-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Ooo, nao sou amante do iptables, mas uso dois projetos, o L7 e o ipp2p,
e consigo bloquear em 100% acessos a redes p2p, o foda agora sao os
peer2mail, neguinho pega usuarios e senha de emails giga como o gmail,
logam e baixam os anexos, a solucao foi um squid com delay pools, a rede
toda divide 2k pra todos esses emails giga
Se precisar de uma mao nos dois projetos do ipt prende o grito ;)
- --
Marcelo Veriato Lima
Administração de Redes/Servidores
Fone: (11) 31770700 r343 / UIN: 235332632
- -
Catho Online: o melhor site de empregos do Brasil - 130.000 vagas
http://www.catho.com.br
Christopher Giese - IRAPIDA wrote:
Qq os POSIX pode fazer isto
Porem o que acontece eh o seguinte :
Os Firewalls Analizam camada 3... e Strings encontram-se em camadas
SUPERIORES..
Existe 2 formas de se fazer isto:
1 - O seu proprio firewall analizar camadas superiores
Problema I: Desconheco algum firewall que faca isto por default
... O IPTABLES tem um modulo que o faca.. porem como sempre o
iptables de 50 modulos para
as coisas... nem sempre isto eh confiavel. visto que se o fosse a
propria netfilter o teria feito
Problema II: Isto ira causar um processamento MAIOR no seu HARDWARE e
dependendo da situacao
pode startar um DELAY em sua comunicacao...
2 - Vc pode criar uma parceria.. Firewall ( PF.. IPF... IPFW.
etc ) + IDS (Snortetc.)
Ou seja... maquina 1 Rodando Firewall ... MAquina 2 rodando
Snort..tudo passa pelo snort e o snort tem comunicacao com o
firewall para criar regras dinamicas (pode ser feito em perl por
exemplo... tem varios exemplos na net)
Problema: O ideal eh que isto seja feito por um switch gerenciavel
(atraves de Vlan..broadcast...) para que se numa eventualidade tenha um
exesso de fluxo na rede e o hardware do snort nao aguente. o mesmo
nao interfira no fluxo da rede.
Observem que NENHUMA destas situacoes eh 100% funcional / file visto
que ambas tem suas desvantagens (a 1 tem a desvantagem de uma
intervensao humana caso o fluxo fique muito alto. a 2 tem a
desvantagem do investimento em um switch gerenciavel)
Mas que funciona... claro funciona :)
Christopher Giese
System Network Security Administrator - iRapida Telecom
[EMAIL PROTECTED] - www.bsdux.com.br - (044) 3619-
O homem só envelhece quando nele os lamentos substituem os sonhos
(Jonh Berry)
Fabricio Lima wrote:
no FreeBSD NAO FAZ.
se descobrir nos avisa.
Fabricio
- Original Message - From: Mauricio Hiroaki Shibata To:
Lista de discussao do grupo FUG-BR Sent: Thursday, June 02, 2005 6:53 PM
Subject: [FUG-BR] Firewall - Bloquear strings
Pessoal,
No IPFilter ou no IPFW eu consigo de alguma maeira bloquear
strings no pacote como Kazaa-user, MSN. Sei que no IPTables posso
utilizar regras fazendo esse bloqueio, queira saber se tem alguma
forma de fazer no FreeBSD que não seja preciso de proxy para barra
apenas isso.
Obrigado,
Maurício
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.1 (FreeBSD)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org
iD8DBQFCoEgtpmIoMdMY1iYRAoDgAKCFIgo3bFqpp1YxQOn4UHJsgcm9LQCfX3N9
9jP/DzOkLul0HICY9suLOv8=
=v/J/
-END PGP SIGNATURE-
___
Freebsd mailing list
Freebsd@fug.com.br
http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br