Andre Novelli - Depto de TI escreveu:
ultimamento o que tenho feito alem dos bloqueios normais, é rodar um exe no usuario (no caso do windows) onde eu mato os executaveis que eu nao quero que rodem. tosco mas funcional.Como eu uso active directory com group polices fica facil limitar tudo por GPO's .Em Quarta 22 Agosto 2007, Daniel escreveu:juliana, a lista de mac é fácil fazer, o pessoal até já te passou como... mas nào acho que só bloqueando a porta 1863 seu msn para.. bloquear msn nào é uma tarefa tão simples, eu mesmo já tentei muitas e muitas coisas, e mesmo conseguindo por um tempinho, sempre surge um outro caminho para conexão.. já tentei com o layer7, por portas, por expressão, mas nunca consegui bloqueá-lo efetivamente.. saiu uma dica no l-d-cas da unicamp uma vez, mas tb está furada... enfim, apesar de vc ter pedido algo simples, o resultado nào será satisfatório.. mas boa sorte.. :-) []'s daniel _____ De: Juliana Guisolberto [mailto:juliana.guisolberto@gmail.com] Enviada em: terça-feira, 21 de agosto de 2007 11:34 Para: Linux Debian Assunto: Bloquear msn com Iptables por mac address Bom dia Pessoal, Estou bloqueando o msn aqui na empresa, porém só para alguns mac-address. Fiz a seguinte regra no Iptables que funcionou com exito --> iptables -A FORWARD -m mac --mac-source "macaddress"-p tcp --dport 1863 -j DROP, porém eu tenho uma lista de mac-address para bloquear. E eu gostaria de deixar esses mac-address em um arquivo e ao invés de eu criar a regra para cada mac-address, eu apontaria para o diretório aonde está o arquivo que eu criei com a lista de mac-address. Tentei fazer da seguinte forma: iptables -A FORWARD -m mac --mac-source "\etc\macaddress(arquivo aonde está o mac address"-p tcp --dport 1863 -j DROP, porém não funcionou. Alguém tem idéia se é possível e como posso fazer isso? Obrigada, Juliana
Pessoal,Uma boa solução que encontrei e resolveram meus problemas, foi a criação de regras no squid e no iptables para fazer este bloqueio.
As versões mais novas dos msn fazer um tunel pela porta 80, o que o firewall não consegue bloquear. Por isso além de bloquear as porta nativa do programa, criamos algumas regras que bloqueiam a saída pela porta 80 também, estou mandando o que fizermos, deve funcionar no caso de vcs também.
Boa Sorte
Pedro
IPTABLES
# MSN
echo " CONFIGURACAO DE REGRAS DE MSN ------------------------- OK"
iptables -N MSN
iptables -A FORWARD -p tcp --syn --dport 1863 -j MSN
for i in `cat /etc/squid/arq_conf/m_msn`
do
iptables -A MSN -s $i -p tcp --dport 1863 -j DROP
iptables -A MSN -d $i -p tcp --sport 1863 -j DROP
done
iptables -A MSN -m limit --limit 1/s -p tcp --syn --dport
1863 -j LOG --log-prefix "FRW: ACESSO MSN "
# SQUID acl MsnP req_mime_type application/x-msn-messengeracl Msn dstdomain gateway.messenger.hotmail.com loginnet.passport.com c.msn.com rad.msn.com 65.54.194.118 207.68.178.61
acl MsnA url_regex .dllacl BloqueadosMsn dstdomain gateway.messenger.hotmail.com loginnet.passport.com
http_access allow maquinas_MSN MsnP http_access allow maquinas_MSN MsnA http_access deny MsnP http_access deny Msn http_access deny MsnA