MSN : bloquer avec Shorewall ?!

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

MSN : bloquer avec Shorewall ?!

Messagepar lembal » 25 Mars 2004 12:09

Bonjour,

Aidez-moi à bloquer MSN avec shorewall !! J'utilise MNF et je m'y acharne depuis plusieurs jours maintenant.

Je sais qu'il faut bloquer les plages d'adresses IP suivantes :

64.4.12.0
65.54.229.0
207.46.0.0
204.68.178.0
208.172.248.157
213.109.154.11

Mais comment je fais pour bloquer une adresse IP de type 207.46.112.0 sachant qu'à la fois d'après ce sera 207.46.147.0... Bref je souhaiterais bloquer une plage entière d'adresses IP avec shorewall.

PS : j'utilise aussi SquidGuard, je peux faire quelquechose avec dans ce sens ?!
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar Fredish » 25 Mars 2004 13:21

Ca marcherais pas avec le signe ":"? c'est à dire "207.46.112.0:207.46.xxx.0". Tout au moins, c'est comme ca qu'on definit une plage de ports; ce serait pas plus facile d'ailleurs de bloquer les ports généralement utilisés par msn ou il se faufile un peu partout?
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Messagepar lembal » 25 Mars 2004 13:53

Le pb c'est justement qu'il passe par le port 80... et il utilise le proxy d'IE !!! Une vraie cochonnerie !! Il me reste à bloquer les plages d'adresses... je crois que j'ai déjà essayé ta solution et ça avait planté shorewall, mais je retente...

EDIT : try n die, j'ai planté shorewall !
Dernière édition par lembal le 25 Mars 2004 14:05, édité 1 fois au total.
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar Fredish » 25 Mars 2004 14:04

Apres vérification, ca pourrait bien être le signe "-" pour les plages d'adresses.

Liens vers les docs(en francais):
http://linuxfr.org/2003/02/03/11227.html
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Messagepar lembal » 25 Mars 2004 14:15

J'ai essayé le signe "-", ça a planté !!

Je vais essayer le "/"...
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar Fredish » 25 Mars 2004 14:50

Dans la doc, il y a un espace, je crois entre les deux adresses: "...xxx - xxx...". Je suis désolé, je n'ai pas eu besoin de cette option, je ne peux pas t'aider plus.
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Messagepar lembal » 25 Mars 2004 15:04

Tu n'as pas eu besoin de cette option ça veut dire quoi ? Tu as réussi à bloquer MSN avec shorewall ? Tu n'utilises pas MSN ?
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar Fredish » 25 Mars 2004 15:23

Je n'ai pas de réseau local, et je pense que c'est ton cas. Je me sers du port 1863 quand j'utlise msn. Sinon, je le ferme.
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Messagepar lembal » 25 Mars 2004 15:33

Oui j'ai un réseau local avec des élèves et je ne souhaite pas utiliser DansGuardian : trop restrictif à mon gout !

Alors je pensai avoir trouvé la solution : 207.46.0.0/16
La notation CIDR passe avec shorewall mais malheureusement je n'ai pas de résultat, la connexion du client MSN se fait toujours sur les IP des cette plage : 207.46.0.0 ... Heuuuu Help !
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar Iboudibou » 25 Mars 2004 15:55

je crois qu'il faiut empêcher l'accès au sous-domaine msgr.hotmail.com et bloquer le port 1863.
"...mais vous n'aurez pas, ma liberté de penser."
Avatar de l’utilisateur
Iboudibou
Second Maître
Second Maître
 
Messages: 41
Inscrit le: 20 Oct 2002 00:00
Localisation: Boulogne/Mer

Messagepar lembal » 25 Mars 2004 16:15

msgr.hotmail.com (bloqué par Squidguard) : marche pas !
le port : marche pas vu que ça contourne par le port 80 du proxy !!
Sniff, ne peut-on pas détruire cette cochonerie avec Shorewall ?!
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Bloquer MSN ??

Messagepar Jacques- » 26 Mars 2004 22:23

Ca a pas l'air facile en effet,
j'ai trouvé ça sur le net concernant MSN:

http://forum.presence-pc.com/presencepc ... 3275-1.htm
le topic msn messenger K.O. au deuxiéme round / boite hotmail fonctionnelle
Ca donne certaines plages à bloquer, personnellement après un whois, voici tous les sous-réseaux appartenant à MS dans la liste qui est donnée :
64.4.0.0 - 64.4.63.255
207.46.0.0 - 20.46.255.255
207.68.128.0 - 207.68.207.255
213.199.144.0 - 213.199.159.255

C'est violent de bloquer tous les ports, mais après filtrage et log tu pourras sûrement affiner un peu mieux.

Voici le lien dans la doc de shorewall sur l'usage des blacklists (même si c'est fait pour l'entrant, tu dois pouvoir créer la règle qui va bien pour jeter le paquet même si il est dans un état related (si je ne me trompe pas sur le terme)

En mettant un nom de cible différent et un bon log, tu peux ensuite analyser les adresses vraiment utilisées par MSN et les router via le fichier host sur 127.0.0.1, c'est plutôt efficace pour bloquer les sorties indésirées, je m'en sert pour toutes les publicités.


http://www.shorewall.net/Documentation.htm#Blacklist

Dernière méthode qui doit pouvoir être implentée vu que tu administre un réseau MS si j'ai bien compris, et que je suppose qu'il doit y avoir un CPD de type Samba, ça doit pouvoir être mis dans les scripts de login des utilisateurs pour forcer à intégrer la clef dans la BDR :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer]
et ajouter une valeur DWORD nommée "DisallowRun" à "1"
Ensuite créer une sous-clef [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun] et créer autant de valeurs chaînes (nommées de 1 à N de manière consécutive) contenant le nom de l'exécutable à interdire de lancer...

C'est moins linuxien, mais c'est probablement imparable avec les techniques MS même en cas d'évolution de MSN pour contourner les blocages.
Il y a d'autres clefs pour interdire les utilisateurs de lancer Regedit, facile à trouver sur google, sinon il y a ce site qui est aussi super : http://perso.wanadoo.fr/keyshell/

Bon courage et tiens nous au courant

Jacques
Avatar de l’utilisateur
Jacques-
Vice-Amiral
Vice-Amiral
 
Messages: 952
Inscrit le: 23 Jan 2003 01:00

Messagepar Fredish » 26 Mars 2004 23:23

Oui, jacques à raison; d'ailleurs sur windows xp pro, les outils de config permettent de bloquer completement l'acces à msn; "secpol.msc" ou autre chose, je m'en rappelle plus.
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Messagepar lembal » 30 Mars 2004 09:08

Merci à vous !

Faute de temps, pour le moment, j'ai réactivé DansGuardian et je n'ai plus aucun soft de chat... ça me convient pour l'instant !!

JE vais fouiller du côté de la BDR et je vous tient au courant !
lembal
Vice-Amiral
Vice-Amiral
 
Messages: 880
Inscrit le: 13 Jan 2003 01:00
Localisation: Paris

Messagepar Fredish » 30 Mars 2004 12:36

Voilà, pour info, et sans la bdr, en interface graphique:executer>"gpedit.msc">modeles d'administration>composant windows>messenger>ne pas autoriser l'execution(ou quelque chose comme ca). Tu peux choisir de le faire pour tous les utilisateurs, ou certains.
Avatar de l’utilisateur
Fredish
Vice-Amiral
Vice-Amiral
 
Messages: 571
Inscrit le: 29 Août 2003 00:00

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron