# [TIP] Bloquer MSN Messenger avec Shorewall

## razer

Responsable de l'administration des serveurs d'une entreprise, j'ai été confronté au problème MSN.

Ce problème a différents aspects :

Perte de productivité des employés, trop occupés à dialoguer avec copains / amants / Maîtresses et j'en passe

Sécurité des postes clients et du réseau global : je n'ai pas confiance dans un outil dont j'ignore le fonctionnement, à forciori lorsqu'il est signé Microsoft.

Tout d'abord un peu de théorie sur le protocole de connexion de MSN Messenger :

Le client tente des connexions directes via le port tcp 1863.

Si ce port est bloqué, il utilise des passerelles msn en se connectant via le port 80

De nouveau si cette connexion échoue, il essaye le port https 443

Les passerelles semblent actuellement toutes localisées sur un réseau de classe B : 207.46.0.0/16 

Donc, sur la passerelle équipée d'un firewall configuré via Shorewall, voici comment procéder :

"loc" correspond au réseau local, "net" au réseau internet. Ce qui donne dans /etc/shorewall/interfaces :

```
#ZONE    INTERFACE  BROADCAST   OPTIONS

net ppp0    -

loc eth1    detect

```

Il convient de remplacer eth1 et ppp0 le cas échéant

Ensuite, dans /etc/shorewall/rules :

```
#ACTION  SOURCE     DEST        PROTO   DEST    SOURCE     ORIGINAL

#                                       PORT    PORT(S)    DEST

# Local vers net

DROP   loc                 net:207.46.0.0/16   tcp - -

DROP   loc                 net:207.46.0.0/16   udp - -

DROP   loc                        net                 tcp 1863 -

DROP   loc                        net                 udp 1863 -

DROP   loc                        net                 tcp - 1863

DROP   loc                        net                 udp - 1863

# net vers Local

DROP   net:207.46.0.0/16   loc                 tcp - -

DROP   net:207.46.0.0/16   loc                 udp - -

DROP   net                        loc                 tcp 1863 -

DROP   net                        loc                 udp 1863 -

DROP   net                        loc                 tcp - 1863

DROP   net                        loc                 udp - 1863
```

Remarques :

Certaines règles sont sans doute superflues, mais après avoir passé pas mal de temps à essayer de bloquer ce fichu programme aux connections typées "gangrène", je n'ai pas tenté de simplifier la config

Il y a sans doute un moyen de faire plus simple, grâce aux autres fichiers de conf de shorewall ("policy" par exemple), j'attends les contributions éventuelles.

----------

## pyxel

merci pour ce tip, vraiment utile dans mon ecole^^

 :Wink: 

----------

## Timz

chez moi :

> gateway.messenger.hotmail.com   A       207.46.110.249

iptables -A FORWARD -i interface_lan -s 192.168.10.0/24 -o interface_exterieur -d 207.46.110.249 -p tcp --dport 80 -j REJECT

et ca marche aussi  :Wink: 

----------

## p0uLp3

Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up, je ne connais pas son fonctionnement mais il serait peut etre bon de tester aussi pour etre sur de ne plus avoir de problèmes ^^

++

----------

## geekounet

 *p0uLp3 wrote:*   

> Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up, je ne connais pas son fonctionnement mais il serait peut etre bon de tester aussi pour etre sur de ne plus avoir de problèmes ^^
> 
> ++

 

Et ya aussi ce site qui utilise une interface AJAX pour MSN. Je ne vois pas trop comment empêcher d'y accéder, à part mettre en place un proxy.

----------

## dyurne

 *pierreg wrote:*   

> Et ya aussi ce site qui utilise une interface AJAX pour MSN. Je ne vois pas trop comment empêcher d'y accéder, à part mettre en place un proxy.

 

Idem pour www.meebo.com.

 *p0uLp3 wrote:*   

> Il existe un service MSN Live qui permet d'utiliser MSN via un web browser et une pop-up

 

http://webmessenger.msn.com/

Il est peut être nécessaire de mettre en place des règles qui refuse d'accéder à ces différents sites...

----------

