View previous topic :: View next topic |
Author |
Message |
razer l33t
Joined: 08 Oct 2004 Posts: 893 Location: Paris - France
|
Posted: Thu Dec 08, 2005 12:10 pm Post subject: [TIP] Bloquer MSN Messenger avec Shorewall |
|
|
Responsable de l'administration des serveurs d'une entreprise, j'ai été confronté au problème MSN.
Ce problème a différents aspects :
Perte de productivité des employés, trop occupés à dialoguer avec copains / amants / Maîtresses et j'en passe
Sécurité des postes clients et du réseau global : je n'ai pas confiance dans un outil dont j'ignore le fonctionnement, à forciori lorsqu'il est signé Microsoft.
Tout d'abord un peu de théorie sur le protocole de connexion de MSN Messenger :
Le client tente des connexions directes via le port tcp 1863.
Si ce port est bloqué, il utilise des passerelles msn en se connectant via le port 80
De nouveau si cette connexion échoue, il essaye le port https 443
Les passerelles semblent actuellement toutes localisées sur un réseau de classe B : 207.46.0.0/16
Donc, sur la passerelle équipée d'un firewall configuré via Shorewall, voici comment procéder :
"loc" correspond au réseau local, "net" au réseau internet. Ce qui donne dans /etc/shorewall/interfaces :
Code: | #ZONE INTERFACE BROADCAST OPTIONS
net ppp0 -
loc eth1 detect
|
Il convient de remplacer eth1 et ppp0 le cas échéant
Ensuite, dans /etc/shorewall/rules :
Code: | #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
# Local vers net
DROP loc net:207.46.0.0/16 tcp - -
DROP loc net:207.46.0.0/16 udp - -
DROP loc net tcp 1863 -
DROP loc net udp 1863 -
DROP loc net tcp - 1863
DROP loc net udp - 1863
# net vers Local
DROP net:207.46.0.0/16 loc tcp - -
DROP net:207.46.0.0/16 loc udp - -
DROP net loc tcp 1863 -
DROP net loc udp 1863 -
DROP net loc tcp - 1863
DROP net loc udp - 1863 |
Remarques :
Certaines règles sont sans doute superflues, mais après avoir passé pas mal de temps à essayer de bloquer ce fichu programme aux connections typées "gangrène", je n'ai pas tenté de simplifier la config
Il y a sans doute un moyen de faire plus simple, grâce aux autres fichiers de conf de shorewall ("policy" par exemple), j'attends les contributions éventuelles. |
|
Back to top |
|
|
pyxel n00b
Joined: 04 Nov 2005 Posts: 44 Location: Bratislava/brussels
|
Posted: Sat Feb 11, 2006 6:02 pm Post subject: |
|
|
merci pour ce tip, vraiment utile dans mon ecole^^
|
|
Back to top |
|
|
Timz n00b
Joined: 24 Oct 2005 Posts: 42 Location: Lyon/Paris - FRANCE
|
Posted: Sat May 06, 2006 7:53 pm Post subject: |
|
|
chez moi :
> gateway.messenger.hotmail.com A 207.46.110.249
iptables -A FORWARD -i interface_lan -s 192.168.10.0/24 -o interface_exterieur -d 207.46.110.249 -p tcp --dport 80 -j REJECT
et ca marche aussi _________________ Gentoo rocks !!! |
|
Back to top |
|
|
p0uLp3 n00b
Joined: 26 May 2005 Posts: 14 Location: /dev/proc
|
Posted: Sat May 06, 2006 9:59 pm Post subject: |
|
|
Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up, je ne connais pas son fonctionnement mais il serait peut etre bon de tester aussi pour etre sur de ne plus avoir de problèmes ^^
++ |
|
Back to top |
|
|
geekounet Bodhisattva
Joined: 11 Oct 2004 Posts: 3772 Location: Wellington, Aotearoa
|
Posted: Sun May 07, 2006 9:22 am Post subject: |
|
|
p0uLp3 wrote: | Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up, je ne connais pas son fonctionnement mais il serait peut etre bon de tester aussi pour etre sur de ne plus avoir de problèmes ^^
++ |
Et ya aussi ce site qui utilise une interface AJAX pour MSN. Je ne vois pas trop comment empêcher d'y accéder, à part mettre en place un proxy. |
|
Back to top |
|
|
dyurne Guru
Joined: 19 Aug 2003 Posts: 475 Location: Lille, France
|
Posted: Tue May 09, 2006 9:05 am Post subject: |
|
|
pierreg wrote: | Et ya aussi ce site qui utilise une interface AJAX pour MSN. Je ne vois pas trop comment empêcher d'y accéder, à part mettre en place un proxy. |
Idem pour www.meebo.com.
p0uLp3 wrote: | Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up |
http://webmessenger.msn.com/
Il est peut être nécessaire de mettre en place des règles qui refuse d'accéder à ces différents sites... _________________ - Ah bah nan...
- Si ! |
|
Back to top |
|
|
|