Cursos Servidores con Centos 6
Sistema Operativo ALDOS
Dezoft

Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

 Índice > Todo acerca de Linux > Seguridad Nuevo tema Publicar Respuesta
 SQUID Messenger Live
Tema anterior Tema siguiente
   
lenchanteur
Publicado en 04/04/07 06:06 (Leído 12385 veces)  

Nuevo
stressed
Forum User

Inscrito: 04/04/07 Publicaciones: 1
Que tal Joel, estaba esperando la guia respecto de las reglas necesarias para bloquear el endemoniado messenger live a traves de squid. Al parecer algunas de estas no funcionan si se tiene activado nat para toda la red. Quisiera por fa que nos des una mano al respecto
 
Perfil
 Citar
Samuel
Publicado en 04/04/07 10:26  

Miembro regular
Forum User

Inscrito: 21/02/07 Publicaciones: 70
Lo que necesitas hacer es:
Con NAT no le des acceso al puerto 1863 a toda la LAN, solo a las maquinas que quieras que usen messenger. Y ya con squid simplemente bloqueas la palabra "messenger" y Listo. Esto ultimo se hace, porque el messenger al estar bloqueado el puerto 1863 sale por el puerto 80.
Saludos.

Debian la mejor distro. La mayor recopilación de paquetes disponibles con un simple "aptitude install paquete".
 
Perfil
 Citar
manowar
Publicado en 05/04/07 02:31  

Miembro Activo
Forum User

Inscrito: 26/02/07 Publicaciones: 280
País:Santiago - Chile
Para bloquear el servicio de MSN usando un Proxy, se logra colocando dos líneas como las siguientes en el archivo de configuración del Squid:

acl msn1 req_mime_type -i ^application/x-msn-messenger$
...
http_access deny msn1
agrega tambien el bloqueo a la libreria gateway.dll(tarea para la casa)

Lo que alguna vez escribio Joel


Reglas de iptables para bloquear Yahoo! Messenger.
Autor: JoelBarrios | viernes, 06 de febrero 2004 @ 01:16 CST |


Continuando con el tema de bloqueo de servicios de mensajería, ahora toca el turno a Yahoo! Messenger, un servicio verdaderamente complicado de bloquear debido a que Yahoo! utiliza 104 servidores (si, leyeron bien, 104 servidores).

Las reglas son similares a las que publicamos para MSN Messenger, aunque sería poco práctico, tedioso e incómodo añadir 105 reglas de iptables en el guión del muro cortafuegos o NAT. Para resolver este problema y al mismo tiempo hacer uso de algo verdaderamente práctico, utilizaremos un guión que utilizará un archivo en el disco duro con la lista de direcciones IP que se van a bloquear:

# Yahoo! Messenger
iptables -t mangle -A PREROUTING -p tcp --dport 5050 -j DROP
while read yahoomessenger ; do
iptables -t mangle -A PREROUTING -d $yahoomessenger -j DROP
done < ip-addresses-yahoomessenger

El guión anterior lee el contenido del archivo ip-addresses-yahoomessenger y ejecuta una regla de iptables para cada elemento de la lista. El archivo ip-addresses-yahoomessenger mención ado deberá contener la lista de direcciones IP en este enlace. No deben dejarse renglones vacíos ni añadirse comentarios, solo debe haber direcciones IP.

Si queremos algo verdaderamente práctico, puede aplicarse el mismo método para MSN Messenger:

# MSN Messenger
iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
while read msnmessenger ; do
iptables -t mangle -A PREROUTING -d $msnmessenger -j DROP
done < ip-addresses-msnmessenger

El archivo ip-addresses-msnmessenger mención ado deberá contener la lista de direcciones IP en este enlace. Igualmente, no deben dejarse renglones vacíos ni añadirse comentarios, solo debe haber direcciones IP.

El mantenimiento de ip-addresses-msnmessenger e ip-addresses-yahoomessenger consiste en añadir, quitar o cambiar direcciones IP de sus contenidos. Después de cada cambio, solo será necesario reinicializar el servicio de muro cortafuegos o NAT.

Quienes utilicen Firestarter, pueden añadir los dos guiones al final de /etc/firestarter/firewall.sh y guardar dentro de /etc/firestarter a ip-addresses-msnmessenger e ip-addresses-yahoomessenger, recordando que no deben utilizar de nuevo el asistente de configuración de Firestarter o se eliminarán los cambios hechos con el editor de texto.

# Yahoo! Messenger
iptables -t mangle -A PREROUTING -p tcp --dport 5050 -j DROP
while read yahoomessenger ; do
iptables -t mangle -A PREROUTING -d $yahoomessenger -j DROP
done < ip-addresses-yahoomessenger

Reglas de iptables para bloquear servicio de mensajería instantánea de MSN.
Autor: JoelBarrios | jueves, 05 de febrero 2004 @ 12:22 CST


Después de mucho batallar buscando combinaciones de reglas que pudiesen permitir a algunos clientes el poder bloquear efectivamente el acceso hacia el servicio de mensajería instantánea de MSN, hemos logrado un conjunto de reglas que función an.

iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
iptables -t mangle -A PREROUTING -d 63.208.13.126 -j DROP
iptables -t mangle -A PREROUTING -d 64.4.12.200 -j DROP
iptables -t mangle -A PREROUTING -d 64.4.12.201 -j DROP
iptables -t mangle -A PREROUTING -d 65.54.131.249 -j DROP
iptables -t mangle -A PREROUTING -d 65.54.194.118 -j DROP
iptables -t mangle -A PREROUTING -d 65.54.211.61 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.104.20 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.110.2 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.110.254 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.245.222 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.245.214 -j DROP

Las direcciones IP de los servidores de MSN para su servicio de mensajería instantánea (messenger.hotmail.com, messenger.msn.com, messenger.microsoft.com, echo-v1.msgr.hotmail.com y echo-v2.msgr.hotmail.com) cambian cada cierto tiempo, así que de cuando en cuando conviene verificalas.

Adición almente, quienes utilicen Squid o algún otro servidor proxy, sería conveniente también bloquear el acceso hacia: messenger.hotmail.com, messenger.msn.com, messenger.microsoft.com, login.passport.net (servidor de autenticación de MSN), echo-v1.msgr.hotmail.com y echo-v2.msgr.hotmail.com.
 
Perfil Sitio Web
 Citar
german jimenez leal
Publicado en 09/04/07 04:09  

Participa mucho
Forum User

Inscrito: 15/03/07 Publicaciones: 44
País:/Mexico/Baja C.Sur/Cabo San Lucas
Hola yo utilizo nat y cerre los ptos que utiliza el mensajero msn con shorewall.
regla:
Msn/REJECT:info loc net

Macro Msn:
PARAM - - tcp 1863,6901,6891:6900
PARAM - - udp 1503,3389,6901

y con squid cree un archivo(nomsn) que contiene las palabras:
messenger.msn.com
gateway.dll

y por otro lado el archivo permitidos que contiene las ips de las PC que si pueden accesar al msn.

y estas son mis reglas en el squid:

acl msn urlpath_regex "/etc/squid/nomsn"
http_access deny msn !permitidos

okis
saludos

gjl
 
Perfil
 Citar
dariohimo
Publicado en 24/05/07 03:15  

Participa mucho
Forum User

Inscrito: 02/05/07 Publicaciones: 41
esto como lo puedo hacer para skype lo estado haciendo pero se por los puertos 80 443 y adicione ou.skype.com pero no sigue pasando el skype. y los p2p cuantos de estos servicios hay.

gracias,
 
Perfil
 Citar
Contenido generado en: 0,11 segundos Nuevo tema Publicar Respuesta
 Todas las horas son UTC. Hora actual 01:18 .
Tema normal Tema normal
Tema persistente Tema persistente
Tema cerrado Tema cerrado
Nueva publicación Nueva publicación
Persistente con nueva publicación Persistente con nueva publicación
Cerrado con nueva publicación Cerrado con nueva publicación
Ver publicaciones anónimas 
Usuarios anónimos pueden publicar 
Se permite HTML Filtrado 
Contenido censurado