MSN : bloquer avec Shorewall ?!

par **lembal** » 25 Mars 2004 12:09

Bonjour,

Aidez-moi à bloquer MSN avec shorewall !! J'utilise MNF et je m'y acharne depuis plusieurs jours maintenant.

Je sais qu'il faut bloquer les plages d'adresses IP suivantes :

64.4.12.0
65.54.229.0
207.46.0.0
204.68.178.0
208.172.248.157
213.109.154.11

Mais comment je fais pour bloquer une adresse IP de type 207.46.112.0 sachant qu'à la fois d'après ce sera 207.46.147.0... Bref je souhaiterais bloquer une plage entière d'adresses IP avec shorewall.

PS : j'utilise aussi SquidGuard, je peux faire quelquechose avec dans ce sens ?!

par **Fredish** » 25 Mars 2004 13:21

Ca marcherais pas avec le signe ":"? c'est à dire "207.46.112.0:207.46.xxx.0". Tout au moins, c'est comme ca qu'on definit une plage de ports; ce serait pas plus facile d'ailleurs de bloquer les ports généralement utilisés par msn ou il se faufile un peu partout?

par **lembal** » 25 Mars 2004 13:53

Le pb c'est justement qu'il passe par le port 80... et il utilise le proxy d'IE !!! Une vraie cochonnerie !! Il me reste à bloquer les plages d'adresses... je crois que j'ai déjà essayé ta solution et ça avait planté shorewall, mais je retente...

EDIT : try n die, j'ai planté shorewall !

par **Fredish** » 25 Mars 2004 14:04

Apres vérification, ca pourrait bien être le signe "-" pour les plages d'adresses.

Liens vers les docs(en francais):
http://linuxfr.org/2003/02/03/11227.html

par **lembal** » 25 Mars 2004 14:15

J'ai essayé le signe "-", ça a planté !!

Je vais essayer le "/"...

par **Fredish** » 25 Mars 2004 14:50

Dans la doc, il y a un espace, je crois entre les deux adresses: "...xxx - xxx...". Je suis désolé, je n'ai pas eu besoin de cette option, je ne peux pas t'aider plus.

par **lembal** » 25 Mars 2004 15:04

Tu n'as pas eu besoin de cette option ça veut dire quoi ? Tu as réussi à bloquer MSN avec shorewall ? Tu n'utilises pas MSN ?

par **Fredish** » 25 Mars 2004 15:23

Je n'ai pas de réseau local, et je pense que c'est ton cas. Je me sers du port 1863 quand j'utlise msn. Sinon, je le ferme.

par **lembal** » 25 Mars 2004 15:33

Oui j'ai un réseau local avec des élèves et je ne souhaite pas utiliser DansGuardian : trop restrictif à mon gout !

Alors je pensai avoir trouvé la solution : 207.46.0.0/16
La notation CIDR passe avec shorewall mais malheureusement je n'ai pas de résultat, la connexion du client MSN se fait toujours sur les IP des cette plage : 207.46.0.0 ... Heuuuu Help !

par **Iboudibou** » 25 Mars 2004 15:55

je crois qu'il faiut empêcher l'accès au sous-domaine msgr.hotmail.com et bloquer le port 1863.

par **lembal** » 25 Mars 2004 16:15

msgr.hotmail.com (bloqué par Squidguard) : marche pas !
le port : marche pas vu que ça contourne par le port 80 du proxy !!
Sniff, ne peut-on pas détruire cette cochonerie avec Shorewall ?!

par **Jacques-** » 26 Mars 2004 22:23

Ca a pas l'air facile en effet,
j'ai trouvé ça sur le net concernant MSN:

http://forum.presence-pc.com/presencepc ... 3275-1.htm
le topic msn messenger K.O. au deuxiéme round / boite hotmail fonctionnelle
Ca donne certaines plages à bloquer, personnellement après un whois, voici tous les sous-réseaux appartenant à MS dans la liste qui est donnée :
64.4.0.0 - 64.4.63.255
207.46.0.0 - 20.46.255.255
207.68.128.0 - 207.68.207.255
213.199.144.0 - 213.199.159.255

C'est violent de bloquer tous les ports, mais après filtrage et log tu pourras sûrement affiner un peu mieux.

Voici le lien dans la doc de shorewall sur l'usage des blacklists (même si c'est fait pour l'entrant, tu dois pouvoir créer la règle qui va bien pour jeter le paquet même si il est dans un état related (si je ne me trompe pas sur le terme)

En mettant un nom de cible différent et un bon log, tu peux ensuite analyser les adresses vraiment utilisées par MSN et les router via le fichier host sur 127.0.0.1, c'est plutôt efficace pour bloquer les sorties indésirées, je m'en sert pour toutes les publicités.

http://www.shorewall.net/Documentation.htm#Blacklist

Dernière méthode qui doit pouvoir être implentée vu que tu administre un réseau MS si j'ai bien compris, et que je suppose qu'il doit y avoir un CPD de type Samba, ça doit pouvoir être mis dans les scripts de login des utilisateurs pour forcer à intégrer la clef dans la BDR :
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer]
et ajouter une valeur DWORD nommée "DisallowRun" à "1"
Ensuite créer une sous-clef [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\DisallowRun] et créer autant de valeurs chaînes (nommées de 1 à N de manière consécutive) contenant le nom de l'exécutable à interdire de lancer...

C'est moins linuxien, mais c'est probablement imparable avec les techniques MS même en cas d'évolution de MSN pour contourner les blocages.
Il y a d'autres clefs pour interdire les utilisateurs de lancer Regedit, facile à trouver sur google, sinon il y a ce site qui est aussi super : http://perso.wanadoo.fr/keyshell/

Bon courage et tiens nous au courant

Jacques

par **Fredish** » 26 Mars 2004 23:23

Oui, jacques à raison; d'ailleurs sur windows xp pro, les outils de config permettent de bloquer completement l'acces à msn; "secpol.msc" ou autre chose, je m'en rappelle plus.

par **lembal** » 30 Mars 2004 09:08

Merci à vous !

Faute de temps, pour le moment, j'ai réactivé DansGuardian et je n'ai plus aucun soft de chat... ça me convient pour l'instant !!

JE vais fouiller du côté de la BDR et je vous tient au courant !

par **Fredish** » 30 Mars 2004 12:36

Voilà, pour info, et sans la bdr, en interface graphique:executer>"gpedit.msc">modeles d'administration>composant windows>messenger>ne pas autoriser l'execution(ou quelque chose comme ca). Tu peux choisir de le faire pour tous les utilisateurs, ou certains.

MSN : bloquer avec Shorewall ?!

MSN : bloquer avec Shorewall ?!

Bloquer MSN ??

Qui est en ligne ?