Como falei, pode ter sido "ignorância" minha... mas o que eu quis dizer é que nunca vi a tal "rule" que pelo menos detecta o skype... porque se detectar o resto é tranquilo, no lugar do snort_inline eu uso o ossec, ele analisa as regras do snort e já inclui o ip do possível atacante no firewall (ipfw)...
Perguntei só por curiosidade, não tenho "ainda" necessidade de bloquear skype ou usar alguma utilidade do L7 (se bem que bloquear ou limitar emule seria legal :-), mas tudo bem, lá pra frente deve aparecer algo mais fácil... Obrigado pela atenção. -- Welkson Renny de Medeiros Focus Automação Comercial Desenvolvimento / Gerência de Redes [EMAIL PROTECTED] ----- Original Message ----- From: "Marcello Costa" <[EMAIL PROTECTED]> To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" <[email protected]> Sent: Wednesday, December 27, 2006 12:03 PM Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) Em Ter, 2006-12-26 às 15:37 -0300, Welkson Renny de Medeiros escreveu: > Boa tarde Marcello, > > > Dei uma verificada nos links, não sei se foi ignorância minha, mas não > encontrei nada de concreto, com exemplos, etc... se alguem tiver um > exemplo > funcionando posta aqui, com certeza o pessoal vai gostar, pois sempre vejo > o > pessoal comentando sobre L7, mas a resposta sempre termina em "usar > snort", > mas até agora não vi nenhum exemplo funcionando... > > Obrigado pela atenção. > > > -- > Welkson Renny de Medeiros > Focus Automação Comercial > Desenvolvimento / Gerência de Redes > [EMAIL PROTECTED] > > ----- Original Message ----- > From: "Marcello Costa" <[EMAIL PROTECTED]> > To: "Lista Brasileira de Discussão sobre FreeBSD (FUG-BR)" > <[email protected]> > Sent: Tuesday, December 26, 2006 12:06 PM > Subject: Re: [FUG-BR] Converter regra IPTABLES x PF (ou IPFW) > > > Em Sex, 2006-12-22 às 15:16 -0300, Welkson Renny de Medeiros escreveu: > > Senhores, > > > > > > Existe alguma forma de bloquear programas pela assinatura do > > pacote/string > > (se é que posso chamar assim) no PF ou IPFW? > > > > Exemplo IPTABLES: > > iptables -A FORWARD -m string --string "X-Skype:" -j DROP > > > > Acho que já li algo sobre isso, falando que não existe essa > > funcionalidade > > nos firewalls do bsd, mas dar pra fazer via snort, se verdade como faço > > isso? > > > > Vi essa regra hoje em um grupo e fiquei curioso (vi no grupo Perícia > > Forense, porque iptables/linux faz tempo que não uso). > > > > Abraço a todos. > > > > > > dá uma olhadinha no histórico da lista > > http://www.fug.com.br/historico/cgi-bin/namazu.cgi?query=ipfw > +l7&submit=Buscar%21&idxname=freebsd&max=20&result=normal&sort=score > > []'s > Acho que vc talvez ainda não tenha compreendido como funciona, mas se vc entende como um proxy funciona facil vc entender vc coloca um divert de uma regra para uma porta , nesta porta um programa qualquer esta "ouvindo" e executa ou não a ação de acordo com o que ele foi configurado , man ipfw w man divert para melhor compreenção , exemplos tem sim , este links abaixo são relativamente recentes e me foram trazidos pelo nosso amigo google http://www.google.com.br/search?q=freebsd+snort +inline&hl=pt-BR&lr=&start=30&sa=N http://freebsd.rogness.net/snort_inline/ http://lists.freebsd.org/pipermail/freebsd-current/2006-June/063821.html -- Marcello Costa BSD System Engineer unixmafia at yahoo dot com dot br FUG-BR #156 http://www.fug.com.br _______________________________________________________ Yahoo! Mail - Sempre a melhor opção para você! Experimente já e veja as novidades. http://br.yahoo.com/mailbeta/tudonovo/ ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
