公司如何禁止員工使用MSN？

[b0913]

上面己經有仁兄說了，非官方的只能見一個擋一個，我覺的也是如此，例如
http://www.e-messenger.net/
還是你不曉得有非官方的

那看來只能一個個使用網址來過濾囉!!!

[vincent0825]

其實真的要用msn,不管你怎麼弄都是擋不住的

就算你擋掉所有web msn的網址,我還是有辦法連出去,像我是開發Java程式的,市面上有人已經用Java寫好了MSN Client,還是開放原始碼的,我只要下載回來,利用我電腦本來就用Java Web Server(ex: tomcat)來跑這個MSN Client,這樣一來,我的電腦本機就是web client的網址(localhost),那就還是沒辦法囉

沒啦!其實公司要擋的應該不是擋工程師,應該是一般員工吧!不過真的有公司想要擋工程師,才會有人用Java寫了一個MSN Client,哈...惡性循環

不過這件事要是真的發生在我身上,我還是會服從公司的規定的,畢竟,員工本來就是該尊重上司的決定

[solong]

可以請問一下linux_xp嗎？
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ，印像中很少有資料會介紹 mangle 規則表的用法，先謝謝大家的回答

[yakomo]

上面己經有仁兄說了，非官方的只能見一個擋一個，我覺的也是如此，例如
http://www.e-messenger.net/
還是你不曉得有非官方的

還有這一個...
http://www.iloveim.com/

[jerry11]

在BAN MSN連線SERVER這方面，個人建議去VLAB找舊文章，那邊有篇討論很棒，非常值得參考。

[IamJay]

可以請問一下linux_xp嗎？
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ，印像中很少有資料會介紹 mangle 規則表的用法，先謝謝大家的回答

不是第一行是iptable，就通用 .... layer7 第7層...

轉貼 酷！學園


1.block MSN
2.block yahoo messenger
3.block big file (*.zip *.mp3 *.exe ...)

做法:
安裝squid and iptable (安裝就不多說了)

設定 squid(squid.conf)
##block MSN

acl msnmessenger req_mime_type ^application/x-msn-messenger$
http_access deny msnmessenger

acl msn dstdomain gateway.messenger.hotmail.com messenger.msn.com msgr.hotmail.com messenger.hotmail.com rad.msn.com assport.c
om messenger.msn
http_access deny msn

##block Yahoo!Messenger

acl yahooip src "/usr/local/squid/etc/denyyahooip"
http_access deny yahooip

acl yahoomsg dstdomain oscar.aol messenger.hotmail messenger.msn login.icq proxy.icq icq.mirabilis edit.yahoo messenger.yahoo
pager.yahoo
http_access deny yahoomsg

#block big file

acl bigfiles urlpath_regex -i "/usr/local/squid/etc/bigfile"
http_access deny bigfiles

設定iptable
#block Yahoo messenger

$IPTABLES -I FORWARD -p tcp --dport 20 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 21 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 23 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 25 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 119 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 135 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 554 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 1755 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 5050 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 5190 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 7070 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 7071 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 8200 -j DROP
$IPTABLES -I FORWARD -p tcp --dport 8554 -j DROP

$IPTABLES -I FORWARD -d msg.edit.yahoo.com -j DROP
$IPTABLES -I FORWARD -d messenger.yahoo.com -j DROP

#Block MSN Message

#$IPTABLES -I FORWARD -p tcp --dport 1863 -j DROP
#$IPTABLES -I FORWARD -d gateway.messenger.hotmail.com -j DROP

補充:
"/usr/local/squid/etc/denyyahooip"
請自行產生一個file，內容如下：
205.188.179.233
205.188.3.160
205.188.3.176
205.188.5.204
205.188.5.208
205.188.7.164
205.188.7.168
205.188.7.172
205.188.7.176
216.136.131.93
216.136.175.142
216.136.175.143
216.136.175.144
216.136.175.145
216.136.224.213
216.136.224.214
216.136.225.11
216.136.225.12
216.136.225.35
216.136.225.36
216.136.225.83
216.136.225.84
216.136.226.117
216.136.226.118
64.12.162.57
64.4.12.0/24
64.4.13.17
64.4.13.223
64.4.13.36
64.4.13.49

"/usr/local/squid/etc/bigfile"
請自行產生一個file，內容如下：
\.exe$ \.mp3$ \.vqf$ \.tar$ \.gz$ \.gz$ \.rpm$ \.zip$ \.rar$ \.avi$ \.mpeg$ \.mpe$ \.mpg$ \.qt$ \.ram$ \.rm$ \.iso$ \.raw$ \.wav$ \.mov$ \.exe. \.mp3. \.vqf. \.tar. \.gz. \.gz. \.rpm. \.zip. \.rar. \.avi. \.mpeg. \.mpe. \.mpg. \.qt. \.ram. \.rm. \.iso. \.raw. \.wav. \.mov.

[syxhzq]

不讓用MSN就可以了阿~
去控制面板堶悸熒s增移除程式--新增/移除windows元件--再把msn前面的勾去掉--這樣就把windows堶惘蛘a的msn給幹掉了，如果有自己安裝的就給他卸載掉。。然後再把電腦的權限設置為user這樣就不可以自己安裝軟件了~嘿嘿~~
不知道這個想法可以不？

[mulder1031]

相信我，以我在公司的經驗，凡事以阻擋方式處理問題為最下下策，且讓我分析給你聽，
首先，主管不肯扮黑臉，交付IT由網路或伺服器來阻止使用者使用某些服務，
如此會產生兩種結果，一種使用者位階夠高，剛好也使用該服務，來電詢問為何無法使用，
於是你的主管要你針對位階比他高的都予以放行，形成半調子的政策，
另外，低階一般使用者當發現無法使用該服務後，你等於在訓練他成為一個網路駭客，
就算沒有天賦，請相信侏羅紀裡面的諄諄教誨「生命會自己找尋出路」，
只要在眾多的使用者中有人有底子與管道（通常也會是其他IT），
一旦他可以使用，總是會有其他人見到他使用，於是前來就教，
如此一傳時，十傳百，就好像抗生素無法一次消滅所有病菌，
殘存的病菌便會開始全面滋生，而且連一般的使用者都能輕易突破，
最後該政策成為一個消耗系統資源又不能去掉的包袱。

衷心的建議，在阻擋了可能的破壞型的政策之外，其他的服務只要有日誌可供稽核便可，
藉由日誌來稽核使用者有無違反公司政策，讓公司政策與系統效能兼顧，
別再搞什麼阻擋了。有看過阻擋到最後的結果，使用者用雙網卡加上無線網路，
等於在防火牆後面的LAN端打一個大洞嗎？果真到了那天，公司的網路就千瘡百孔了。

如果你真的瞭解網路，你會懂我在講什麼，你應該是資深網管人員。

如果你真的認為你有辦法擋，其他人都沒你懂，你應該是個喜歡到處報名產品發表會的行政官僚。
要分辨這種人不難，其標準口頭禪為：（這簡單，只要......）

[anson lin]

看你要不要花錢硬體Firewall都可以擋封包,web msn也是可以檔的住

[linux_xp]

可以請問一下linux_xp嗎？
阻止MSN：
iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP
這行的指令是不是可以用在liunx 的iptables ，印像中很少有資料會介紹 mangle 規則表的用法，先謝謝大家的回答

-m layer7
-m ：model，指明了它是一個模組

且是一個 iptables 的「外掛」模組，非 iptables 所內建
一般大多數的 Linux distro 並沒有內建 l7-felter 這個模組
需對 Linux 核心重新編譯，並對 iptables 加掛 l7-filter 模組，才能使用

l7-filter 是一個開源軟體
能過濾的 service 多達數十種
包括：常用的 service、msn 、p2p....等等
它有英文網站，詳細可以參考它的網站，或者參考市面上的中文教學書籍


原理說明：
--------------------------------------
任何種類的 service 封包，在它的 data 部分開頭，必會指定封包用途
也就是說在 data 資料中，會有說明封包用途的字串

從程式設計的角度來看，這是很容易理解的
當一個 server 端 軟體，監聽到給它 port 的封包時
它要如何知道這個封包是該它處理的？
只要在 client端 發送封包時，於 data 部分加入特定字串即可
例如：smtp 出去的封包，data 部分必會指明這是 smtp 封包
當然的，這字串不會是只有 smtp 四個字這麼簡單，而是一段程式碼

舉個例子：
這就好比把 rmvb 副檔名，改成 avi 副檔名 (偽裝，換 port)
該檔案也不會變成 avi，是同樣的道理
檔案名稱只是參考罷了 (port 只是參考罷了)
真正的檔案格式 (封包資料格式)，都寫在 data 裡頭，播放器一讀就曉得了

因此只要去分析一個封包的 data
比對資料庫中的資料，若找到了符合的字串，就能確定它的用途
此功能稱為 filter 過濾器
過濾器抓出封包後，再交由防火牆去處理 - 決定封包是否通過或丟棄


但也可以知道，如果封包是加密過的
它的 data 結構顯然會有所改變，l7-filter 就無法抓出來了

不過 msn、icq、p2p ...等等常用的服務
目前還沒有加密型態的應用出現
加密需要雙方的演算，會耗用資源，這是不採用的最大的原因
另這些 service ，其實也還沒有到需要到保密的程度

ISP 管制 P2P 下載的下三流手段，用的就是硬體 l7-filter 的一種
如果 p2p 進化成加密型態，那 ISP 就甭玩了