[RESOLU] Bloquer Msn (messenger)

[Vulmix]

Bonjour,

Nouveau jour... nouvelle demande

Mon boss vient de se rendre compte qu'une partie des utilisateurs passe son temps sur msn... il aime pas et je le comprends

Alors je voudrais fermer se "service " de Microsoft.

Sur le site de nos Ami-crosoft on trouve l'information suivante :

Pour bloquer l'accès au service .NET Messenger ou à MSN Web Messenger

1.
Bloquez l'accès sortant au port TCP 1863.

2.
Bloquez l'accès HTTP à messenger.hotmail.com.

Si vous souhaitez bloquer l'accès à MSN Web Messenger, vous devez également bloquer l'accès HTTP à webmessenger.msn.com.

J'utilise dansguardian et j'ai placé les deux sites dans bannedurllist.
J'ai aussi placé dans le fichier bannedminetypelist la ligne suivante
application/x-msn-messenger

Ne sachant pas comment bloquer un port à la sortie, je l'ai bloqué à l'entrée en le déviant vers un pc non utilisé par les utilisateurs

Et je suppose que c'est la que cela bloque (ou plutôt que cela ne bloque pas !) puisque je peux toujours aller sur msn.

Question : Comment je puis fermer le port TCP 1863 à la sortie ? Avec Iptable je suppose... mais je ne sais pas trob bien comment faire...

Et pour éviter de mourir idiot (je sais il y a du travail !) comment peut-on voir tout les paramètres de Iptable et les modifier (sans tout casser évidement !)


Merci d'avance....

[jibe]

Salut,

Pas le temps de chercher, désolé (pas trouvé avec les mots-clés MSN ou messenger sur Ixus)... Il me semble que j'ai vu passer il y a peu une demande très similaire. Peut-être sur Ixus, peut-être sur le forum FreeEOS...

Bonne chance !

[jibe]

Salut,

Bon, toujours un peu à la bourre, mais j'ai pensé à un truc : je pense que la solution se trouve dans un filtrage IPtables, à voir de près ce qu'utilise MSN comme protocole pour bien filtrer (je déteste ce truc et ne sais pas comment il fonctionne ). Pour ajouter des règles IPtables, il y a des commandes db... Va voir le wiki de contribs.org, il y a la liste des commandes db dispo

[Vulmix]

je fouille je fouille...

J'ai plein d'iptable pour bloquer Yahoo mesenger, emule, msn ect... je les place... Rien

Question idiote mais la réponse va peut-être éviter que je ne continue à creuser au mauvais endroit....
Est-ce que Squit est toujours utilisé malgré Dansguardian ?

[MasterSleepy]

Salut,

Oui Squid est toujours utilisé.
Dansguardian se place devant squid mais ne le remplace pas, dansguardian forward les requêtes à squid après traitement.

A+,
MasterSleepy.

[VIP-ire]

Tiens, un truc tout bête, si tu crée un domaine virtuel messenger.hotmail.com et un webmessenger.msn.com dans le server-manager, toutes les requêtes DNS demandant ces adresses auront pour réponse... l'adresse IP de ta SME, et avec ça y'a peu de chances qu'ils se connectent. Enfin, en théorie, j'ai pas vérifié

[jibe]

Salut,

Je ne crois pas que c'était à celui-là que je pensais (beaucoup plus récent, une semaine ou deux), mais ce post pourra probablement t'aider.

Cela dit, j'aime beaucoup l'astuce de VIP-ire ! C'est un peu comme l'oeuf de Colomb : simple, mais il fallait y penser !

[Vulmix]

Salut et merci pour les réponses...

J'aime bien l'idée de Vip-ire sauf que chez moi cela ne marchera pas puisque le serveur DNS est un serveur W2000... mais je sens que je vais lui donner des valeurs par défaut

Pour revenir à l'iptable et sa solution proposé par le lien de Jibe
que je reprends ici :

Code: Tout sélectionner

# Nouvelle cible pour logguer les paquets
/sbin/iptables -N msn-drop
/sbin/iptables -A msn-drop -j LOG --log-prefix "Iptables:msn:DROP:" --log-level 6
/sbin/iptables -A msn-drop -j DROP
# Blocage des paquets entrants des gateways MS
# (cette règle est à supprimer si on veut laisser l'accès à d'autre machines)
/sbin/iptables -I INPUT -s 207.46.0.0/16 -j msn-drop
# Blocage des paquets sortants pour les machines d'adresse AdresseIPx
/sbin/iptables -I OUTPUT -s AdresseIP1 -d 207.46.0.0/16 -j msn-drop
/sbin/iptables -I OUTPUT -s AdresseIP2 -d 207.46.0.0/16 -j msn-drop

Je cafouille un peu avec les adresse ip mon sme est en 192.168.254.1 avec une plage 255.255.252.0
Quelle adresse dois-je placer à la place de 207.46.0.0/16 ?
Et si je veux bloquer TOUTES les machines de mon réseau... je dois quand même pas écrire 512 lignes ?

Tapez pas svp... je suis de plus en plus charger de truc que j'en passe presque des nuits blanches...

[Cool34000]

Salut,

Si tu utilises un environnement Windows, tu peux utiliser les stratégies pour bloquer MSN

[sibsib]

Code: Tout sélectionner

/sbin/iptables -I OUTPUT -s AdresseIP1 -d 207.46.0.0/16 -j msn-drop
/sbin/iptables -I OUTPUT -s AdresseIP2 -d 207.46.0.0/16 -j msn-drop

Je cafouille un peu avec les adresse ip mon sme est en 192.168.254.1 avec une plage 255.255.252.0
Quelle adresse dois-je placer à la place de 207.46.0.0/16 ?
Et si je veux bloquer TOUTES les machines de mon réseau... je dois quand même pas écrire 512 lignes ?

Hello,

Si t'es pas à l'aise avec les calculs de masques, t'aurais déjà pu résumer à 4 lignes équivalentes, avec un masque de 255.255.255.0

Au fait, un masque de 255.255.252.0, çà fait 1024 adresses, tu as la moitié de tes utilisateurs qui vont toujours pouvoir surfer

Bon, pour résumer, si ton SME est en 192.168.254.1/255.255.252.0 ( = 192.168.254.1/22, çà devrait commencer à t'intéresser ) alors :
Ton réseau est 192.168.252.0 / 22
Ton broadcast est 192.168.255.255

Donc, pour une formule qui concerne tout ton réseau : 192.168.252.0 / 22

Il existe sur le net une foule de 'net calculator'.


<MODE EDIT LE BOULET>
Si en plus, je lisais ce qui est marqué...

Code: Tout sélectionner

/sbin/iptables -I OUTPUT -s AdresseIP2 -d 207.46.0.0/16 -j msn-drop

A priori, les adresses en 207.46.0.0 seraient les serveurs côté Microsoft, donc à l'extérieur de ton réseau !
Donc, tu ne changes pas cette partie (attention : bloquer d'un coup 65536 adresses sur le net, çà me parait chaud...) mais tu ne laisses qu'une ligne, en remplaçant AdresseIP2 par 192.168.252.0/22
</MODE EDIT LE BOULET>


A+,
Pascal

[Vulmix]

Et bien voilà... maintenant je sais ce que c'est ce chiffre qui traine derrière l'adresse réseau

Mais bon cela ne sert à rien MSn passe toujours :
- Port 1863 TCP bloqué
Dansguardian interdit les sites : messenger.hotmail.com et webmessenger.msn.com si msn avait la mauvaise idée de passer par le port 80
- Iptables rejete les accès 64.4.15.0/24 et 65.54.239.0/24 (les adresses des sites ci-dessus)

Et le canard est toujours vivant...

Je cherche toujours...



Ajout

De retour chez moi, je me rends compte que je devrais mieux connaitre le principe iptables !
Tappez pas... j'apprends le plus possible lorsque l'on me laisse le temps.

Donc j'aimerais savoir :
- Lorsque l'on tappe une commandes "iptables" est-ce qu'elle est automatiquement placé dans la configuration (si on redémare le pc elle est toujours acitve) ?
- Ou toutes les infos sont-elles inscrites ?
J'ai déjà un site avec tous les paramètres de iptables.... mais pas de tuto. Si vous en connaissez un !



Ajout 2

J'ai comme code ceci...

Code: Tout sélectionner

/sbin/iptables -A FORWARD -s 192.168.252.0/22 -p tcp --dport 1863 -j REJECT
/sbin/iptables -A FORWARD -s 192.168.252.0/22 -d loginnet.passport.com -j REJECT
/sbin/iptables -A FORWARD -s 192.168.252.0/22 -d webmessenger.msn.com -j REJECT
/sbin/iptables -A FORWARD -s 192.168.252.0/22 -d messenger.hotmail.com -j REJECT

Est-ce bon ?
Est-ce que ce code reste toujours valable où dois-je l'incorporer dans un fichier ?

[jibe]

Salut,

N'oublie jamais qu'Ixus fait bien les choses

Sinon, si tu veux approfondir le sujet en partant sur de bonnes bases, tu peux lire dans l'ordre ce cours et cet autre, mais mon préféré reste l'internet rapide et permanent !

Tu as aussi http://www.c-sait.net/cours/iptables.php qui n'est pas mal... Et celui-là est un aide-mémoire assez pratique.

Mais il y a probablement un tas d'autres sites intéressants... A commencer par ceux indiqués dans le guide de survie de Muzo... Je n'ai jamais trop cherché !

[Vulmix]

[sibsib]

Hello,

Des réponses en vrac :

iptables -A ajoute les lignes à la fin de la table existante (dans ton cas la table OUTPUT). Mais pour chaque paquet analysé par ipatables, l'analyse va s'arrêter au premier match.
Donc, si avant tes lignes ajoutée se trouve une ligne genre 'je laisse tout passer' ta ligne ne sera jamais utilisée...

iptables -I insère la ligne dans la table, et si tu ne précise rien, l'insère à la première position.
Cà parait déjà plus adapté.

Ensuite, par rapport à la durée de vie de tes modifs :
iptables n'a aucune mémoire
Donc, à chaque démarrage d'un système utilisant iptables, il faut tout lui réapprendre.
Dans le cas de SME, le fichier qui se charge d'éduquer iptables se nomme
/etc/rc.d/init.d/masq
Si tu visualises ce (passionnant) fichier, tu verras dans les premiers commentaires qu'il s'agit d'un fichier templatisé.

J'espère (pour toi) que ceci t'évoque quelque chose...

A+,
Pascal

[Vulmix]

Encore merci pour ces infos en sup !

Oui je sais ce qu'est un système "templatisé"

Donc je vois déjà ou je dois placer mes lignes... dans le template de "masq"
Je devine même que je dois le placer au plus haut dans en vue de droper le plus rapidement possible les paquets Msn.

Est-ce que pour toi les lignes que j'ai écrites sur mon post précédent sont suffisantes ? (je sais je pourrais tester et voir ce que cela fait...)

Je continue à me documenter


BINGO !

Voilà j'ai suivi une astuce donnée dans un des liens

Code: Tout sélectionner

iptables-save > /root/maconfig.iptables

Modification du fichier /root/maconfig.iptables en ajoutant la ligne

-A FORWARD -s 192.168.252.0/255.255.0.0 -p tcp --dport 1863 -j DROP

Première ligne dans la série FORWARD
Replacer le fichier via la commande

Code: Tout sélectionner

iptables-restore < /root/maconfig.iptables

Oki c'est pas LA solution puisque si les templates de iptables sont modifié, je ne peux pas réappliquer cette table comme cela... mais pour l'instant le boss est content et je ne n'ai plus son regard au dessus de mon épaule

Pour info les adresses du site msn on été bloqué par dansguardian et il est impossible de surfer sur le site msn...