Bloquer MSN avec IPCOP v1.2

[passager56]

bonjour <BR>j'ai un ipcop v1.2.0 <IMG SRC="images/smiles/icon_confused.gif"> et je suis novice sur ce produit <BR>je veux bloquer l'accès à MSN pour une adresse IP spécifique sur mon réseau. <BR>j'ai essayé de suivre la syntaxe de ipchains mais ca marche pas . <BR>quq 1 peut me donner une syntaxe ipchains opérationnelle? <BR>ou dois je la mettre au niveau du fichier firewall.up? <BR>enfin toute information utile qui m'aider sera la bienvenue <BR> <IMG SRC="images/smiles/icon_confused.gif">

[remi]

Merci de rechercher dans les forums avant de poster ! <BR> <BR><!-- BBCode auto-link start --><a href="http://forums.ixus.net/viewtopic.php?t=3580" target="_blank">http://forums.ixus.net/viewtopic.php?t=3580</a><!-- BBCode auto-link end -->

[passager56]

Oui j'ai vu, et sincerement je m'attendais a beaucoup plus... <BR>mais y a pas de syntaxe ni de détail technique. <BR>Dois je aller chercher ailleurs ? <IMG SRC="images/smiles/icon_help.gif">

[belugha]

ici pour les régles: <BR><!-- BBCode auto-link start --><a href="http://www.pcflank.com/fw_rules_db.htm" target="_blank">http://www.pcflank.com/fw_rules_db.htm</a><!-- BBCode auto-link end --> <BR>et là pour les commandes: <BR><!-- BBCode auto-link start --><a href="http://lea-linux.org/reseau/gateway.php3#SECTION00050000000000000000" target="_blank">http://lea-linux.org/reseau/gateway.php3#SECTION00050000000000000000</a><!-- BBCode auto-link end --> <BR> <BR> <BR>

[lucyfire]

quand j'étais en version 1.2 ce script fonctionnait bien, c'est pas super propre mais pour msn mess c'etait etanche : <BR> <BR>ipchains -A block -p tcp -i ppp0 --destination-port 4050:4110 -j DENY <BR>ipchains -A block -p udp -i ppp0 --destination-port 4050:4110 -j DENY <BR> <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR> <BR>ipchains -I output -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I input -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I output -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR>ipchains -I input -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR> <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1883 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1883 <BR> <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1863 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1863 <BR>

[tomtom]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-05-27 09:20, lucyfire a écrit: <BR>quand j'étais en version 1.2 ce script fonctionnait bien, c'est pas super propre mais pour msn mess c'etait etanche : <BR> <BR>ipchains -A block -p tcp -i ppp0 --destination-port 4050:4110 -j DENY <BR>ipchains -A block -p udp -i ppp0 --destination-port 4050:4110 -j DENY <BR> <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR> <BR>ipchains -I output -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I input -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 4099 <BR>ipchains -I output -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR>ipchains -I input -j DENY -p udp -s 192.168.2.0/24 -d 0.0.0.0/0 5190 <BR> <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1883 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1883 <BR> <BR>ipchains -I output -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1863 <BR>ipchains -I input -j DENY -p tcp -s 192.168.2.0/24 -d 0.0.0.0/0 1863 <BR> <BR> <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR> <BR>Je serais fort etonné que cette manip permette de bloquer MSN. <BR> <BR>Quand je vois dans les options de mon messneger "utiliser un proxy http", je me dis que le fait de bloquer les ports obscurs de msn doit etre insufisant... <BR>MSN sait utiliser le port 80 ! alors oubliez ce genre d'astuces pour le bloquer. <BR> <BR>Il faut travailler sur les plages d'ip des serveurs krosoft... <BR> <BR>Tom

[lucyfire]

je t'assure que ça fonctionnait je sais pas sur la version 5 mais la 4.7 oui et là j'utilise sous la 1.3 /sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 1863 -j DROP (msn v5) et il ne se connecte pas ! c'est yahoo ou il faut bloquer les adresses des serveurs. <BR> <BR>

[tomtom]

Je suis très surpris je vais faire un test de ce pas... <BR> <BR>Tom

[lucyfire]

pendant qu'on cause j'ai laissé msn tenter de se connecter et il tourne dans le vide, pour yahoo a l'heure ou je parle ils ont pas changé d'adresses ni rajouté ce script fonctionne: <BR> <BR>/sbin/iptables -I FORWARD -s 192.168.2.0/24 -p tcp --dport 5050 -j DROP <BR>/sbin/iptables -A FORWARD -d scs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d scsa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d cs.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d scs-fooa.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d scs-foob.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d scs-fooc.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d scs-food.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d scs-fooe.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d scs-foof.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d http.pager.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d msg.edit.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d chat.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d messenger.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR>/sbin/iptables -A FORWARD -d address.yahoo.com -m state --state NEW,RELATED,ESTABLISHED -j DROP <BR> <BR>

[remi]

Ca ne fonctionne pas pour moi, mais d'un autre coté, ca doit fonctionner avec la beta1 de MSN .... <BR> <BR> <BR>

[lucyfire]

oh oh je vien de faire la manip inverse ça se reconnecte et en re DROPant ça se connecte plus version 5.0.0544 et la 4.7 ça fonctionne ici quels sont vos config ?

[antolien]

je confirmes , ça marche avec la version 5 mais je crois que c'est la version d'XP qui utilises tout simplement le port 80 (donc il faut bloquer les @ des serveurs)

[tomtom]

TEST de connexion msn... <BR>Soft utilisé : Active Ports pour voir ce qui se passe. <BR>(on peut faire pareil avec netstat <IMG SRC="images/smiles/icon_smile.gif"> ) <BR> <BR>-------------------------------------------------------------- <BR>Fonctionnement normal (tous ports sortants ouverts) : <BR>-------------------------------------------------------------- <BR> <BR>msnmsgr.exe 1716 172.16.2.2 9 LISTEN UDP C:Program FilesMSN Messengermsnmsgr.exe <BR>msnmsgr.exe 1716 127.0.0.1 1043 LISTEN UDP C:Program FilesMSN Messengermsnmsgr.exe <BR>msnmsgr.exe 1716 172.16.2.2 1690 207.46.108.9 1863 ESTABLISHED TCP C:Program FilesMSN <BR> <BR> <BR> <BR>On voit bien la connexion etablie sur le port tcp 1863. <BR> <BR> <BR>-------------------------------------------------- <BR>Fonctionnement bloqué(port 1863 bloqué) : <BR>-------------------------------------------------- <BR> <BR>iptables -I FORWARD -p tcp --dport 1863 -j DROP <BR> <BR>msnmsgr.exe 1716 172.16.2.2 9 LISTEN UDP C:Program FilesMSN Messengermsnmsgr.exe <BR>msnmsgr.exe 1716 127.0.0.1 1043 LISTEN UDP C:Program FilesMSN Messengermsnmsgr.exe <BR>msnmsgr.exe 1716 172.16.2.2 1722 207.46.110.50 80 ESTABLISHED TCP C:Program FilesMSN Messengermsnmsgr.exe <BR>msnmsgr.exe 1716 172.16.2.2 1721 207.46.110.16 80 ESTABLISHED TCP C:Program FilesMSN Messengermsnmsgr.exe <BR> <BR>he hop, connecion sur le port 80. <BR> <BR>(je reconnais que ca peut mettre 30 secondes à se connecter, mais pas de souci !) <BR> <BR> <BR>Tomtom <BR> <BR> <BR> <BR> <BR>

[lucyfire]

j'ai pas d'xp ici quel version de msn est utilisé par Xp ??

[tomtom]

Resultats identiques avec msn 5.0 (version XP/2000) et windows messenger 4.7 (version integrée à XP) qui lui effectivement fonctionne en 80 par defaut (chez moi en tt cas) <BR> <BR>Tom