Autoria de William da Rocha Lima
Vou relatar como bloquear o MSN ou WebMensseger, usando iptables, ipchains e squid. Não chamaria de artigo e sim uma dica, porque eu particularmente não agüento mais ver tanta gente falando que não consegue bloquear o MSN, e outras pessoas menos experientes dando soluções invalidas ou sem sucesso. IPTABLES
Bloqueando MSN
A regra abaixo bloqueia qualquer host da rede ao conectar no MSN:
iptables -A FORWARD -s LAN -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s LAN -d loginnet.passport.com -j REJECT
LAN = Rede interna (192.168.0.0/32)
Essa regra libera para o host 192.168.0.2, 192.168.0.3 e 192.168.0.4
# Host Liberados
iptables -A FORWARD -s 192.168.0.2/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.2/32 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.3/32 -d loginnet.passport.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.4/32 -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -s 192.168.0.4/32 -d loginnet.passport.com -j ACCEPT
# Bloqueando os Demais
iptables -A FORWARD -s 192.168.0.0/32 -p tcp --dport 1863 -j REJECT
iptables -A FORWARD -s 192.168.0.0/32 -d loginnet.passport.com -j REJECT
Bloqueando WebMensseger
Para bloquear o WebMensseger basta usar o seguinte host: webmessenger.msn.com
iptables -A FORWARD -s LAN -d webmessenger.msn.com -j REJECT
LAN = Rede interna (192.168.0.0/32)
Essa regra libera para o host 192.168.0.2, 192.168.0.3 e 192.168.0.4
# Host Liberados
iptables -A FORWARD -s 192.168.0.2/32 -d webmessenger.msn.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.3/32 -d webmessenger.msn.com -j ACCEPT
iptables -A FORWARD -s 192.168.0.4/32 -d webmessenger.msn.com -j ACCEPT
# Bloqueando os Demais
iptables -A FORWARD -s 192.168.0.0/32 -d webmessenger.msn.com -j REJECT
Esse script é uma outra forma que você possa bloquear o MSN
PORTS="1863:1864 6891:6900 6901 1863 5190 6901"
for PORT in $PORTS; do
$IPTABLES -A FORWARD -o $DEV_PUB -s ! 192.168.0.20 -p tcp --dport $PORT -j DROP
done
$IPTABLES -A FORWARD -s ! 192.168.1.20 -d 64.4.13.0/24 -j REJECT
IPCHAINS
Saiba como bloquear usando o ipchains, apesar de ser um firewall antigo decidi colocar que muitos admin não migraram para o iptables.
Bloqueando MSN
ipchains -A input -p TCP -b --sport 1863 -j DENY
ipchains -A input -b -d loginnet.passport.com -j DENY
Bloqueando WebMensseger
ipchains -A input -b -d webmessenger.msn.com -j DENY
Não vou aborda mais sobre o ipchains devido ao pouco uso.
SQUID
Caso você use proxy e deseja bloquear o MSN, para algum usuário/ip vou mostrar como fazer as regras.
Bloqueando MSN
acl msn dstdomain loginnet.passport.com
http_access deny msn
acl msnmessenger url_regex -i gateway.dll
acl MSN req_mime_type -i ^application/x-msn-messenger$
http_access deny msnmessenger
http_access deny MSN
Bloqueando WebMensseger
acl webmsn dstdomain webmessenger.msn.com
http_access deny webmsn
Liberando MSN apenas no horário do almoço e final do expediente (Fábio Augusto )
acl msn url_regex loginnet.passport.com
acl almoco time MTWHF 12:05-13:55 18:05-19:00
http_access allow msn almoco
http_access deny msn
Liberando MSN apenas para alguns usuários ou ip, nesse caso vamos usar blacklist
Esse exemplo é para quem usa Autenticação
acl listabloqueada url_regex -i "/etc/squid/listas/blocked"
acl msn url_regex -i gateway.messenger.com
acl permitidos proxy_auth fulano ciclano beltrano
http_access allow msn permitidos
http_access deny msn
http_access deny listabloqueada
Esse outro exemplo é por IP, caso não use autenticação.
acl listabloqueada url_regex -i "/etc/squid/listas/blocked"
acl msn url_regex -i gateway.messenger.com
acl ips src 192.168.0.2 192.168.0.4 192.168.0.30
http_access allow msn ips
http_access deny msn
http_access deny listabloqueada