Tekrar selamlar, son olarak gateway Linux sunucunuz üzerinde tcpdump ile facebook https paketlerinin nasıl geçtiğine baktınız mı?
~# tcpdump -i eth0 port 443 | grep facebook 14:56:43.602094 IP channelproxy-shv-06-ash2.facebook.com.https > ozgur.fb.local.51131: Flags [P.], seq 3248937036:3248937074, ack 3728180706, win 85, length 38 14:56:43.795971 IP ozgur.fb.local.50281 > channel-ecmp-06-frc1.facebook.com.https: Flags [P.], seq 482994252:482995270, ack 3836405732, win 16102, length 1018 14:56:43.810705 IP ozgur2.fb.admin.51131 > channelproxy-shv-06-ash2.facebook.com.https: Flags [.], ack 38, win 4051, length 0 14:56:43.880137 IP ozgur2.fb.admin.40147 > edge-z-m-shv-03-frc1.facebook.com.https: Flags [S], seq 2444388741, win 14600, options [mss 1460,sackOK,TS val 4494983 ecr 0,nop,wscale 6], length 0 Gecen paketler https olsa da sonuc yukaridaki gibi. Ozgur 4 Ağustos 2013 14:52 tarihinde Ozgur <[email protected]> yazdı: > Selamlar, > > ayrıca Snort ile (IDS mod değil IPS inline modda) aşağıdaki şekilde rule > eklediğinizde yine facebook youtube trafiğini engellemiyor mu? Nereden > biliyor facebook ve youtube trafiğini? > > drop tcp any any -> any any (content:"www.youtube.com"; msg:"youtube block"; > sid:9991111; rev:1;) > > drop tcp any any -> any any (content:"www.facebook.com"; msg:"facebook block > "; sid:9991112; rev:1;) > > > Not: Snort DAQ ve NFQ modda koşacak, iptables ile FORWARD kuyruğu Snort'a > yönlenecek. > > > $ snort -D -d --daq nfq -Q -c /etc/snort/snort.conf > $ iptables -A FORWARD -j NFQUEUE > > > Ozgur > > > > > > > 4 Ağustos 2013 14:48 tarihinde Ozgur <[email protected]> yazdı: > > Selam, >> >> snort'u bir kenara bırakacak olursak iptables ile aşağıdaki kural >> facebook'u https üzerinden engellemiyor mu? >> >> iptables -N Facebook >> iptables -A Facebook -d www.facebook.com -p tcp -m tcp --dport 443 -j >> DROP >> iptables -A Facebook -d facebook.com -p tcp -m tcp --dport 443 -j DROP >> iptables -A Facebook -j RETURN >> iptables -I FORWARD -j Facebook >> iptables -I OUTPUT -j Facebook >> >> Pekip iptables 443 portu yani https üzerinden geçen www.facebook.compaketini >> nasıl DROP'luyor? >> >> Ozgur >> >> >> >> 4 Ağustos 2013 14:44 tarihinde Mucibirahman İLBUGA < >> [email protected]> yazdı: >> >> 04-08-2013 12:39 tarihinde, Ozgur yazdı: >>> > iste bu asamada snort cozum olmuyor mu? Ne gibi bir sorun yasaniyor? >>> > Ben daha once kurdugum bir network'te gateway ile router arasina snort >>> > kurup rule'a facebook, youtube, twitter engeli koydugumda https'de >>> > olsa engelliyordu. Normalde de engellemesi lazim mantiken, degil mi? >>> > >>> Merhabalar, >>> Snort ile ilgili pek bilgim/deneyimim yok... :( >>> >>> Ama şimdiye kadar mesajlardan anladığım kadarı ile https üzerinden >>> gidildiğinde şifreli gittiğinden içerik nasıl sorgulanacak ki?... >>> >>> -- >>> Kolay gelsin, >>> Mucip:) >>> >>> _______________________________________________ >>> Linux-sunucu E-Posta Listesi >>> [email protected] >>> >>> Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından >>> okuyabilirsiniz; >>> >>> Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden >>> gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini >>> kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. >>> https://liste.linux.org.tr/mailman/listinfo/linux-sunucu >>> >> >> >> >> -- >> Ozgur >> > > > > -- > Ozgur > -- Ozgur
_______________________________________________ Linux-sunucu E-Posta Listesi [email protected] Liste kurallarını http://liste.linux.org.tr/kurallar.php bağlantısından okuyabilirsiniz; Bu Listede neden bulunduğunuzu bilmiyorsanız veya artık bu listeden gelen e-postaları almak istemiyorsanız aşağıdaki bağlantı adresini kullanarak 1 dakika içinde üyeliğinizi sonlandırabilirsiniz. https://liste.linux.org.tr/mailman/listinfo/linux-sunucu
