http://www.zago.eti.br/firewall/msn-bloquear.txt Neste FAQ mensagens relacionadas ao bloqueio do MSN. FAQ sobre MSN em: http://www.zago.eti.br/msn.txt Use CTRL+F para refinar a pesquisa. Linha de: **************** separa mensagens ou tópicos. ******************************************************** Zago http://www.zago.eti.br/menu.html FAQ e artigos sobre Linux ******************************************************** ******************************************************** De: Fabrício Lamonica Para: Linux-br Assunto: (linux-br)Utilidade =?iso-8859-1?q?p=FAblica_-_bloquear?=MSN Data: Wed, 11 May 2005 15:34:43 -0300 Pessoal, estou disponibilizando as regras no iptables para bloquear MSN. Tive necessidade de bloquear e acabei analisando com iptraf o tráfego do Messenger para criá-las. Testei aqui e funcionou beleza. Vou tentar disponibilizar hoje também as regras para bloquear o Kazaa. iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 1863 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 64.215.169.48/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.68.179.219/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.142.189/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.211.61/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 200.216.69.232/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.140.158/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 206.63.10.99/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.194.118/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 194.129.79.6/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.106.98/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.104.20/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.157.111/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.110.12/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.195.188/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.108.86/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.63.10.98/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.110.43/24 -j DROP iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.68.178.61/24 -j DROP -- [ ]'s Fabrício Lamonica Analista de T.I. Linux User # 169949 Net & Net Tecnologia em Informática Ltda. http://www.netenet.com.br ******************************************************** De: Cesar Grossmann Responder A: Cesar Grossmann Para: Fabrício Lamonica Cc: Linux-br Assunto: Re: (linux-br)Utilidade pública - bloquearMSN Data: Wed, 11 May 2005 16:59:20 -0300 Em 11/05/05, Fabrício Lamonica escreveu: > Pessoal, > estou disponibilizando as regras no iptables para bloquear MSN. Tive necessidade de bloquear e acabei analisando com iptraf o tráfego do Messenger para criá-las. > Testei aqui e funcionou beleza. > Vou tentar disponibilizar hoje também as regras para bloquear o Kazaa. > > iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 1863 -j DROP > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 64.215.169.48/24 -j DROP > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.68.179.219/24 -j DROP Posso dar uma sugestão? Coloque todos os endereços em um único arquivo texto, digamos '/etc/firewall/bloqueios_msn.txt', e coloque um trechinho assim no teu arquivo de regras: for destino in `cat /etc/firewall/bloqueios_msn.txt` do iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ${destino}/24 -j DROP done Acrescentar novos endereços IP fica mais simples e fácil, é só acrescentar a linha no seu arquivo. O seu arquivo de configuração do iptables também fica menor e mais fácil de lidar. []s -- .O. Cesar A. K. Grossmann ICQ: 35659423 ..O http://www.LinuxByGrossmann.cjb.net/ OOO Quidquid Latine dictum sit, altum viditur ******************************************************** De: Alejandro Flores Responder A: Alejandro Flores Para: Fabrício Lamonica Cc: Linux-br Assunto: Re: (linux-br)Utilidade pública - bloquearMSN Data: Wed, 11 May 2005 17:11:46 -0300 Olá Fabricio, > Pessoal, > estou disponibilizando as regras no iptables para bloquear MSN. Tive necessidade de bloquear e acabei analisando com iptraf o tráfego do Messenger para criá-las. O tcpdump é melhor e nessa tarefa. :-) > iptables -t nat -A POSTROUTING -p tcp -s 192.168.0.0/24 -d 0.0.0.0/0 --dport 1863 -j DROP Utilize as regras da tabela filter quando for fazer a filtragem de pacotes. iptables -A FORWARD -i INTERFACE_INTERNA -o INTERFACE_EXTERNA -p tcp --dport 1863 -j REJECT ... > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.104.20/24 -j DROP > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.157.111/24 -j DROP > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.110.12/24 -j DROP > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 65.54.195.188/24 -j DROP > iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d 207.46.108.86/24 -j DROP ... Né melhor bloquear logo o acesso aos blocos da microsoft?? :-) iptables -A FORWARD -i INTERFACE_INTERNA -o INTERFACE_EXTERNA -d 65.52.0.0/14 -j REJECT iptables -A FORWARD -i INTERFACE_INTERNA -o INTERFACE_EXTERNA -d 207.46.0.0/16 -j REJECT Agora cuidado. Você pode estar tirando o acesso ao windowsupdate, aos sites de help da microsoft, etc... -- Abraço! Alejandro Flores http://www.triforsec.com.br/ ******************************************************** De: Wellington Terumi Uemura Responder A: Wellington Terumi Uemura Para: Alejandro Flores Cc: Linux-br Assunto: Re: (linux-br)Utilidade pública - bloquearMSN Data: Wed, 11 May 2005 18:25:51 -0300 Na verdade, ideal seria, se os técnicos que desenvolvem um firewall para a empresa, que eles comecem a bloquear tudo desde o inicio e apenas liberar o que interessa.... iptables -A INPUT -j DROP iptables -A OUTPUT -j DROP iptables -A FORWARD -j DROP iptables -A INPUT -p tcp --sport 80 -d 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --sport 53 -d 192.168.1.0/24 -j ACCEPT iptables -A INPUT -p tcp --sport 443 -d 192.168.1.0/24 -j ACCEPT .... Dessa forma o firewall vai bloquear tudo o que não interessa, deixando passar apenas aquilo que é de interesse da empresa que trafegue de fora para dentro e vice versa. Fazendo assim, também há uma economia de regras, que não seriam necessárias, como por exemplo centenas de linhas dizendo que não pode isso ou aquilo. > Agora cuidado. Você pode estar tirando o acesso ao windowsupdate, aos > sites de help da microsoft, etc... ******************************************************** De: Wellington Terumi Uemura Responder A: Wellington Terumi Uemura Para: Fabrício Lamonica Cc: Linux-br Assunto: Re: (linux-br)Utilidade pública - bloquearMSN Data: Wed, 11 May 2005 17:42:21 -0300 Eu prefiro assim. #!/bin/sh LAN=192.168.0.0/24 iptables -t nat -A POSTROUTING -p tcp -s $LAN -d 0.0.0.0/0 --dport 1863 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 64.215.169.48/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.68.179.219/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 65.54.142.189/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 65.54.211.61/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 200.216.69.232/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 65.54.140.158/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 206.63.10.99/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 65.54.194.118/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 194.129.79.6/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.46.106.98/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.46.104.20/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 65.54.157.111/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.46.110.12/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 65.54.195.188/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.46.108.86/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.63.10.98/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.46.110.43/24 -j DROP iptables -t nat -A POSTROUTING -s $LAN -d 207.68.178.61/24 -j DROP Apesar que... #!/bin/sh LAN=192.168.0.0/24 iptables -t nat -A OUTPUT -p tcp -s $LAN -d 0.0.0.0/0 --dport 1863 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 64.215.169.48/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.68.179.219/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 65.54.142.189/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 65.54.211.61/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 200.216.69.232/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 65.54.140.158/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 206.63.10.99/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 65.54.194.118/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 194.129.79.6/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.46.106.98/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.46.104.20/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 65.54.157.111/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.46.110.12/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 65.54.195.188/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.46.108.86/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.63.10.98/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.46.110.43/24 -j DROP iptables -t nat -A OUTPUT -s $LAN -d 207.68.178.61/24 -j DROP Também funciona. Em 11/05/05, Fabrício Lamonica escreveu: > Pessoal, > estou disponibilizando as regras no iptables para bloquear MSN. ******************************************************** De: Valcir Borges Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br)Utilidade pública - bloquearM SN Data: Thu, 12 May 2005 20:51:07 -0300 Olá Wellington, blz?! Só quero colocar meu ponto de vista em relação às duas versões desse e-mail (dos que concordam e dos que discordam), também por experiências entre os dois casos. Acontece que quando se habilita um firewall, por default, para bloquear tudo e liberar apenas o necessário, sempre surgem necessidades de aberturas de novas portas e isso o usuário não faz, então eu prefiro avaliar a necessidade da empresa: há casos que se bloqueia tudo, há casos que se libera tudo (quase tudo) e ai entra a lista de regras enviada pelo nosso amigo à lista. Abraço à todos. Valcir. >Desculpe mas discordo do seu ponto de vista, aproveitando estou >enviando para a lista pois essa conversa pode ser bem produtiva para o >grupo. ******************************************************** De: Wellington Terumi Uemura Responder A: Wellington Terumi Uemura Para: Linux-BR Alvema Cc: Linux-br Assunto: Re: (linux-br)Utilidade pública - bloquearM SN Data: Thu, 12 May 2005 15:50:55 -0300 Desculpe mas discordo do seu ponto de vista, aproveitando estou enviando para a lista pois essa conversa pode ser bem produtiva para o grupo. No meu ponto de vista um firewall você não levanta, você desenvolve de acordo com as necessidades de uma empresa e para tanto isso exige testes e análizes, por exemplo, vamos seguir a sua linha de pensamento..... Você cria um firewall com centenas de linhas que proibe o acesso a determinados sites ou portas, inicialmente pode parecer que pela quantidade de regras a sua rede estaria segura, suponhamos que na sua regra tenha que faça bloqueio a um determinado site, só que até você descobrir que determinado site existe e foi acessado, a sua segurança já foi comprometida. Infelizmente novas ameaças aparecem todos os dias, não tem como você adivinhar qual porta/endereço essa ameaça vai usar para se comunicar com a internet em um sistema de firewall que é aberto e apenas bloqueia o que você ou a empresa não quer. Agora, com um firewall que bloqueia tudo e libera apenas o que interessa, você tem muito menos probabilidade de risco, pois se no firewall está liberado apenas tráfego, por exemplo, nas portas 53 (DNS), 80 (WEB) e 443 (SSL) o firewall se encarrega de bloquear o resto, não há necessidade de se adicionar outras centenas de regras para bloquear outras coisas, pois pois o firewall já vai fazer o bloqueio, neste caso pode dizer adeus para Kazaa, edonkey, msn etc. Em um firewall aberto que se limita a bloqueio através de regras por exemplo, alguém na sua rede pode pegar um worm ou um malware qualquer e usar uma porta aleatória para fazer uma comunicação, transmitir dados importantes que não deveriam ser transmitidos. Digo isso por experiência, pois não foi apenas uma vez que aconteceu de fazer uma consultoria em alguma empresa e encontrar um firewall configurado de uma forma mais "cômoda", não sei se para o contratado ou para a empresa. Em 12/05/05, Linux-BR Alvema escreveu: > E como ficam os sites de bancos ?? Bloquear tudo e depois só ir > liberando o que interessa pode ficar bem mais oneroso do que ir > bloqueando o que se deseja. > > Na realidade, vocÊ terá muitooooo mais trablaho do que simplesmente ir > bloqueando o que deseja. ******************************************************** De: Flavio Torres Para: linux-br@bazar2.conectiva.com.br Assunto: Re: (linux-br) Bloquear msn por estaçao Data: Wed, 12 Apr 2006 19:08:45 -0300 (ART) --- "Deuzenildo F. Nascimento" escreveu: > Ola lista. > > Estou tentando bloquear o msn por estação IP, e > estou procurando > algumas coisas na net, google, e nso achei muita > informação, achei > informacao de como bloquea-lo por completo na rede, > mas há pessoas na > minha rede que precisam usar esse meio, Você concorda comigo que a negação de bloqueio é a liberação? O iptables e squid trabalham interpretando o arquivo na ordem natural de leitura, de cima para baixo. Primeiro você libera, depois bloqueia. Um exemplo ficticio: - No caso do iptables: iptables -t nat -A FORWARD -s LIBERE_O_IP_X -d IP_AUTENTICACAO_MSN -p tcp -j ACCEPT iptables -t nat -A FORWARD -s NEGAR_O_RESTANTE -d IP_AUTENTICACAO_MSN -p tcp -j DROP - Squid: acl IPLIBERAR src 192.168.1.5 http_access allow IPLIBERAR acl msn dstdomain loginnet.passport.com http_access deny msn acl msnmessenger url_regex -i gateway.dll acl MSN req_mime_type -i ^application/x-msn-messenger$ http_access deny msnmessenger http_access deny MSN ==================================== Flavio Torres Administrador de Sistemas INCD + CCNA + MCP Linux User: 285410 (11) 8285-8782 "Tecnologia é minha vida Solução é meu prazer!" ******************************************************** ********************************************************