El 22/03/07, Arnau Carrasco <[EMAIL PROTECTED]> escribió:
>
> > El jue, 22-03-2007 a las 00:46 +0100, Ruben Marcos escribió:
> >> Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de red:
> >> una para la conexión a internet y otra para la red local. He estado
> >> buscando información de cómo denegar conexiones al protocolo MSN y el
> >> siguiente manual me vino muy bien:
> >>
> >>
http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619
> >>
> >>
> >> IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
> >> while read msnmessenger ; do
> >> $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP
> >> done < /etc/reglas-firewall/ip-addresses-msnmessenger
> >
Con eso no te librarás del messenger. Si no accede por tcp te irá por udp.
Para empezar necesitas:
$IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p tcp --dport 1863 -j DROP
$IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p udp --sport 1863 -j DROP
Gracias, las pruebas las estaba haciendo con Kopete y AMSN, al llegar
al trabajo he visto que estaba conectado supongo que es porque me
faltaba cerrar udp.
Peeeeero aun así el messenger hace sus pirulitas para seguir funcionando,
como por ejemplo utilizar el webmessenger. Yo trabajo en una Universidad y
estuve mirando para denegarlo definitivamente en período de examenes. La
solución fue (además de estas reglas con iptables) agregar unas lineas al
squid.conf. Instala un squid transparente en tu firewall e inserta estas
lineas:
En el squid.conf:
acl msn1 req_mime_type -i "/etc/squid/mime.aplicaciones_prohibidas"
acl msn2 url_regex gateway/gateway.dll?
acl msn3 url_regex messenger
http_access deny msn1
http_access deny msn2
http_access deny msn3
Crea un archivo en /etc/squid/mime.aplicaciones_prohibidas con 2 lineas:
^application/x-msn-messenger$
^text/x-msmsgsprofile$
Con esto el webmessenger tampoco funcionará.
Suerte.
Gracias de nuevo, que use webmessenger ya me lo había planteado pero
confío en que no lo haga. De momento no tenemos proxy pero me apunto
la solución por si hubiera que llegar a estos extremos, el problema es
que otros empleados si que necesitan msn para hablar con clientes.
> >
> > iptables -A PREROUTING -s 192.168.0.23 -p tcp --dport 1863 -j REJECT
> >
> > ??
> >
> > donde pone 192.168.0.23, puedes poner un rango o definir una variable
> > $IPS_SIN_MESENGER y usarla.
> >
> >> Me interesa que solo afecte a una IP o MACHe intentado modificarlo
> >> para que solo afecte a una IP de la red local pero no lo he
> >> conseguido, no me deja añadir --to-destination.
> >
> >
> >
> > --
> > To UNSUBSCRIBE, email to [EMAIL PROTECTED]
> > with a subject of "unsubscribe". Trouble? Contact
> > [EMAIL PROTECTED]
> >
> >
---------------------------------------------
Arnau Carrasco - http://www.arnaucarrasco.com
---------------------------------------------
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact
[EMAIL PROTECTED]
