Msn blocken op router - Netwerken

woensdag 17 december 2003 10:57

Acties:

Verwijderd

Topicstarter

Ik heb al door verschillende topics gebladerd en ben erachter gekomen dat ik de range 64.4.13.0/255.255.255.0 zou moeten blocken op de proxy server... maar ik wil graag msn blocken op de router...

Ik zal proberen om zo duidelijk mogelijk uit te leggen wat ik allemaal moet invullen bij 'IP Filter/Firewall Setup' >>

Comment >> textveld

Check to enable the Filter Rule >> checkbox

Pass or Block >> list (Pass immediately, Block immediately, Pass if no further match, block if no further match)

Branch to Other Filter Set >> list (none, set#1... [gaat tot set#12])

Direction >> list (IN, OUT)

Protocol >> list (any, tcp, udp, tcp/udp, icmp, igmp)

nu komt het moeilijkste stukje (ook om uit te leggen)... ik zal mijn best doen om het zo duidelijk mogelijk uit te leggen...

er zijn 2 'rijen' die ik moet invullen, namelijk 'Source' en 'Destination'
voor beide rijen moet ik het volgende invullen:

IP Address >> textfield (staat standard op 'any')

Subnet Mask >> list (alle subnetten staan daar in)

Operator >> list ( =, !=, >, < )

Start Port >> textfield

End Port >> textfield

En dan als laatste:

Keep State >> checkbox

Source Route >> checkbox

Fragments >> list (Don't care, Unfragmented, Fragmented, Too Short)

Wie kan mij helpen?!

woensdag 17 december 2003 11:02

Acties:

Skaah

Kun je anders misschien een screenshot van je config pagina van je router neerzetten?

woensdag 17 december 2003 11:06

Acties:

The-Source

Skaah schreef op 17 december 2003 @ 11:02:
Kun je anders misschien een screenshot van je config pagina van je router neerzetten?

+ merk en type router

PS je kunt gewoon het inbound verkeerd van de msn servers blocken zodat je nooit goed aangemeld kunnen worden.
Dus al het verkeerd in de door jouw genoemde range forwarden naar een adres wat niet in het netwerk bestaat of ze gelijk laten droppen (indien mogelijk)

edit:

Topic ruikt naar: systeembeheerder op een school die niet weet hoe een router werkt

Gezien je leeftijd lijkt het me sterk

[ Voor 23% gewijzigd door The-Source op 17-12-2003 11:08 ]

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

woensdag 17 december 2003 11:06

Acties:

Verwijderd

Topicstarter

Ik kon hem niet uploaden, maar je zette mij ff aan het denken >>
Lang leven het internet

http://www.draytek.nl/router/v2x00.php?type=2200&fw=2.1a

Dit is een webinterface precies zoals ik hem heb... wie kan mij nu helpen!?

woensdag 17 december 2003 11:08

Acties:

BoAC

Memento mori

MSN maakt gebruik van een bepaald poort: 1863 (als ik dat goed heb)

Nu moet je alle verkeer dat van binnen(source = any) naar buiten(destination = any) gaat en naar die betreffende poort (start / end port = 1863) gaat blocken.
Dit staat neem ik aan wel in de handleiding van die router

woensdag 17 december 2003 11:09

Acties:

mabarto

BoAC schreef op 17 december 2003 @ 11:08:
MSN maakt gebruik van een bepaald poort: 1863 (als ik dat goed heb)

Nu moet je alle verkeer dat van binnen(source = any) naar buiten(destination = any) gaat en naar die betreffende poort (start / end port = 1863) gaat blocken.
Dit staat neem ik aan wel in de handleiding van die router

MSN gaat dan helaas via port 80 geloof ik.

woensdag 17 december 2003 11:09

Acties:

Verwijderd

het makkelijkste is om de adressen van de MSN servers in je routingstabel naar een ip adres lokaal te verwijzen..
MSN heeft als alternatieve poort 80 en die staat gewoon open..

suc6

edit:

207.46.104.0/24
207.46.106.0/24

moet genoeg zijn...

[ Voor 18% gewijzigd door Verwijderd op 17-12-2003 11:11 ]

woensdag 17 december 2003 11:12

Acties:

The-Source

http://www.draytek.nl/rou...2200&fw=2.1a&show=ipf.cgi

FF scrollen naar filter voorbeelden.

Dan zou je dus alle ip's op poort 1863 kunnen blocken (1e firewall regel)
En daarna alle ip's van 64.4.13.0 tot 64.4.13.255 blocken op poort 80 (2e firewall regel)
Als toevallig msn.nl/com (Misschien hotmail...) ook op 1 van die ip adressen zit dan kun je ze niet meer bekijken!

[ Voor 24% gewijzigd door The-Source op 17-12-2003 11:13 ]

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

woensdag 17 december 2003 11:12

Acties:

BoAC

Memento mori

Verwijderd schreef op 17 december 2003 @ 11:09:
..
MSN heeft als alternatieve poort 80 en die staat gewoon open..
..
[/edit]

Arghh

nooit aan gedacht

woensdag 17 december 2003 11:14

Acties:

Verwijderd

Topicstarter

Nee ik ben geen netwerkbeheerder... ik loop stage bij de ict coördinatie van 6basisscholen... je leest het goed BASISscholen... dus hier zitten geen Ubernerds die het wel weten te omzeilen... nu wil ik het gewoon graag zo simpel mogelijk dicht gooien zodat de kleintjes niet meer op msn kunnen... (ja dat doen ze al!)

En wat betreft routers... ik heb er niet zo veel verstand van... iig wel meer als van proxy servers.... die hebben wij hier ook draaien... maar vraag mij niet hoe dat werkt.. dan zal ik me daar eerst in moeten verdiepen!

woensdag 17 december 2003 11:17

Acties:

Verwijderd

Wat ik altijd doe, maar ik weet niet of jij dat kan, ik verander de dns. Maak het NS record van messenger.hotmail.com 127.0.0.1 en opgelost.

Maar jah, da's onder Linux met djbdns. Weet niet of jouw router dan aankan...

woensdag 17 december 2003 11:18

Acties:

Verwijderd

Je zou ook in de filterrules de adressen van de msn servers kunnen blokkeren..
Advanced Setup> IP Filter / Firewall Setup> Edit Filter Set
Maak daar een nieuw filter aan die de toegang blockeerd voor een select groepje pc's ( dhcp range ofzo )
hiermee kan je een scheiding maken wie niet en wie wel msn

woensdag 17 december 2003 11:19

Acties:

Verwijderd

En MSN zoekt volgens mij ook gewoon een volgende poort...
Overigens is het misschien een optie om te kijken of je de MSN communicatieservers niet kan rejecten.

Waarschijnlijk gebruikt MSN daar ook een cluster voor met bepaalde IP ranges. Misschien dat je iets via policies kan doen.

Verder lijkt het me niet echt heel boeiend hier heel veel tijd aan te besteden (of je baas moet het perse willen, maar dan moet je ook serieus onderzoek doen)

woensdag 17 december 2003 11:19

Acties:

Verwijderd

Verwijderd schreef op 17 december 2003 @ 11:17:
Wat ik altijd doe, maar ik weet niet of jij dat kan, ik verander de dns. Maak het NS record van messenger.hotmail.com 127.0.0.1 en opgelost.

Maar jah, da's onder Linux met djbdns. Weet niet of jouw router dan aankan...

Draytekje maakt gebruik van de ISP dns.... wil hier helaas niet..

woensdag 17 december 2003 11:20

Acties:

Verwijderd

Topicstarter

Dat DNS kan ook proberen... ik naam dat ik op de dns van de server moet zijn...

wat moet ik dan precies doen in de DNS... sorry mensen dat ik zoveel vraag... wil het allemaal graag leren, en tja dat vraagt om veel uitleg

woensdag 17 december 2003 11:32

Acties:

Verwijderd

Wat dacht je van MSN er af gooien en de rechten weg nemen dat ze het kunnen installen? Kan ik me nog wel herrineren van mijn school tijd...

woensdag 17 december 2003 11:33

Acties:

The-Source

Verwijderd schreef op 17 december 2003 @ 11:14:
Nee ik ben geen netwerkbeheerder... ik loop stage bij de ict coördinatie van 6basisscholen... je leest het goed BASISscholen... dus hier zitten geen Ubernerds die het wel weten te omzeilen... nu wil ik het gewoon graag zo simpel mogelijk dicht gooien zodat de kleintjes niet meer op msn kunnen... (ja dat doen ze al!)

En wat betreft routers... ik heb er niet zo veel verstand van... iig wel meer als van proxy servers.... die hebben wij hier ook draaien... maar vraag mij niet hoe dat werkt.. dan zal ik me daar eerst in moeten verdiepen!

Als jullie ISA server hebben draaien dan kun je heel simpel een msn rule toevoegen

(Dan ben je van het geklooi met je router gelijk klaar

)

edit:
Misschien voor mij simpel

[ Voor 3% gewijzigd door The-Source op 17-12-2003 11:33 ]

Taal fouten inbegrepen ;)
Mijn AI Art YouTube kanaal

woensdag 17 december 2003 11:37

Acties:

Verwijderd

ok getest met mijn eigen draytek 2200 WE..

Volgende stappen:
ga naar Advanced Setup > IP Filter / Firewall Setup
Klik op set 2 default data filter.
Als het goed is staat daar 1 regel voor netbios..
klik op filter rule 2
pas de source aan naar je eigen ip range.
Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/1203/draytekfilter1.jpg

Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/1203/draytekfilter1.jpg

maak een 2de filter aan voor de 2de msn server range
Afbeeldingslocatie: http://www.theforumisdown.com/uploadfiles/1203/draytekfilter2.jpg

suc6

edit:

sorry voor het overhoop gooien van de layout

[ Voor 8% gewijzigd door Verwijderd op 17-12-2003 11:38 ]

woensdag 17 december 2003 11:43

Acties:

Spearhead

Ik heb dit gebruikt in squid (http proxy). Werkt als een tiet!

acl MSN req_mime_type -i ^application/x-msn-messenger$
http_access deny MSN

woensdag 17 december 2003 11:44

Acties:

Verwijderd

Topicstarter

Helaas het werkt niet...

Moeten er geen poorten geblocked worden?!

woensdag 17 december 2003 11:59

Acties:

Verwijderd

Verwijderd schreef op 17 december 2003 @ 11:44:
Helaas het werkt niet...

Moeten er geen poorten geblocked worden?!

werkt niet....

je hebt bij source wel je eigen ip range toegevoegd ( ipv 192.168.10.0 ) ?

dat is wel erg vreemd... ik zoek nog ff verder...

[ Voor 14% gewijzigd door Verwijderd op 17-12-2003 12:00 ]

woensdag 17 december 2003 12:01

Acties:

VisionMaster

Security!

Als je geen portnummer invoerd, zou het alle porten moeten nemen met de gegeven adres specificaties.
Desnoods voor je in... 0 tot 65000

Dat moet wel wat tegen houden. Even voor de duidelijkheid aan de TS ... dit betekent dus dat je de MSN servers (die in 2 IP-adres ranges zitten (er zijn namelijk veel MSN server)...) nu geblockeerd hebt. Is dat nog niet het geval, dan kan het zijn dat de Firewall nog even alle openstaande verbindingen moet laten vallen/trashen.

I've visited the Mothership @ Cupertino

woensdag 17 december 2003 12:03

Acties:

Verwijderd

VisionMaster schreef op 17 december 2003 @ 12:01:
Is dat nog niet het geval, dan kan het zijn dat de Firewall nog even alle openstaande verbindingen moet laten vallen/trashen.

Reboot desnoods even de router

woensdag 17 december 2003 12:08

Acties:

Verwijderd

Topicstarter

Ik ben (gelukkig) nou niet zo dom dat ik niet mijn eigen iprange invul...

deze 2 ranges zijn dus al geblocked... hoe kom ik achter de andere ranges?!

woensdag 17 december 2003 12:09

Acties:

VisionMaster

Security!

Verwijderd schreef op 17 december 2003 @ 12:03:
[...]
Reboot desnoods even de router

Zat ik te bedenken om erbij te vermelden, maar ik weet niet of dit met een hardware router ook nodig is... of dat het gewoon direct actief wordt (zal wel voor grotere routers zijn weggelegd...).

Verwijderd schreef op 17 december 2003 @ 12:08:
Ik ben (gelukkig) nou niet zo dom dat ik niet mijn eigen iprange invul...

deze 2 ranges zijn dus al geblocked... hoe kom ik achter de andere ranges?!

Welke andere ranges bedoel je? Andere ranges van MSN ofzo?

[ Voor 33% gewijzigd door VisionMaster op 17-12-2003 12:11 ]

I've visited the Mothership @ Cupertino

woensdag 17 december 2003 12:11

Acties:

Verwijderd

Verwijderd schreef op 17 december 2003 @ 12:08:
Ik ben (gelukkig) nou niet zo dom dat ik niet mijn eigen iprange invul...

deze 2 ranges zijn dus al geblocked... hoe kom ik achter de andere ranges?!

volgens mij zijn dat de ranges... probeer ander verbinding te maken met msn en als het lukt netstat in een dosbox te kloppen... kan je zien met welke server je verbinding hebt..

Ik heb dit bij een klant toegevoegd.. ( nee geen isa server

) en daar zie ik niemand meer op msn...

[ Voor 4% gewijzigd door Verwijderd op 17-12-2003 12:13 ]

woensdag 17 december 2003 12:15

Acties:

Verwijderd

Topicstarter

Nou ik heb die ranges geblocked maar ik kan nog steeds op msn komen...
Nu weet ik niet of er meerdere ranges zijn...

woensdag 17 december 2003 12:17

Acties:

Verwijderd

Verwijderd schreef op 17 december 2003 @ 12:15:
Nou ik heb die ranges geblocked maar ik kan nog steeds op msn komen...
Nu weet ik niet of er meerdere ranges zijn...

probeer in een dosbox eens netstat en kijk of je een verbinding hebt op poort 1863..

mocht dit nou in de range zijn die we net geblocked hebben dan zou ik de firmware eens updaten.. ik meen dat 2.3.6 al een tijdje uit is..

edit:
2.3.8 is uit

[ Voor 5% gewijzigd door Verwijderd op 17-12-2003 12:21 ]

woensdag 17 december 2003 12:26

Acties:

PeetR

ik heb net ff mijn MSN-verbinding gecheckt. de range 207.46.107.0/24 hoort er ook bij iig

Your time as a student is the best time of your life

woensdag 17 december 2003 12:29

Acties:

Verwijderd

PeetR schreef op 17 december 2003 @ 12:26:
ik heb net ff mijn MSN-verbinding gecheckt. de range 207.46.107.0/24 hoort er ook bij iig

perfect

woensdag 17 december 2003 12:32

Acties:

Verwijderd

Topicstarter

Ok ik heb de hoop met de router maar opgegeven

Ik zit nu in de proxy server... daar heb ik helemaal geen verstand van

maar het schijnt dat het daarin een stuk gemakkelijker is?!

Mensen die mij willen helpen zou heel erg mooi zijn!!

Wij maken hier gebruik van Jana Server 2.1

woensdag 17 december 2003 12:35

Acties:

Verwijderd

Verwijderd schreef op 17 december 2003 @ 12:32:
Ok ik heb de hoop met de router maar opgegeven

je hoeft waarschijnlijk alleen die ene regel erbij te maken en dan stop je nu

je geeft wel makkelijk op....

maar goed..

veel suc6 met het configureren van je proxyserver

woensdag 17 december 2003 12:40

Acties:

Verwijderd

Topicstarter

ook met die laatste range erbij blijft hij het maar doen!!

maarja.. als ik in netstat kijk... dan geeft hij aan dat hij via de proxy gaat... dus ga ik maar proberen om het daar te omleiden

woensdag 17 december 2003 12:41

Acties:

PeetR

hhm ja lekker is dat; lopen dr een hoop mensen moeite voor je te doen om je router goed te configureren. De een vult de ander aan, je bent eiglijk bijna klaar en dan gooi je toch maar over een andere boeg en moeten we je gaan uitleggen hoe je proxy werkt.

Zo werkt dat natuurlijk niet bij tweakers magoed.

ik raad je aan om die 107 range ook nog ff in te vullen en ik dacht uit me hoofd dat de 105 range er ook bij hoort.

Ff overzichtelijk:

-207.46.104.0
-207.46.105.0 (waarschijnlijk)
-207.46.106.0
-207.46.107.0

deze blokken en je ben klaar. en anders veel succes met je proxyserver.

kijk dan eens op de proxy met netstat welke verbindingen er op de betreffende poort openstaan

[ Voor 8% gewijzigd door PeetR op 17-12-2003 12:43 . Reden: toevoeging ]

Your time as a student is the best time of your life

woensdag 17 december 2003 12:44

Acties:

Verwijderd

als je de mogelijkheid hebt... reboot je proxyserver...

[ Voor 4% gewijzigd door Verwijderd op 17-12-2003 12:44 ]

woensdag 17 december 2003 13:02

Acties:

Verwijderd

Topicstarter

Ik heb die ranges allemaal geblocked en nog blijft hij het doen... vandaar dat ik het nu in de proxy ga proberen

woensdag 17 december 2003 13:43

Acties:

VisionMaster

Security!

uhm dudes ... en TS ...
als je een tracert of traceroute (al nagelang welk OS je gebruik) dan had je kunnen zien dat 207.46.33.45 de core msn router was.
Gevolgt door 3 routers en een subnet arrival (heb linux hiero).

Anyway ... block 207.46.0.0/16
als het dan nog niet werkt, dan ... weet ik het ook niet

I've visited the Mothership @ Cupertino

woensdag 4 februari 2004 19:23

Acties:

Verwijderd

Wie kan me helpen...

Heb hetzelfde probleem..
Ik wil msn op een netwerk geblokkerd hebben..
Maar het lukt me niet

Het gaat hier om een SITECOM routen + com 21 modem

Please help

vrijdag 20 februari 2004 11:20

Acties:

Verwijderd

dude je ken natuurlijk ook gewoon een bestand maken in prgram files die messenger heet en die instellen dat ze hem niet kunnin verwijderen en de rechten in die map wegnemen als msn dan wil installeren dan wil het niet MSN installeerd namelijk automatich daarnaar toe en basisschool kinderen kunnen er vast niet om heen... en dan nog valt te proberen