Em 3 de junho de 2012 17:13, William Inocencio <[email protected]>escreveu:
> Thays, > > Não é mais fácil você liberar o acesso das máquinas e depois fazer um deny > all ? > Quem fizer o match será bloqueado ou permitido. > > maquinas="10.0.0.4 10.0.0.6" > > for ip in maquinas > do > allow tcp from $ip to any dst-port 1863 > done > > deny tcp from 10.0.0.0/8 to any 1863 > > > Saudações, Bom vejo que há varios fatores que fará o objetivo não ser alcançado. Primeiro, A rede do facebook não é constituido de apenas um unico CIDR. Segundo, Falta de considerações quanto aos proxies. Terceiro, Falta compreensão quanto ao modo cujo com exceção do packet filter considera as regras. Respostas. Primeiro. Segue o retorno de uma consulta whois sobre o AS do Facebook. 69.171.224.0 - 69.171.255.255 74.119.76.0 - 74.119.79.255 204.15.20.0 - 204.15.23.255 66.220.144.0 - 66.220.159.255 69.63.176.0 - 69.63.191.255 2620:0:1C00:: - 2620:0:1CFF:FFFF:FFFF:FFFF:FFFF:FFFF 173.252.64.0 - 173.252.127.255 Se uma unica rede ficar aberta, o acesso poderá ser feito atraves de outros dominios, como: faceboook.com.uk, facebook.com.jp e outros, Segundo, Para dar um fim quanto aos proxies eu aconselho a usar o squid junto com dansguardian ou squidguard, Segue abaixo uma lista de palavras que permite dar um fim na utilização de proxies para varios serviços. ------------------------------Inicio Lista SquidGuard -------------------------------------------------- hotmail|conversation-window|ebuddy|messenger|live|e-messenger| onlinemessenger|iloveim|siteburg|audiowatcher|msnger| bhi|imaginarlo|messbrasil|msn2go|messenger-online| msnanywhere|web2messenger|meebo|phonefox|imhaha|safehazard|cooltunnel|calculatepie|.comunicationtube| MINGLE|prox|webproxy|atenmee|freevarcheap|apeoixy|wearephoenix|isuzuforums| ambrosiasw|newyorkjets|motime|talibkweli|plexapp|chiefdelph|buddy -----------------------------Fim lista squidguard ------------------------------------------------------------ Terceiro e o erro principal, compreender como um firewall funciona, e suas limitações. Primeiro, com excessão do packet filter, todos os demais firewall a regra que o pacote coincidir sofrerá a ação do mesmo. Em resumo se o pacote coincide com a primeira regra ( posição da regra baseado nos numeros ) então este será a ação aplicada ao pacote. Para não extender o que já está por demais DOCUMENTADO, segue em resumos regras stateless que em conjunto com o filtro de url resolverá o problema, considere que o padrão do firewall é OPEN aqui, que em resumo se não há excessão de bloqueio a ação final será liberar. ipfw add 0010 deny all from any to 69.171.224.0 - 69.171.255.255 via WAN ipfw add 0011 deny all from any to 74.119.76.0 - 74.119.79.255 via WAN ipfw add 0012 deny all from any to 204.15.20.0 - 204.15.23.255 via WAN ipfw add 0013 deny all from any to 66.220.144.0 - 66.220.159.255 via WAN ipfw add 0014 deny all from any to 69.63.176.0 - 69.63.191.255 via WAN ipfw add 0015 deny all from any to 173.252.64.0 - 173.252.127.255 via WAN para bloquear o MSN, considerando que a sua rede interna seja 10.0.0.0/8 ipfw add 0016 deny all from 10.0.0.0/8 to any 1863 via LAN e para não deixar ninguem puto por que não consegue acessar a internet, ipfw add 65535 allow all from any to any via LAN ( se o sistema estiver com IPFIREWALL _DEFAULT_TO_ACCEPT ) configurado no kernel nao será necessário se preocupar com a ultima regra, porem embora trabalhoso manter o firewall fechado é muitas vezes melhor do que tentar deixar ele aberto. Configure o Proxy em modo transparente que as conexões dos MSNs tentará tanto pela porta 80 como pela 443 e mesmo assim não será possivel pois será pego pelo squidguard. Não é dificil só é chato ter que ficar monitorando. Agora de nada disso serve se a sua empresa não tem politica de segurança claramente definidas e normas de uso plenamente implantadas com direto de demissão por justa causa caso não as respeite. Resumo, demite 3 por justa causa e verá todos depois seguinte a regra :D Att. -- :=)><(=: Flamers > /dev/null !!! ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
