View Full Version : DISABILITARE MSN CON IPCOP 1.4.18
tiziano67
30-10-2009, 11:32
Buongiorno a tutti
Lavoro in una scuola e gestisco un laboratorio d'informatica con un firewall di linux e nello specifico con IPCOP 1.4.18. Vorrei capire una cosa: nonostante io abbia creato una lista di sti attendibili denominata sitit OK ( possono frequentare solo questi da me creati), i ragazzi riescono ad andare lo stesso in messenger. Perche' msn funziona lo stesso? C'e' un modo atraverso IPCOP di disabilitare questo programma?? Credo sia molto pericoloso, potrebbe trasmettere molti virus e danneggiarmi le macchine.
Grazie a tutti e buona giornata
cosi a naso mi viene in mente di chiudere tutte le porte utilizzate dalle varie versioni di msn
anzi forse è piu utile chiudere tutte le porte e poi aprire solo quelle che servono.
Energy++
30-10-2009, 19:54
inutile chiudere le porte, msn messenger funziona anche con tutte le porte chiuse (tranne la 80 ovviamente)
gurutech
30-10-2009, 20:03
C'e' un modo atraverso IPCOP di disabilitare questo programma?? Credo sia molto pericoloso, potrebbe trasmettere molti virus e danneggiarmi le macchine.
Grazie a tutti e buona giornata
dovresti bloccare con squid il tipo di mime x-msn-messenger e la parola gateway.dll. non so come si faccia attraverso ipcop, normalmente opero direttamente su squid.conf
trovi un paio di indizi qui http://blogs.techrepublic.com.com/networking/?p=308
è importante che tu blocchi l'accesso diretto a tutte le porte eccetto per quelle che ti interessano realmente, generalmente 20, 21 (FTP attivo), 25 (SMTP), 110 (POP3), 53/UDP (DNS)
Per la porta 80/443 lascia bloccato l'accesso diretto, vale a dire che non deve essere possibile navigare senza utilizzare il proxy squid.
più di tanto non posso aiutarti perchè non conosco direttamente ipcop
CaFFeiNe
31-10-2009, 11:32
altrimenti disabilita msn sui loro computer, e impedisci di accedere al sito per scaricarlo :asd:
Hai bisogno di un filtro di layer 7 altrimenti programmi tipo msn, skype o la radio non li blocci.
Basta che ti installi un addon che ti permetta il filtraggio layer 7 (che ricordo ci sia) e filtri il traffico msn e tutti i traffici di alto livello.
Scusa se non so essere più preciso ma non uso ipcop...se devo risolvere probemi di questo tipo solitamente uso zeroshell
Più semplicemente puoi bloccare a livello di firewall l'accesso ai server microsoft per l'autenticazione.
Così facendo sarà impossibile per i ragazzi autenticarsi a MSN.
Non saprei di preciso quali server usi per autenticarsi, ma con un sniffer di rete dovrebbe essere semplice scoprirli.
Ciao
gurutech
31-10-2009, 18:30
Hai bisogno di un filtro di layer 7 altrimenti programmi tipo msn, skype o la radio non li blocci.
Basta che ti installi un addon che ti permetta il filtraggio layer 7 (che ricordo ci sia) e filtri il traffico msn e tutti i traffici di alto livello.
Scusa se non so essere più preciso ma non uso ipcop...se devo risolvere probemi di questo tipo solitamente uso zeroshell
per bloccare msn basta bloccare l'autenticazione, come qualcun'altro ha indicato, bloccando la parola gateway.dll e il tipo di mime come postato nel link precedente.
skype è un bastardo da bloccare come pochi. l'unico modo è disabilitare qualsiasi tipo di NAT e obbligare il passaggio da proxy. dopodichè ci si fa una lista aggiornata di giorno in giorno dei server http che skype usa per l'autenticazione. dopo un paio di settimane lo si blocca _quasi_ del tutto, o comunque abbastanza da scoraggiare gli utenti.
a per la cronaca un proxy come squid È un filtro layer7. Bisogna per l'appunto forzare gli utenti a usarlo.
per bloccare msn basta bloccare l'autenticazione, come qualcun'altro ha indicato, bloccando la parola gateway.dll e il tipo di mime come postato nel link precedente.
skype è un bastardo da bloccare come pochi. l'unico modo è disabilitare qualsiasi tipo di NAT e obbligare il passaggio da proxy. dopodichè ci si fa una lista aggiornata di giorno in giorno dei server http che skype usa per l'autenticazione. dopo un paio di settimane lo si blocca _quasi_ del tutto, o comunque abbastanza da scoraggiare gli utenti.
a per la cronaca un proxy come squid È un filtro layer7. Bisogna per l'appunto forzare gli utenti a usarlo.
Sia MSN che skype con un filtro layer 7 si bloccano in un baleno! E non servono troppi sbattimenti.
Io con zeroshell uso un espediente per evitare troppi tentativi di connessione e di traffico di rete inutile: configuro il filtro L7 impostandogli una banda massima utilizzabile bassissima.
In questo modo il client si autentica ma il servizio diventa inusabile e il client non fa troppe prove a trovare una strada libera.
In ogni caso ho notato che anche la regola DROP funziona alla grande!
vBulletin® v3.6.4, Copyright ©2000-2025, Jelsoft Enterprises Ltd.