[Fedora-users-br] Duvida com IPTABLES

[Robert Pereira]

Alexandre:

Apesar de já terem sido postadas várias respostas aqui acerca de uma
solução viável para seu problema quero dar minha contribuição com alguns
complementos:

- O MSN/Live Messenger tenta de três formas realizar a conexão com o
serviço:

1 - Conexão direta através da porta 1863.
2 - Através da porta 80 se a conexão direta falhar.
3 - Através do proxy que estiver configurado nas opções da internet do
Windows caso as duas conexões anteriores falharem. Adicionalmente você
pode forçar o MSN/Live a utilizar um servidor proxy.

- Para efetivamente bloquear o uso do MSN em uma solução mista de squid
com iptables (sem qualquer módulo adicional) é necessário.

1 - Bloquear o FORWARD de sua rede local para a porta 1863.
2 - Bloquear o FORWARD de sua rede local para a porta 80.
3 - Obrigatoriamente utilizar o squid para permitir o acesso às páginas
http e https e criar algumas acls que façam o bloqueio do MSN, já que o
iptables bloqueia a porta 80.

E que tipo de ACLs seriam estas?? Vamos a elas:

1 - Expressão regular que combina com o tipo de conteúdo contido no
cabeçalho de requisição. Ex:

acl MSN_req_mime_type req_mime_type application/x-msn-messenger

2 - Expressão regular que combina com o tipo de conteúdo da resposta
recebida pelo squid. Ex:

acl MSN_rep_mime_type rep_mime_type application/x-msn-messenger

3 - Busca na URL uma expressão regular que especificada. É
case-sensitive.No exemplo, faz bloqueio à famigerada gateway.dll:

acl MSN_gateway_dll url_regex -i gateway.dll

4 - Adicionalmente ainda é possível utilizar ACLs para realizar bloqueio
à tentativa de conexões à domínios correlatos ao MSN.

acl MSN_login_domain dstdomain loginnet.passport.com
acl MSN_webmessenger dstdomain webmessenger.msn.com

Lembrando que não basta apenas declarar as ACLs, também é preciso fazer
com que elas tenham efeito usando as diretivas http_access, como no
exemplo abaixo:

http_access deny MSN_req_mime_type
http_access deny MSN_login_domain
http_access deny MSN_gateway_dll
http_access deny MSN_webmessenger

Após as todas diretivas http_acess ainda é preciso acrescentar na seção
adequada do squid.conf:

http_reply_access allow all !MSN_rep_mime_type

Estes exemplos devem ser adaptados à realidade do seu servidor e
obviamente você vai distribuir as ACLs de exemplo e seus respectivos
bloqueio junto com as demais ACLs de acordo com a política de acesso de
sua organização.

Obs: Estes exemplos de configuração também funcionam quando se está
utilizando proxy transparente e foram extraídos de instalações em
ambientes de produção do mundo real com centenas de usuários.

Sugiro a leitura destes dois links que irão ajudar muito com sua
configuração:

http://www.linuxman.pro.br/squid
http://www.guiafoca.org/guia/avancado/ch-fw-iptables.htm

Robert Pereira
Salvador - BA

Em Dom, 2007-05-06 às 19:33 +0000, Alexandre Singulani escreveu:
> Galera, to implementando um firewall aqui e gostaria de saber como
> faço pra bloquear o msn na rede toda, pois todas as regras que achei
> na net ate agora, nao estao mais funcionando.
> 
>  
> 
> []s
> 
> 
> 
> 
> 
> ______________________________________________________________________
> O Windows Live Spaces é seu espaço na internet com fotos (500 por
> mês), blog e agora com rede social. Particpe também! 
> 
> --
> Fedora-users-br mailing list
> Fedora-users-br em redhat.com
> https://www.redhat.com/mailman/listinfo/fedora-users-br
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL: http://lists.fedoraproject.org/pipermail/br-users/attachments/20070509/eaa7ee15/attachment.html