b0913
2005-04-11, 09:36 AM
上面己經有仁兄說了,非官方的只能見一個擋一個,我覺的也是如此,例如
http://www.e-messenger.net/
還是你不曉得有非官方的 :)
那看來只能一個個使用網址來過濾囉!!!
贊助商連結
http://www.e-messenger.net/
還是你不曉得有非官方的 :)
那看來只能一個個使用網址來過濾囉!!!
贊助商連結
贊助商連結 b0913 2005-04-11, 09:36 AM 上面己經有仁兄說了,非官方的只能見一個擋一個,我覺的也是如此,例如 http://www.e-messenger.net/ 還是你不曉得有非官方的 :) 那看來只能一個個使用網址來過濾囉!!! 贊助商連結 vincent0825 2005-04-11, 10:55 AM 其實真的要用msn,不管你怎麼弄都是擋不住的 就算你擋掉所有web msn的網址,我還是有辦法連出去,像我是開發Java程式的,市面上有人已經用Java寫好了MSN Client,還是開放原始碼的,我只要下載回來,利用我電腦本來就用Java Web Server(ex: tomcat)來跑這個MSN Client,這樣一來,我的電腦本機就是web client的網址(localhost),那就還是沒辦法囉 :D 沒啦!其實公司要擋的應該不是擋工程師,應該是一般員工吧!不過真的有公司想要擋工程師,才會有人用Java寫了一個MSN Client,哈...惡性循環 不過這件事要是真的發生在我身上,我還是會服從公司的規定的,畢竟,員工本來就是該尊重上司的決定 ;) solong 2005-04-11, 11:24 AM 可以請問一下linux_xp嗎? :|||: 阻止MSN: iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP 這行的指令是不是可以用在liunx 的iptables ,印像中很少有資料會介紹 mangle 規則表的用法,先謝謝大家的回答 :circle: yakomo 2005-04-11, 05:00 PM 上面己經有仁兄說了,非官方的只能見一個擋一個,我覺的也是如此,例如 http://www.e-messenger.net/ 還是你不曉得有非官方的 :) 還有這一個... :D http://www.iloveim.com/ jerry11 2005-04-11, 11:45 PM 在BAN MSN連線SERVER這方面,個人建議去VLAB找舊文章,那邊有篇討論很棒,非常值得參考。 IamJay 2005-12-19, 02:27 PM 可以請問一下linux_xp嗎? :|||: 阻止MSN: iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP 這行的指令是不是可以用在liunx 的iptables ,印像中很少有資料會介紹 mangle 規則表的用法,先謝謝大家的回答 :circle: 不是第一行是iptable,就通用 .... layer7 第7層... 轉貼 酷!學園 (http://phorum.study-area.org/viewtopic.php?t=21578&view=next&sid=99ad51ff69820a4a0af1c52d5f961d66) 1.block MSN 2.block yahoo messenger 3.block big file (*.zip *.mp3 *.exe ...) 做法: 安裝squid and iptable (安裝就不多說了) 設定 squid(squid.conf) ##block MSN acl msnmessenger req_mime_type ^application/x-msn-messenger$ http_access deny msnmessenger acl msn dstdomain gateway.messenger.hotmail.com messenger.msn.com msgr.hotmail.com messenger.hotmail.com rad.msn.com assport.c om messenger.msn http_access deny msn ##block Yahoo!Messenger acl yahooip src "/usr/local/squid/etc/denyyahooip" http_access deny yahooip acl yahoomsg dstdomain oscar.aol messenger.hotmail messenger.msn login.icq proxy.icq icq.mirabilis edit.yahoo messenger.yahoo pager.yahoo http_access deny yahoomsg #block big file acl bigfiles urlpath_regex -i "/usr/local/squid/etc/bigfile" http_access deny bigfiles 設定iptable #block Yahoo messenger $IPTABLES -I FORWARD -p tcp --dport 20 -j DROP $IPTABLES -I FORWARD -p tcp --dport 21 -j DROP $IPTABLES -I FORWARD -p tcp --dport 23 -j DROP $IPTABLES -I FORWARD -p tcp --dport 25 -j DROP $IPTABLES -I FORWARD -p tcp --dport 119 -j DROP $IPTABLES -I FORWARD -p tcp --dport 135 -j DROP $IPTABLES -I FORWARD -p tcp --dport 554 -j DROP $IPTABLES -I FORWARD -p tcp --dport 1755 -j DROP $IPTABLES -I FORWARD -p tcp --dport 5050 -j DROP $IPTABLES -I FORWARD -p tcp --dport 5190 -j DROP $IPTABLES -I FORWARD -p tcp --dport 7070 -j DROP $IPTABLES -I FORWARD -p tcp --dport 7071 -j DROP $IPTABLES -I FORWARD -p tcp --dport 8200 -j DROP $IPTABLES -I FORWARD -p tcp --dport 8554 -j DROP $IPTABLES -I FORWARD -d msg.edit.yahoo.com -j DROP $IPTABLES -I FORWARD -d messenger.yahoo.com -j DROP #Block MSN Message #$IPTABLES -I FORWARD -p tcp --dport 1863 -j DROP #$IPTABLES -I FORWARD -d gateway.messenger.hotmail.com -j DROP 補充: "/usr/local/squid/etc/denyyahooip" 請自行產生一個file,內容如下: 205.188.179.233 205.188.3.160 205.188.3.176 205.188.5.204 205.188.5.208 205.188.7.164 205.188.7.168 205.188.7.172 205.188.7.176 216.136.131.93 216.136.175.142 216.136.175.143 216.136.175.144 216.136.175.145 216.136.224.213 216.136.224.214 216.136.225.11 216.136.225.12 216.136.225.35 216.136.225.36 216.136.225.83 216.136.225.84 216.136.226.117 216.136.226.118 64.12.162.57 64.4.12.0/24 64.4.13.17 64.4.13.223 64.4.13.36 64.4.13.49 "/usr/local/squid/etc/bigfile" 請自行產生一個file,內容如下: \.exe$ \.mp3$ \.vqf$ \.tar$ \.gz$ \.gz$ \.rpm$ \.zip$ \.rar$ \.avi$ \.mpeg$ \.mpe$ \.mpg$ \.qt$ \.ram$ \.rm$ \.iso$ \.raw$ \.wav$ \.mov$ \.exe. \.mp3. \.vqf. \.tar. \.gz. \.gz. \.rpm. \.zip. \.rar. \.avi. \.mpeg. \.mpe. \.mpg. \.qt. \.ram. \.rm. \.iso. \.raw. \.wav. \.mov. syxhzq 2005-12-22, 11:46 AM 不讓用MSN就可以了阿~ 去控制面板堶悸熒s增移除程式--新增/移除windows元件--再把msn前面的勾去掉--這樣就把windows堶惘蛘a的msn給幹掉了,如果有自己安裝的就給他卸載掉。。然後再把電腦的權限設置為user這樣就不可以自己安裝軟件了~嘿嘿~~ 不知道這個想法可以不? mulder1031 2005-12-22, 06:37 PM 相信我,以我在公司的經驗,凡事以阻擋方式處理問題為最下下策,且讓我分析給你聽, 首先,主管不肯扮黑臉,交付IT由網路或伺服器來阻止使用者使用某些服務, 如此會產生兩種結果,一種使用者位階夠高,剛好也使用該服務,來電詢問為何無法使用, 於是你的主管要你針對位階比他高的都予以放行,形成半調子的政策, 另外,低階一般使用者當發現無法使用該服務後,你等於在訓練他成為一個網路駭客, 就算沒有天賦,請相信侏羅紀裡面的諄諄教誨「生命會自己找尋出路」, 只要在眾多的使用者中有人有底子與管道(通常也會是其他IT), 一旦他可以使用,總是會有其他人見到他使用,於是前來就教, 如此一傳時,十傳百,就好像抗生素無法一次消滅所有病菌, 殘存的病菌便會開始全面滋生,而且連一般的使用者都能輕易突破, 最後該政策成為一個消耗系統資源又不能去掉的包袱。 衷心的建議,在阻擋了可能的破壞型的政策之外,其他的服務只要有日誌可供稽核便可, 藉由日誌來稽核使用者有無違反公司政策,讓公司政策與系統效能兼顧, 別再搞什麼阻擋了。有看過阻擋到最後的結果,使用者用雙網卡加上無線網路, 等於在防火牆後面的LAN端打一個大洞嗎?果真到了那天,公司的網路就千瘡百孔了。 如果你真的瞭解網路,你會懂我在講什麼,你應該是資深網管人員。 如果你真的認為你有辦法擋,其他人都沒你懂,你應該是個喜歡到處報名產品發表會的行政官僚。 要分辨這種人不難,其標準口頭禪為:(這簡單,只要......) anson lin 2006-01-05, 04:37 PM 看你要不要花錢硬體Firewall都可以擋封包,web msn也是可以檔的住 linux_xp 2006-01-06, 01:47 AM 可以請問一下linux_xp嗎? :|||: 阻止MSN: iptables -t mangle -A POSTROUTING -m layer7 --l7proto msnmessenger -j DROP 這行的指令是不是可以用在liunx 的iptables ,印像中很少有資料會介紹 mangle 規則表的用法,先謝謝大家的回答 :circle: -m layer7 -m :model,指明了它是一個模組 且是一個 iptables 的「外掛」模組,非 iptables 所內建 一般大多數的 Linux distro 並沒有內建 l7-felter 這個模組 需對 Linux 核心重新編譯,並對 iptables 加掛 l7-filter 模組,才能使用 l7-filter 是一個開源軟體 能過濾的 service 多達數十種 包括:常用的 service、msn 、p2p....等等 它有英文網站,詳細可以參考它的網站,或者參考市面上的中文教學書籍 原理說明: -------------------------------------- 任何種類的 service 封包,在它的 data 部分開頭,必會指定封包用途 也就是說在 data 資料中,會有說明封包用途的字串 從程式設計的角度來看,這是很容易理解的 當一個 server 端 軟體,監聽到給它 port 的封包時 它要如何知道這個封包是該它處理的? 只要在 client端 發送封包時,於 data 部分加入特定字串即可 例如:smtp 出去的封包,data 部分必會指明這是 smtp 封包 當然的,這字串不會是只有 smtp 四個字這麼簡單,而是一段程式碼 舉個例子: 這就好比把 rmvb 副檔名,改成 avi 副檔名 (偽裝,換 port) 該檔案也不會變成 avi,是同樣的道理 檔案名稱只是參考罷了 (port 只是參考罷了) 真正的檔案格式 (封包資料格式),都寫在 data 裡頭,播放器一讀就曉得了 因此只要去分析一個封包的 data 比對資料庫中的資料,若找到了符合的字串,就能確定它的用途 此功能稱為 filter 過濾器 過濾器抓出封包後,再交由防火牆去處理 - 決定封包是否通過或丟棄 但也可以知道,如果封包是加密過的 它的 data 結構顯然會有所改變,l7-filter 就無法抓出來了 不過 msn、icq、p2p ...等等常用的服務 目前還沒有加密型態的應用出現 加密需要雙方的演算,會耗用資源,這是不採用的最大的原因 另這些 service ,其實也還沒有到需要到保密的程度 ISP 管制 P2P 下載的下三流手段,用的就是硬體 l7-filter 的一種 如果 p2p 進化成加密型態,那 ISP 就甭玩了 :) |
|