Que tal Joel, estaba esperando la guia respecto de las reglas necesarias para bloquear el endemoniado messenger live a traves de squid. Al parecer algunas de estas no funcionan si se tiene activado nat para toda la red. Quisiera por fa que nos des una mano al respecto

Lo que necesitas hacer es:
Con NAT no le des acceso al puerto 1863 a toda la LAN, solo a las maquinas que quieras que usen messenger. Y ya con squid simplemente bloqueas la palabra "messenger" y Listo. Esto ultimo se hace, porque el messenger al estar bloqueado el puerto 1863 sale por el puerto 80.
Saludos.

---

Debian la mejor distro. La mayor recopilación de paquetes disponibles con un simple "aptitude install paquete".

Para bloquear el servicio de MSN usando un Proxy, se logra colocando dos líneas como las siguientes en el archivo de configuración del Squid:

acl msn1 req_mime_type -i ^application/x-msn-messenger$
...
http_access deny msn1
agrega tambien el bloqueo a la libreria gateway.dll(tarea para la casa)

Lo que alguna vez escribio Joel

Reglas de iptables para bloquear Yahoo! Messenger.
Autor: JoelBarrios | viernes, 06 de febrero 2004 @ 01:16 CST |

Continuando con el tema de bloqueo de servicios de mensajería, ahora toca el turno a Yahoo! Messenger, un servicio verdaderamente complicado de bloquear debido a que Yahoo! utiliza 104 servidores (si, leyeron bien, 104 servidores).

Las reglas son similares a las que publicamos para MSN Messenger, aunque sería poco práctico, tedioso e incómodo añadir 105 reglas de iptables en el guión del muro cortafuegos o NAT. Para resolver este problema y al mismo tiempo hacer uso de algo verdaderamente práctico, utilizaremos un guión que utilizará un archivo en el disco duro con la lista de direcciones IP que se van a bloquear:

# Yahoo! Messenger
iptables -t mangle -A PREROUTING -p tcp --dport 5050 -j DROP
while read yahoomessenger ; do
iptables -t mangle -A PREROUTING -d $yahoomessenger -j DROP
done < ip-addresses-yahoomessenger

El guión anterior lee el contenido del archivo ip-addresses-yahoomessenger y ejecuta una regla de iptables para cada elemento de la lista. El archivo ip-addresses-yahoomessenger mención ado deberá contener la lista de direcciones IP en este enlace. No deben dejarse renglones vacíos ni añadirse comentarios, solo debe haber direcciones IP.

Si queremos algo verdaderamente práctico, puede aplicarse el mismo método para MSN Messenger:

# MSN Messenger
iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
while read msnmessenger ; do
iptables -t mangle -A PREROUTING -d $msnmessenger -j DROP
done < ip-addresses-msnmessenger

El archivo ip-addresses-msnmessenger mención ado deberá contener la lista de direcciones IP en este enlace. Igualmente, no deben dejarse renglones vacíos ni añadirse comentarios, solo debe haber direcciones IP.

El mantenimiento de ip-addresses-msnmessenger e ip-addresses-yahoomessenger consiste en añadir, quitar o cambiar direcciones IP de sus contenidos. Después de cada cambio, solo será necesario reinicializar el servicio de muro cortafuegos o NAT.

Quienes utilicen Firestarter, pueden añadir los dos guiones al final de /etc/firestarter/firewall.sh y guardar dentro de /etc/firestarter a ip-addresses-msnmessenger e ip-addresses-yahoomessenger, recordando que no deben utilizar de nuevo el asistente de configuración de Firestarter o se eliminarán los cambios hechos con el editor de texto.

# Yahoo! Messenger
iptables -t mangle -A PREROUTING -p tcp --dport 5050 -j DROP
while read yahoomessenger ; do
iptables -t mangle -A PREROUTING -d $yahoomessenger -j DROP
done < ip-addresses-yahoomessenger

Reglas de iptables para bloquear servicio de mensajería instantánea de MSN.
Autor: JoelBarrios | jueves, 05 de febrero 2004 @ 12:22 CST

Después de mucho batallar buscando combinaciones de reglas que pudiesen permitir a algunos clientes el poder bloquear efectivamente el acceso hacia el servicio de mensajería instantánea de MSN, hemos logrado un conjunto de reglas que función an.

iptables -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
iptables -t mangle -A PREROUTING -d 63.208.13.126 -j DROP
iptables -t mangle -A PREROUTING -d 64.4.12.200 -j DROP
iptables -t mangle -A PREROUTING -d 64.4.12.201 -j DROP
iptables -t mangle -A PREROUTING -d 65.54.131.249 -j DROP
iptables -t mangle -A PREROUTING -d 65.54.194.118 -j DROP
iptables -t mangle -A PREROUTING -d 65.54.211.61 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.104.20 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.110.2 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.110.254 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.245.222 -j DROP
iptables -t mangle -A PREROUTING -d 207.46.245.214 -j DROP

Las direcciones IP de los servidores de MSN para su servicio de mensajería instantánea (messenger.hotmail.com, messenger.msn.com, messenger.microsoft.com, echo-v1.msgr.hotmail.com y echo-v2.msgr.hotmail.com) cambian cada cierto tiempo, así que de cuando en cuando conviene verificalas.

Adición almente, quienes utilicen Squid o algún otro servidor proxy, sería conveniente también bloquear el acceso hacia: messenger.hotmail.com, messenger.msn.com, messenger.microsoft.com, login.passport.net (servidor de autenticación de MSN), echo-v1.msgr.hotmail.com y echo-v2.msgr.hotmail.com.

Hola yo utilizo nat y cerre los ptos que utiliza el mensajero msn con shorewall.
regla:
Msn/REJECT:info loc net

Macro Msn:
PARAM - - tcp 1863,6901,6891:6900
PARAM - - udp 1503,3389,6901

y con squid cree un archivo(nomsn) que contiene las palabras:
messenger.msn.com
gateway.dll

y por otro lado el archivo permitidos que contiene las ips de las PC que si pueden accesar al msn.

y estas son mis reglas en el squid:

acl msn urlpath_regex "/etc/squid/nomsn"
http_access deny msn !permitidos

okis
saludos

---

gjl

esto como lo puedo hacer para skype lo estado haciendo pero se por los puertos 80 443 y adicione ou.skype.com pero no sigue pasando el skype. y los p2p cuantos de estos servicios hay.

gracias,