Muito obrigado Marcus, Essa realmente � para agente guardar num FAQ pessoal.
Escreve um livro cara, potencial existe. ACREDITE!!! Leonardo. >Ok Leonardo, >Vamos sair do impasse ent�o. > >Use o m�dulo de strings do seu iptables. > >Neste caso, voc� ter� que monitorar os pacotes que saem com destino >aos servidores da MSN e observar com quais informa��es estes pacotes >saem. Feito isso, voc� pode bloquear da seguinte forma: > >iptables -m state --state RELATED,ESTABLISHED -j ACCEPT >iptables -m state --state INVALID -j DROP >iptables -m string --string "string encontrada em pacotes do MSN" -j >DROP > >Estas regras DEVEM ser melhor trabalhadas, mas explicando o que >pretendemos fazer com elas: > >A primeira deixar� pacotes j� mapeados pelo Firewall passar >diretamente, evitando que todo pacote seja filtrado. Um pacote mapeado >� aquele que pertence a uma conex�o que j� foi iniciada e no seu >in�cio ele j� foi filtrado pelas regras. Em tempo, usei a palavra >mapeada porque serve tanto para TCP como para UDP (este ultimo n�o tem >conex�o, mas tamb�m � tratado). > >Na segunda a gente trata os pacotes que tentarem fazer uma conex�o de >forma errada, ou inv�lida. Este deve ser jogado fora. > >E ent�o s� sobram os pacotes que est�o iniciando conex�o, quer dizer, >aqueles que ainda n�o foram mapeados e suas conex�es est�o se >iniciando de forma prudente e v�lida. > >Nestes pacotes, voc� ir� al�m dos endere�os e portas, estados de >conex�o ou afins. Voc� ir� bustar um texto (string) dentro do pacote, >e se este pacote tiver o texto, ele ser� bloqueado, evitando assim a >conex�o com o MSN, ICQ ou Kazaa (� o mais utilizado). CUIDADO para n�o >utilizar strings muito gen�ricas, isso poderia bloquear pacotes que >n�o t�m nada a ver com o que voc� queria. > >Ps.: Existe uma forma de bloquear o MSN (mas a� s� vale para o MSN), >voc� cria regras de filtragem da seguinte forma, todos os pacotes >vindos das esta��es e saindo para a Internet s�o bloqueados a n�o ser >para as portas realmente utilizadas, por exemplo 110 (pop3), 25 >(smtp), 143 (imap4), etc. Mas n�o coloque 80 (http) ou 443 (https). > >Instale um Squid e force a esta��o a utilizar proxy (ou ent�o fa�a >como Proxy transparente). Neste Squid, crie ACLs onde voc� ir� apenas >permitir acesso a determinados sites. > >Desta forma, o usu�rio n�o vai se conectar na porta 1863 diretamente >por causa do filtro do Firewall e n�o vai conectar pela 80 por causa >das restri��es do Squid. > >Isso n�o � v�lido para o ICQ por exemplo, pois ele pode utilizar as >portas abertas no Firewall para se conectar em algum server (por >exemplo a porta 25). > >Fechar o M$ n�o � legal pois voc� vai perder o Windows Update e outros >downloads que podem ser interessantes para a esta��o. A n�o ser que >voc� tenha o SUS ou SMS rodando na sua rede interna e a partir deste >servidor voc� distribua as atualiza��es. > >Att, >Marcus Lima >Consultor de Seguran�a > > Ent�o lista, ser� que estamos num jogo de impasse, ou tem alguma solu��o > mais > amig�vel?!!! > > Estou pensando em �ltima hip�tese fechar a faixa de IPs da Micro$oft, o que > vcs acham??? --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
