<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 TRANSITIONAL//EN"> <HTML> <HEAD> <META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8"> <META NAME="GENERATOR" CONTENT="GtkHTML/3.12.3"> </HEAD> <BODY> Alexandre: Apesar de já terem sido postadas várias respostas aqui acerca de uma solução viável para seu problema quero dar minha contribuição com alguns complementos: - O MSN/Live Messenger tenta de três formas realizar a conexão com o serviço: 1 - Conexão direta através da porta 1863. 2 - Através da porta 80 se a conexão direta falhar. 3 - Através do proxy que estiver configurado nas opções da internet do Windows caso as duas conexões anteriores falharem. Adicionalmente você pode forçar o MSN/Live a utilizar um servidor proxy. - Para efetivamente bloquear o uso do MSN em uma solução mista de squid com iptables (sem qualquer módulo adicional) é necessário. 1 - Bloquear o FORWARD de sua rede local para a porta 1863. 2 - Bloquear o FORWARD de sua rede local para a porta 80. 3 - Obrigatoriamente utilizar o squid para permitir o acesso às páginas http e https e criar algumas acls que façam o bloqueio do MSN, já que o iptables bloqueia a porta 80. E que tipo de ACLs seriam estas?? Vamos a elas: 1 - Expressão regular que combina com o tipo de conteúdo contido no cabeçalho de requisição. Ex: acl MSN_req_mime_type req_mime_type application/x-msn-messenger 2 - Expressão regular que combina com o tipo de conteúdo da resposta recebida pelo squid. Ex: acl MSN_rep_mime_type rep_mime_type application/x-msn-messenger 3 - Busca na URL uma expressão regular que especificada. É case-sensitive.No exemplo, faz bloqueio à famigerada gateway.dll: acl MSN_gateway_dll url_regex -i gateway.dll 4 - Adicionalmente ainda é possível utilizar ACLs para realizar bloqueio à tentativa de conexões à domínios correlatos ao MSN. acl MSN_login_domain dstdomain loginnet.passport.com acl MSN_webmessenger dstdomain webmessenger.msn.com Lembrando que não basta apenas declarar as ACLs, também é preciso fazer com que elas tenham efeito usando as diretivas http_access, como no exemplo abaixo: http_access deny MSN_req_mime_type http_access deny MSN_login_domain http_access deny MSN_gateway_dll http_access deny MSN_webmessenger Após as todas diretivas http_acess ainda é preciso acrescentar na seção adequada do squid.conf: http_reply_access allow all !MSN_rep_mime_type Estes exemplos devem ser adaptados à realidade do seu servidor e obviamente você vai distribuir as ACLs de exemplo e seus respectivos bloqueio junto com as demais ACLs de acordo com a política de acesso de sua organização. Obs: Estes exemplos de configuração também funcionam quando se está utilizando proxy transparente e foram extraídos de instalações em ambientes de produção do mundo real com centenas de usuários. Sugiro a leitura destes dois links que irão ajudar muito com sua configuração: <A HREF="http://www.linuxman.pro.br/squid">http://www.linuxman.pro.br/squid</A> <A HREF="http://www.guiafoca.org/guia/avancado/ch-fw-iptables.htm">http://www.guiafoca.org/guia/avancado/ch-fw-iptables.htm</A> Robert Pereira Salvador - BA Em Dom, 2007-05-06 às 19:33 +0000, Alexandre Singulani escreveu: <BLOCKQUOTE TYPE=CITE> Galera, to implementando um firewall aqui e gostaria de saber como faço pra bloquear o msn na rede toda, pois todas as regras que achei na net ate agora, nao estao mais funcionando. []s </BLOCKQUOTE> <BLOCKQUOTE TYPE=CITE> <HR> O Windows Live Spaces é seu espaço na internet com fotos (500 por mês), blog e agora com rede social. <A HREF="http://g.msn.com/8HMBBRBR/2746??PS=47575">Particpe também!</A> <PRE> -- Fedora-users-br mailing list <A HREF="mailto:Fedora-users-br@redhat.com">Fedora-users-br@redhat.com</A> <A HREF="https://www.redhat.com/mailman/listinfo/fedora-users-br">https://www.redhat.com/mailman/listinfo/fedora-users-br</A> </PRE> </BLOCKQUOTE> </BODY> </HTML>