Gentoo Forums
Gentoo Forums
Gentoo Forums
Quick Search: in
[TIP] Bloquer MSN Messenger avec Shorewall
View unanswered posts
View posts from last 24 hours

 
Reply to topic    Gentoo Forums Forum Index French
View previous topic :: View next topic  
Author Message
razer
l33t
l33t


Joined: 08 Oct 2004
Posts: 893
Location: Paris - France

PostPosted: Thu Dec 08, 2005 12:10 pm    Post subject: [TIP] Bloquer MSN Messenger avec Shorewall Reply with quote

Responsable de l'administration des serveurs d'une entreprise, j'ai été confronté au problème MSN.
Ce problème a différents aspects :
Perte de productivité des employés, trop occupés à dialoguer avec copains / amants / Maîtresses et j'en passe
Sécurité des postes clients et du réseau global : je n'ai pas confiance dans un outil dont j'ignore le fonctionnement, à forciori lorsqu'il est signé Microsoft.

Tout d'abord un peu de théorie sur le protocole de connexion de MSN Messenger :
Le client tente des connexions directes via le port tcp 1863.
Si ce port est bloqué, il utilise des passerelles msn en se connectant via le port 80
De nouveau si cette connexion échoue, il essaye le port https 443
Les passerelles semblent actuellement toutes localisées sur un réseau de classe B : 207.46.0.0/16

Donc, sur la passerelle équipée d'un firewall configuré via Shorewall, voici comment procéder :
"loc" correspond au réseau local, "net" au réseau internet. Ce qui donne dans /etc/shorewall/interfaces :
Code:
#ZONE    INTERFACE  BROADCAST   OPTIONS
net ppp0    -
loc eth1    detect


Il convient de remplacer eth1 et ppp0 le cas échéant

Ensuite, dans /etc/shorewall/rules :
Code:
#ACTION  SOURCE     DEST        PROTO   DEST    SOURCE     ORIGINAL
#                                       PORT    PORT(S)    DEST
# Local vers net
DROP   loc                 net:207.46.0.0/16   tcp - -
DROP   loc                 net:207.46.0.0/16   udp - -
DROP   loc                        net                 tcp 1863 -
DROP   loc                        net                 udp 1863 -
DROP   loc                        net                 tcp - 1863
DROP   loc                        net                 udp - 1863
# net vers Local
DROP   net:207.46.0.0/16   loc                 tcp - -
DROP   net:207.46.0.0/16   loc                 udp - -
DROP   net                        loc                 tcp 1863 -
DROP   net                        loc                 udp 1863 -
DROP   net                        loc                 tcp - 1863
DROP   net                        loc                 udp - 1863


Remarques :
Certaines règles sont sans doute superflues, mais après avoir passé pas mal de temps à essayer de bloquer ce fichu programme aux connections typées "gangrène", je n'ai pas tenté de simplifier la config
Il y a sans doute un moyen de faire plus simple, grâce aux autres fichiers de conf de shorewall ("policy" par exemple), j'attends les contributions éventuelles.
Back to top
View user's profile Send private message
pyxel
n00b
n00b


Joined: 04 Nov 2005
Posts: 44
Location: Bratislava/brussels

PostPosted: Sat Feb 11, 2006 6:02 pm    Post subject: Reply with quote

merci pour ce tip, vraiment utile dans mon ecole^^
;)
Back to top
View user's profile Send private message
Timz
n00b
n00b


Joined: 24 Oct 2005
Posts: 42
Location: Lyon/Paris - FRANCE

PostPosted: Sat May 06, 2006 7:53 pm    Post subject: Reply with quote

chez moi :

> gateway.messenger.hotmail.com A 207.46.110.249

iptables -A FORWARD -i interface_lan -s 192.168.10.0/24 -o interface_exterieur -d 207.46.110.249 -p tcp --dport 80 -j REJECT

et ca marche aussi ;)
_________________
Gentoo rocks !!!
Back to top
View user's profile Send private message
p0uLp3
n00b
n00b


Joined: 26 May 2005
Posts: 14
Location: /dev/proc

PostPosted: Sat May 06, 2006 9:59 pm    Post subject: Reply with quote

Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up, je ne connais pas son fonctionnement mais il serait peut etre bon de tester aussi pour etre sur de ne plus avoir de problèmes ^^

++
Back to top
View user's profile Send private message
geekounet
Bodhisattva
Bodhisattva


Joined: 11 Oct 2004
Posts: 3756
Location: Lyon, France

PostPosted: Sun May 07, 2006 9:22 am    Post subject: Reply with quote

p0uLp3 wrote:
Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up, je ne connais pas son fonctionnement mais il serait peut etre bon de tester aussi pour etre sur de ne plus avoir de problèmes ^^

++

Et ya aussi ce site qui utilise une interface AJAX pour MSN. Je ne vois pas trop comment empêcher d'y accéder, à part mettre en place un proxy.
_________________
Google+ | Twitter
Back to top
View user's profile Send private message
dyurne
Guru
Guru


Joined: 19 Aug 2003
Posts: 475
Location: Lille, France

PostPosted: Tue May 09, 2006 9:05 am    Post subject: Reply with quote

pierreg wrote:
Et ya aussi ce site qui utilise une interface AJAX pour MSN. Je ne vois pas trop comment empêcher d'y accéder, à part mettre en place un proxy.

Idem pour www.meebo.com.

p0uLp3 wrote:
Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up

http://webmessenger.msn.com/

Il est peut être nécessaire de mettre en place des règles qui refuse d'accéder à ces différents sites...
_________________
- Ah bah nan...
- Si !
Back to top
View user's profile Send private message
Display posts from previous:   
Reply to topic    Gentoo Forums Forum Index French All times are GMT
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum