HTTPS. Alguns espertinhos podem conseguir furar
              o Proxy usando HTTPS em páginas que disponibilizam o MSN via Web. Ou utilizando proxy externos.

              Pelo menos, você vai dar alguma dor de cabeça aos usuários.

              msn_block_dominios.txt

              you would not believe the view up here

              1 Reply Last reply Reply Quote 0
              • JackLJ
                JackL
                last edited by

                @vina18:

                Foi apartir do dia 17/08/11 que o msn começou a funcionar (será q o tio Bill trocou o endereço do host ?)

                @vina18,

                Sim… isso mesmo. O protocolo MSN implementado pela MS vem sofrendo mutações constantes desde o lançamento do MSN Live Essentials 2011.

                O colega @johnnybe foi bem feliz na resposta que lhe encaminhou. Proceda como ele descreveu e vai conseguir fazer o que precisa. Apenas adicionalmente a lista encaminhada por ele, acrescente mais estas URL/EXPRESSÃO:
                "gateway.messenger.hotmail.com"
                "gateway.dll"

                Isso deve resolver! ;-)

                Abraços!
                Jack

                Treinamentos de Elite: http://sys-squad.com
                Soluções: https://conexti.com.br

                1 Reply Last reply Reply Quote 0
                • V
                  vina18
                  last edited by

                  @johnnybe @JackL

                  Muito obrigado pela ajuda.

                  Consegui bloquear o maldito msn  8) com a lista que o jhonny me passou.

                  Segue ai a solução para muita gente.

                  Agradeço mais uma vez a ajuda.

                  Just do it !

                  1 Reply Last reply Reply Quote 0
                  • First post
                    Last post
                  Copyright 2025 Rubicon Communications LLC (Netgate). All rights reserved.