Meu nome n�o � Marcos e sim Marcus. Use o tcpdump ou ethereal (sendo este �ltimo gr�fico e por isso de preferencia por alguns usu�rios).
Att, Marcus Lima. Consultor de Seguran�a. > Ola Marcos, > acompanhei o e-mail abaixo mas nao entendi direiro. > Eu uso o IPTRAF e como eu atravez do IPTRAF eu consigo descobrir a string > encontrada em pacotes do MSN? > > Estou com problemas para barrar o Kazaa e o msn aqui na empresa. > > Desculpe pela pergunta mas caso possa me ajudar eu agradeco. > ----- Original Message ----- > From: "Marcus Lima" <[EMAIL PROTECTED]> > To: "Leonardo Pinto" <[EMAIL PROTECTED]>; > <[EMAIL PROTECTED]>; <[EMAIL PROTECTED]>; > <[EMAIL PROTECTED]> > Sent: Thursday, May 20, 2004 8:18 AM > Subject: Re: RES: (linux-br)Barrar definitivamente o MSN com IPTables > > > > Ok Leonardo, > > Vamos sair do impasse ent�o. > > > > Use o m�dulo de strings do seu iptables. > > > > Neste caso, voc� ter� que monitorar os pacotes que saem com destino > > aos servidores da MSN e observar com quais informa��es estes pacotes > > saem. Feito isso, voc� pode bloquear da seguinte forma: > > > > iptables -m state --state RELATED,ESTABLISHED -j ACCEPT > > iptables -m state --state INVALID -j DROP > > iptables -m string --string "string encontrada em pacotes do MSN" -j > > DROP > > > > Estas regras DEVEM ser melhor trabalhadas, mas explicando o que > > pretendemos fazer com elas: > > > > A primeira deixar� pacotes j� mapeados pelo Firewall passar > > diretamente, evitando que todo pacote seja filtrado. Um pacote mapeado > > � aquele que pertence a uma conex�o que j� foi iniciada e no seu > > in�cio ele j� foi filtrado pelas regras. Em tempo, usei a palavra > > mapeada porque serve tanto para TCP como para UDP (este ultimo n�o tem > > conex�o, mas tamb�m � tratado). > > > > Na segunda a gente trata os pacotes que tentarem fazer uma conex�o de > > forma errada, ou inv�lida. Este deve ser jogado fora. > > > > E ent�o s� sobram os pacotes que est�o iniciando conex�o, quer dizer, > > aqueles que ainda n�o foram mapeados e suas conex�es est�o se > > iniciando de forma prudente e v�lida. > > > > Nestes pacotes, voc� ir� al�m dos endere�os e portas, estados de > > conex�o ou afins. Voc� ir� bustar um texto (string) dentro do pacote, > > e se este pacote tiver o texto, ele ser� bloqueado, evitando assim a > > conex�o com o MSN, ICQ ou Kazaa (� o mais utilizado). CUIDADO para n�o > > utilizar strings muito gen�ricas, isso poderia bloquear pacotes que > > n�o t�m nada a ver com o que voc� queria. > > > > Ps.: Existe uma forma de bloquear o MSN (mas a� s� vale para o MSN), > > voc� cria regras de filtragem da seguinte forma, todos os pacotes > > vindos das esta��es e saindo para a Internet s�o bloqueados a n�o ser > > para as portas realmente utilizadas, por exemplo 110 (pop3), 25 > > (smtp), 143 (imap4), etc. Mas n�o coloque 80 (http) ou 443 (https). > > > > Instale um Squid e force a esta��o a utilizar proxy (ou ent�o fa�a > > como Proxy transparente). Neste Squid, crie ACLs onde voc� ir� apenas > > permitir acesso a determinados sites. > > > > Desta forma, o usu�rio n�o vai se conectar na porta 1863 diretamente > > por causa do filtro do Firewall e n�o vai conectar pela 80 por causa > > das restri��es do Squid. > > > > Isso n�o � v�lido para o ICQ por exemplo, pois ele pode utilizar as > > portas abertas no Firewall para se conectar em algum server (por > > exemplo a porta 25). > > > > Fechar o M$ n�o � legal pois voc� vai perder o Windows Update e outros > > downloads que podem ser interessantes para a esta��o. A n�o ser que > > voc� tenha o SUS ou SMS rodando na sua rede interna e a partir deste > > servidor voc� distribua as atualiza��es. > > > > Att, > > Marcus Lima > > Consultor de Seguran�a > > > > > Ent�o lista, ser� que estamos num jogo de impasse, ou tem alguma > > solu��o > > > mais > > > amig�vel?!!! > > > > > > Estou pensando em �ltima hip�tese fechar a faixa de IPs da > > Micro$oft, o que > > > vcs acham??? > > > > -------------------------------------------------------------------- ------ > - > > Esta lista � patrocinada pela Conectiva S.A. Visite > http://www.conectiva.com.br > > > > Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br > > Regras de utiliza��o da lista: http://linux-br.conectiva.com.br > > FAQ: http://www.zago.eti.br/menu.html > > > > > > > > -- --------------------------------------------------------------------------- Esta lista � patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br Regras de utiliza��o da lista: http://linux-br.conectiva.com.br FAQ: http://www.zago.eti.br/menu.html
