On Tue, 16 Jul 2002 11:59:48 -0300 "Lista Elsimar" <[EMAIL PROTECTED]> wrote:
> Existem alguma forma de derrubar um ip da rede ex. tal m�quina acessa a > internet s� que a pessoa n�o esta autorizado ent�o pensei assim em > determinado horario coloco uma regra no ipchains (outro detalhe n�o consegui > escrever a maledita regra...) mas se o cidad�o j� estiver usando ser� que > derruba a conex�o? ou tem algum monitor tipo console novel ou netwatch que > vc derruba o pe�o.. > alguem tem alguma dica.. s� complementado em outros horarios o acesso � > normal. Uma alternativa seria: 1. Logar as regras do ipchains que fornecem acesso �s m�quinas em quest�o; 2. Rodar um script pelo crontab, de X em X minutos, que analisasse o log em busca da string ACCEPT + IP_da_maquina; 3. Caso encontre essa string e a hora atual seja restrita (deve-se construir uma tabela IP x Hora), adiciona-se uma regra DENY bloqueando o IP em quest�o. O problema com isso � a quantidade de log que o ipchains pode gerar, especialmente se tiver muito tr�fego e muitas m�quinas. Deve-se configurar adequadamente um logrotate, por exemplo. Agora, da mesma forma que outras ferramentas como o PortSentry, se algu�m mandar uns pacotes IP-spoofed, podem ocorrer problemas. :) Nesse caso, no script, coloque uma verifica��o para nunca bloquear m�quinas importantes. O resto � fazer o script, mas a l�gica, no meu entender, � essa - se ningu�m achar uma possibilidade de exploit nisso :). Mas � quase certo que existam ferramentas prontas para isso. -- []s, Dorian Assinantes em 16/07/2002: 2231 Mensagens recebidas desde 07/01/1999: 175184 Historico e [des]cadastramento: http://linux-br.conectiva.com.br Assuntos administrativos e problemas com a lista: mailto:[EMAIL PROTECTED]
