Pakets dropped to Messangers

MSN requires a ton of open ports to multiple IP ranges.  It sucks for security sorry.

thanks. So you mean, it is normal? 
Do you know what is the point Instant Messaging for in the v.7? Does it have any reason then?

The IM "proxy" in v7 ins't a proxy...  It's there to block or allow those chat protocols.
If you "turn on" MSN, you still need packet filter rules for it to work correctly.
If you "turn off" then MSN won't work at all regardless of your packet filter settings.

It's basically an IPS for instant messaging protocols.

I hear you can get MSN working through the HTTP proxy alone, (probably in standard mode), I cannot get it to work correctly in transparent mode.  (Some other users say they can but I need some feedback from them on how they did this).

PS: Yes it's normal.  For MSN chat, file transfers, etc etc it's normal for MSN to require outbound access to many IP's and ports.  Pasting from: http://www.chebucto.ns.ca/~rakerman/port-table.html#WinMess


Service                                                                                   TCP  UDP  Notes
Windows Messenger - voice (computer to phone)                                   2001-2120, 6801, 6901    from Q324214. NOTE: 6801 is Net2Phone.
MSN Messenger - file transfers                                           6891-6900                                      from Q278887. Allows up to 10 simultaneous transfers.
MSN Messenger - voice communications (computer to computer)     6901   6901                         from Q278887

[highlight]For Windows Messenger in a non-UPnP environment, unfortunately Microsoft requires dynamic UDP ports across a very wide range. This is a tremendous security risk. Try to establish a UPnP environment if possible. Nevertheless, here is what they say To support [audio and video] in both directions through the firewall, all UDP ports between 5004 and 65535 must be opened to allow signaling (SIP) and media streams (RTP) to traverse the firewall.[/highlight]

You may want to mess with the SIP proxy to avoid this.

I got around it kind of, by listing all IP ranges Microsoft use, then allowing the above only to those IP's.  PITA tho.

I will check for you and test again. But now, i cannot get it working anymore. I enabled following ranges (it worked last week) :

MSN_IM_Range 207.46.108.0/24

MSN_IM_Range2 65.54.179.0/24

Now, it ist blocked again this way : 

myadress :  3518
→ 
internal address  :  80

I tried via http/https/ and socks proxy as well. My packets are dropped, but I allowed...

When this is working again, I will try for transparent.

ok. I just saw your last post. I will get through this now.

ok. I just saw your last post. I will get through this now.

So, it just workd with UPnP. But after reconnect, it will not connect anymore. Now it starts with more Ip´s : 

--- > 65.54.183.193  :  443

I cannot understand why.....

I think the article I pasted is old, there are more IP's it uses now.  Google is your friend [:)]

So, i got it now.
These Microsoft ranges i had to open for packet filter rules : 

MSN_IM_Range 207.46.0.0/16

MSN_IM_Range2 65.52.0.0/14

MSN_IM_Range3 65.52.0.0/14

Is there any security lag for me (the company?)

These additional Infos i got from MS : 
//
In der folgenden Tabelle sind die Internetports aufgeführt, die von Windows Live Messenger und MSN Messenger verwendet werden. 
Anmeldung beim Messenger-Dienst  
TCP-Ports 1863, 80, 443  
Netzwerkerkennung  
TCP-Port 7001 
UDP-Ports 9, 7001  
Audio- und Videokonferenzen  
TCP/UDP-Ports 5004 - 65535 
TCP-Port 80 
TCP-Port 443 
TCP-Port 1863  
Ältere Audiosysteme *  
UDP-Ports 5004 - 65535  
Webcam- und Video-Unterhaltungen  
TCP-Port 80 
TCP/UDP-Ports 50004 - 65535  
Dateiübertragung  
TCP/UDP-Ports 1025 - 65535  
Dateiübertragung älteren Typs *  
TCP-Ports 6891 - 6900  
Whiteboard und Anwendungsfreigabe  
TCP-Port 1503  
Remoteunterstützung  
TCP-Port 3389 
TCP-/UDP-Ports 49152 - 65535 (nur für Windows Vista)  
Spiele  
TCP-Ports 80, 443, 1863 
TCP/UDP-Ports 1025 - 65535  
* Diese Ports werden bei der Verbindung über ein älteres Clientprogramm, etwa MSN Messenger 5.0 oder eine beliebige Version von Windows Messenger, verwendet. 
Wenn eine direkte Peer-to-Peer-Verbindung nicht hergestellt werden kann, überträgt Messenger die Datei über denselben Server, der für Textunterhaltungen verwendet wird. Messenger überträgt die Datei mit einer Geschwindigkeit von 120 Paketen pro Minute über den Switchboard-Server auf Port 1863 oder Port 80. Jedes Paket ist auf 1300 Byte beschränkt.
//

Well, it's a lot of open ports.  That said it's not a huge security risk.  Lot's of traffic will be able to get out, but hopefully only to the IPs mentioned.
You balance functionality against security.  If anyone has a better solution for MSN I'd like to have the how-to?

as in our company is only the chat (no voice /video) needed, I just opened Port 5190. Unfortunately, i had to open all microsoft range that this is working. 
for incoming ports i choosed 2001-2120 and enabled UPnP Port mappig.