Ok Leonardo, Vamos sair do impasse ent�o. Use o m�dulo de strings do seu iptables.
Neste caso, voc� ter� que monitorar os pacotes que saem com destino aos servidores da MSN e observar com quais informa��es estes pacotes saem. Feito isso, voc� pode bloquear da seguinte forma: iptables -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -m state --state INVALID -j DROP iptables -m string --string "string encontrada em pacotes do MSN" -j DROP Estas regras DEVEM ser melhor trabalhadas, mas explicando o que pretendemos fazer com elas: A primeira deixar� pacotes j� mapeados pelo Firewall passar diretamente, evitando que todo pacote seja filtrado. Um pacote mapeado � aquele que pertence a uma conex�o que j� foi iniciada e no seu in�cio ele j� foi filtrado pelas regras. Em tempo, usei a palavra mapeada porque serve tanto para TCP como para UDP (este ultimo n�o tem conex�o, mas tamb�m � tratado). Na segunda a gente trata os pacotes que tentarem fazer uma conex�o de forma errada, ou inv�lida. Este deve ser jogado fora. E ent�o s� sobram os pacotes que est�o iniciando conex�o, quer dizer, aqueles que ainda n�o foram mapeados e suas conex�es est�o se iniciando de forma prudente e v�lida. Nestes pacotes, voc� ir� al�m dos endere�os e portas, estados de conex�o ou afins. Voc� ir� bustar um texto (string) dentro do pacote, e se este pacote tiver o texto, ele ser� bloqueado, evitando assim a conex�o com o MSN, ICQ ou Kazaa (� o mais utilizado). CUIDADO para n�o utilizar strings muito gen�ricas, isso poderia bloquear pacotes que n�o t�m nada a ver com o que voc� queria. Ps.: Existe uma forma de bloquear o MSN (mas a� s� vale para o MSN), voc� cria regras de filtragem da seguinte forma, todos os pacotes vindos das esta��es e saindo para a Internet s�o bloqueados a n�o ser para as portas realmente utilizadas, por exemplo 110 (pop3), 25 (smtp), 143 (imap4), etc. Mas n�o coloque 80 (http) ou 443 (https). Instale um Squid e force a esta��o a utilizar proxy (ou ent�o fa�a como Proxy transparente). Neste Squid, crie ACLs onde voc� ir� apenas permitir acesso a determinados sites. Desta forma, o usu�rio n�o vai se conectar na porta 1863 diretamente por causa do filtro do Firewall e n�o vai conectar pela 80 por causa das restri��es do Squid. Isso n�o � v�lido para o ICQ por exemplo, pois ele pode utilizar as portas abertas no Firewall para se conectar em algum server (por exemplo a porta 25). Fechar o M$ n�o � legal pois voc� vai perder o Windows Update e outros downloads que podem ser interessantes para a esta��o. A n�o ser que voc� tenha o SUS ou SMS rodando na sua rede interna e a partir deste servidor voc� distribua as atualiza��es. Att, Marcus Lima Consultor de Seguran�a > Ent�o lista, ser� que estamos num jogo de impasse, ou tem alguma solu��o > mais > amig�vel?!!! > > Estou pensando em �ltima hip�tese fechar a faixa de IPs da Micro$oft, o que > vcs acham??? --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
