Bloquer msn pour certain utilisateurs

par **ben_ben** » 19 Oct 2004 17:14

Bonjour ... je travaille dans une societe qui utilise le principe de White list .. ( tous les sites sont bloquer sauf certains) sous squid , certain utilisateurs doivent utiliser msn messenger .
j'ai aussi testé de bloquer msn par une regle iptables .. mais sans succes ... msn utilise alors le proxy sil voit son port 445 bloqué ..
quelqu'un a une idée ?
Merci .. ( d'avance )

par **popoch** » 19 Oct 2004 18:58

je te conseil l addon blockouttraffic, qui te permet facilement de bloquer tous les ports que tu veux et d autoriser tous les ports que tu veux en sortie !

C est ce que j utilise perso et ca marche super bien et combine a squid c genial ! :wink:

par **ben_ben** » 20 Oct 2004 13:02

Merci de ta reponse .. mais le probleme est que msn en cas de bloquage du port 1863 (ou 445 ? ) utilise le port 80 pour se connecter .. ( ou la config de internet explorer )
j'ai trouvé une solution ... mais elle ne me convient pas trop

par **taxaw** » 20 Oct 2004 13:49

Pour ton problème je te conseille de faire une recherche sur le forum avec IMQ et QoS ou l7-layer.
Il y a actuellement quelqu'un (guigui je crois) qui a développé un addons pour ipcop qui permet de bloquer les communications en fonction de l'application (msn emule, ...) et non en fonction du port.
C'est sur la couche applicative que cela agit d'où layer 7.
Bon courage.

par **schlouf** » 20 Oct 2004 14:22

Salut,

moi j'utilise le script ipban de joecat. http://www.zpdee.net/~joecat/ipban.html

le fichier /var/ipcop/ipban/chat.ip contient les plage d'adresses a bloquer pour le chat. Ce fichier n'est plus trop a jour. En cee qui me concerne, j'utilise les plages d'adresses suivante pour bloquer msn:

207.46.0.0/16
207.47.0.0/16
64.4.13.160/27
64.4.12.0/24
64.4.13.0/24
64.4.14.0/24
65.54.0.0/16

c'est peut etre un peu "genereux" mais ca marche impecablement.... En plus d'etre simple, c'est excessivement facile a gerer!

par **ben_ben** » 20 Oct 2004 14:48

Merci beaucoup ... en fait pour me depanner en attendant une solution fiable j'avais bloquer msn sur squid ..
et j'autorise avec iptables certaine machines a se connecter aux adresses msn

Exemple //
iptables -t nat -A POSTROUTING -o eth2 -s 172.16.0.12/32 -d 207.46.0.0/16 -j MASQUERADE

Mais je pense ke cette solution est bonne pour seulement peu de machines ...
en tout cas merci beaucoup de vos reponses

par **popoch** » 20 Oct 2004 19:09

@ben

j ai utilise blockouttrafic pour bloquer certains ports en sortie et msn ne passe pas mm en laissant le port 80... teste sur la version 6.2 de msn

par **ben_ben** » 25 Oct 2004 09:27

meme si il y a un serveur proxy installé sur la machine faisant office de passerelle ?
:?:

par **popoch** » 25 Oct 2004 10:52

oui,

sur ma passerelle, j ai squid d active, squidguard, Viruswall, block out traffic.

mes ports sortant autorisés sont les suivant:

80, 445, 110.

et la tu peux me croire y a pas grd chose qui passe

par **ben_ben** » 25 Oct 2004 11:33

faut il que squid lbloque msn ??

par **popoch** » 25 Oct 2004 19:11

non pas du tout, mes restrictions s appliquent uniquement avec iptables via block out traffic :wink:

par **ben_ben** » 02 Nov 2004 15:56

Merci a tous pour les informations .. çà marche nikel ... !

par **breakeradc91** » 02 Nov 2004 16:17

salut,

qd j'utilise BOT j'arrive plus a rien

cad que si j'autorise seulement msn,emule,mirc pour tel user et tout le les autres BOT bloque tout!
ca ne fonctionne pas terrible!

qqun peut il m'eclaircir

par **sese** » 07 Déc 2004 18:34

Salut à tous,

Ben Ben, tu pourrais me donner ton paramétrage de Block Out Traffic, même en fermant les ports 1 a 60000, l'utilisateur dont je veux interdire msn se connecte toujours.

J'ai testé avec url filter, je n'arrive pas non plus

Merci

par **man_mickey2001** » 07 Déc 2004 20:30

Bonjour,
pour ma part je bloque msn messenger par l'addon urlfilter sous ipcop 1.4.1
j'ai rajouté ds une catégorie tchat l'url: loginnet.passport.com

voici ma procédure d'install d'urlfilter ainsi que la manip pour créer une catégorie supplémentaire.

Attention, squidguard ou les addons squidguard doivent être auparavant désinstallés (urlfilter installe lui même squidguard)

récupérer urlfilter sur le site:
http://www.urlfilter.net.ms/
copier par winscp ipcop-urlfilter-1.0.0.tar.gz dans /root/addons
tar zxvf ipcop-urlfilter-1.0.0.tar.gz
rm -rf ipcop-urlfilter-1.0.0.tar.gz
est créé le repertoire /root/addons/ipcop-urlfilter
cd ipcop-urlfilter
./install

On a alors le menu URL FILTER dans l'onglet SERVICES
il faut auparavant cocher ds :
SERVICE ->SERVEUR MANDATAIRE (PROXY)
cocher: URL FILTER Enabled
on peut alors aller paramétrer URL FILTER dans SERVICES

Rq: attention le domain google.com est ds wares\domains, il faut authoriser google.com ds custom white list du paramétrage de URL FILTER

Il est aussi possible de créer une catégorie supplémentaire ex: tchat pour par exemple interdire l'url:
cd /var/ipcop/urlfilter/blacklists
mkdir tchat
chown nobody tchat
chgrp nobody tchat
cd tchat
vi urls
ajouter:
fr.my.msn.com
messenger.msn.fr
messenger.msn.com
msn.fr
loginnet.passport.com

sauvegarder
vi domains
msn.fr
loginnet.passport.com
msn.com

chmod 664 domains
chmod 664 urls
chgrp wheel domains
chgrp wheel urls

Rq si c'est un domaine à interdire, créer ds /tchat le fichier domains et y ajouter le nom de domaine (ex: voila.fr)
Relancer la commande: squidGuard -C all pour regénérer toutes les bases .db
Après le lancement de cette commande, on a un message d'erreur ds /var/log/squidGuard/squidGuard.log :
Error db_open: Permission denied
going into emergency mode

Il faut aussi modifier squidGuard.conf
cd /etc/squidGuard
vi squidGuard.conf
intercaler les lignes avant dest violence:

dest tchat {
domainlist tchat/domains
urllist tchat/urls
logfile anonymous tchat.log
}
aller sur: https//ipcop:445 SERVICES ->URL FILTER
cocher tchat

Attention après avoir créé le groupe tchat et lancer :
squidGuard -C all, plus aucun site n'est bloqué, il faut
mettre les droits en 666 sur:
/var/ipcop/urlfilter/blacklists/custom/blocked/urls.db
/var/ipcop/urlfilter/blacklists/custom/blocked/domains.db
/var/ipcop/urlfilter/blacklists/custom/allowed/urls.db
/var/ipcop/urlfilter/blacklists/custom/allowed/domains.db
ainsi que sur:
/var/ipcop/urlfilter/blacklists/tchat/domains.db
/var/ipcop/urlfilter/blacklists/tchat/urls.db

sinon erreur ds /var/log/squidGuard/squidGuard.log et suidGuard ne fonctionne plus (plus de filtrage)

Relancer urlfilter

après modifs des droits sur les fichiers .db , le fait de relancer squidGuard -C all
ne crée plus de Pb
Attention, si l'on crée un nouveau groupe le pb se reposera sur les fichiers .db du groupe, les mettre en 666

SURTOUT RELANCER URL FILTER (SERVICE ->URL FILTER
cliquer sur : Save and restart
sinon ne fonctionne pas

Possibilité d'autoriser ou d'interdire une IP ou un réseau pendant une durée donnée ou jour de la semaine sur une catégorie .
ex autoriser le tchat le dimanche pour 192.168.1.100:
ds URL FILTER cliquer sur :Set time contraints
cocher :Sun
cocher sur source: 192.168.1.100
cocher destination: tchat (Rq en apuyant sur Ctrl on peut selectionner d'autres filtre ds le menu déroulant)
cocher access: allow
puis add

cocher ensuite
Restart URL Filter (bouton en haut)

Personalisation de la page renvoyée lorsqu'un site est interdit (traduction en français):
modif du fichier:/home/httpd/html/redirect.cgi

C'est un peu long mais cela marche du tonerre, impossible de tchatter par msn...
Bon courage