Blocage de MSN via la MNF

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Publier une réponse

Blocage de MSN via la MNF

Messagepar Jacques- » 06 Nov 2005 23:57

Pour ceux qui sont intéressés par le blocage de MSN, voici la méthode que j'ai utilisée pour restreindre l'accès aux machines voulues du LAN et l'interdire selon les heures à certaines autres.

1) Filtrer le port 1863 via la MNF pour interdire la connexion autrement que par le proxy web (rappel : squid est intégré à la MNF)
2) Via une tache cron si on veut des modifications selon les heures ou un script de démarrage autrement, bloquer toutes les adresses utilisées par MSN pour encapsuler le trafic dans le port HTTP. Cela concerne tout le réseau 207.46.0.0/16

Remarque : les paquets venant du proxy, c'est dans la chaîne OUTPUT qu'il faut bloquer et non dans la chaîne FORWARD (cette dernière est à utiliser si les machines ne passent pas par le proxy mais que le 1863 bloqué les empêche de se connecter normalement).

Il suffit de lancer ces règles iptables par exemple pour bloquer :
# Nouvelle cible pour logguer les paquets
/sbin/iptables -N msn-drop
/sbin/iptables -A msn-drop -j LOG --log-prefix "Iptables:msn:DROP:" --log-level 6
/sbin/iptables -A msn-drop -j DROP
# Blocage des paquets entrants des gateways MS
# (cette règle est à supprimer si on veut laisser l'accès à d'autre machines)
/sbin/iptables -I INPUT -s 207.46.0.0/16 -j msn-drop
# Blocage des paquets sortants pour les machines d'adresse AdresseIPx
/sbin/iptables -I OUTPUT -s AdresseIP1 -d 207.46.0.0/16 -j msn-drop
/sbin/iptables -I OUTPUT -s AdresseIP2 -d 207.46.0.0/16 -j msn-drop

et pour débloquer :
# Déblocage des paquets sortants pour les machines d'adresse AdresseIPx
/sbin/iptables -D OUTPUT -s AdresseIP1 -d 207.46.0.0/16 -j msn-drop
/sbin/iptables -D OUTPUT -s AdresseIP2 -d 207.46.0.0/16 -j msn-drop
# Déblocage des paquets entrants des gateways MS
# (dans le cas où on l'a utilisée au dessus bien entendu)
/sbin/iptables -D INPUT -s 207.46.0.0/16 -j msn-drop
# Suppression de la cible
/sbin/iptables -F msn-drop
/sbin/iptables -X msn-drop

Jacques
Dernière édition par Jacques- le 10 Nov 2005 21:04, édité 1 fois au total.
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00
Haut

Messagepar Muzo » 08 Nov 2005 23:37

Ooooh Jacques- :biz:

Ah mon avis ca intéresse du monde ce petit tuto bien sympa.

Si tu le sens tu peux aussi l'ajouter au Guide de Survie Iptable/Netfilter

/Muzo
Dernière édition par Muzo le 10 Nov 2005 01:42, édité 2 fois au total.
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.
Haut

Messagepar Jacques- » 09 Nov 2005 21:32

Le tuto est mis en ligne.
C'est vrai que c'est le cirque à bloquer ce soft, le plus simple étant d'interdire au programme d'être lancé via les politiques de sécurité dans un domaine MS, mais ce n'est pas toujours possible.

Iptables a au moins le mérite d'être facile à mettre en oeuvre, et à adapter si besoin est.

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00
Haut

Messagepar Muzo » 10 Nov 2005 01:43

Merci =D>
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.
Haut
Publier une réponse

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron