Alexandre:
Apesar de já terem sido postadas várias respostas aqui acerca de uma
solução viável para seu problema quero dar minha contribuição com alguns
complementos:
- O MSN/Live Messenger tenta de três formas realizar a conexão com o
serviço:
1 - Conexão direta através da porta 1863.
2 - Através da porta 80 se a conexão direta falhar.
3 - Através do proxy que estiver configurado nas opções da internet do
Windows caso as duas conexões anteriores falharem. Adicionalmente você
pode forçar o MSN/Live a utilizar um servidor proxy.
- Para efetivamente bloquear o uso do MSN em uma solução mista de squid
com iptables (sem qualquer módulo adicional) é necessário.
1 - Bloquear o FORWARD de sua rede local para a porta 1863.
2 - Bloquear o FORWARD de sua rede local para a porta 80.
3 - Obrigatoriamente utilizar o squid para permitir o acesso às páginas
http e https e criar algumas acls que façam o bloqueio do MSN, já que o
iptables bloqueia a porta 80.
E que tipo de ACLs seriam estas?? Vamos a elas:
1 - Expressão regular que combina com o tipo de conteúdo contido no
cabeçalho de requisição. Ex:
acl MSN_req_mime_type req_mime_type application/x-msn-messenger
2 - Expressão regular que combina com o tipo de conteúdo da resposta
recebida pelo squid. Ex:
acl MSN_rep_mime_type rep_mime_type application/x-msn-messenger
3 - Busca na URL uma expressão regular que especificada. É
case-sensitive.No exemplo, faz bloqueio à famigerada gateway.dll:
acl MSN_gateway_dll url_regex -i gateway.dll
4 - Adicionalmente ainda é possível utilizar ACLs para realizar bloqueio
à tentativa de conexões à domínios correlatos ao MSN.
acl MSN_login_domain dstdomain
loginnet.passport.com
acl MSN_webmessenger dstdomain
webmessenger.msn.com
Lembrando que não basta apenas declarar as ACLs, também é preciso fazer
com que elas tenham efeito usando as diretivas http_access, como no
exemplo abaixo:
http_access deny MSN_req_mime_type
http_access deny MSN_login_domain
http_access deny MSN_gateway_dll
http_access deny MSN_webmessenger
Após as todas diretivas http_acess ainda é preciso acrescentar na seção
adequada do squid.conf:
http_reply_access allow all !MSN_rep_mime_type
Estes exemplos devem ser adaptados à realidade do seu servidor e
obviamente você vai distribuir as ACLs de exemplo e seus respectivos
bloqueio junto com as demais ACLs de acordo com a política de acesso de
sua organização.
Obs: Estes exemplos de configuração também funcionam quando se está
utilizando proxy transparente e foram extraídos de instalações em
ambientes de produção do mundo real com centenas de usuários.
Sugiro a leitura destes dois links que irão ajudar muito com sua
configuração:
http://www.linuxman.pro.br/squid
http://www.guiafoca.org/guia/avancado/ch-fw-iptables.htm
Robert Pereira
Salvador - BA
Em Dom, 2007-05-06 às 19:33 +0000, Alexandre Singulani escreveu:
Galera, to implementando um firewall aqui e gostaria de saber como
faço pra bloquear o msn na rede toda, pois todas as regras que achei
na net ate agora, nao estao mais funcionando.
[]s
______________________________________________________________________
O Windows Live Spaces é seu espaço na internet com fotos (500 por
mês), blog e agora com rede social. Particpe também!
--
Fedora-users-br mailing list
Fedora-users-br(a)redhat.com
https://www.redhat.com/mailman/listinfo/fedora-users-br