Re: Bloquear acceso internet a programas
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 José Luis escribió: Hola, Mediante iptables podemos bloquear el acceso a internet en función del puerto, dirección IP origen y destino, etc. Pero como se puede bloquear el acceso a internet a algunos programas sí y a otros nó independientemente del puerto o dirección a la que se conectén? La duda me surgió comentandolo con un compañero a raiz de otro mensaje de esta lista donde preguntaban como bloquear acceso a msn. Me sugirió la idea de bloquear el acceso a internet a todos los programas menos a los autorizados que no sean de chat. Y encima va y me dice que en windows eso es bastante fácil. Y la verdad es que no creo que eso se pueda hacer en win2 y en linux no. Verdad? Gracias y saludos, A ver, si quieres bloquear el acceso a internet a X's programas pues simplemente, no uses esos programas, de hecho es tan fácil como hacer un chmod. También está http://l7-filter.sourceforge.net/ pero usa mucho procesador, así que nada sería mejor que hacer de que todos se conecten por un proxy donde use l7-filter. l7-filter no bloquea programas, sino que chequea los paquetes buscando strings que sean las que se buscan y bloquea esos paquetes. Si realmente quieres bloquear un programa pues hazle chmod, no? Digo, en Windows lo tienen porque no puedes llegar y colocarle un grupo a X aplicación donde sólo algunos usuarios sean miembros y tengan capacidad de usarlo, es decir, en linux todo se resumiría a unos chgrp y chmod's... Y no me vengan con que eso es muy difícil, en windows es más fácil porque si quieres hacer esto es porque eres administrador y administrador que no maneje chgrp, chown y chmod no es administrador... Saludos!! Jose Luis, - -- ghostbar @ linux/debian 'sid' x86 - #382503 WeBlog: http://ghostbar.ath.cx/ - http://talug.org.ve http://debian.org.ve - irc.debian.org #debian-ve San Cristóbal, Venezuela. Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118 -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFGBy6FOKCtW8rKsRgRAkWxAKDOpq4tgu4xZ+8mBPbyODs4T0rBXgCg2IP3 nzlOWh7mOBl5765DWNDT1fk= =WU1G -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
Blu wrote: ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán cortafuegos telépatas? Pues nop! No creo que Guille haya conseguido copiar eso. Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde provienen los paquetes si no es teniendo conocimiento previo del protocolo y analizando el contenido. A no ser que programa y cortafuegos corran en la misma máquina por supuesto. Hombre! Pues claro! Eso era evidente. Me refería al cortafuegos que montas en tu propia máquina. En el caso de win el Norton Int. Security o Zone Alarm y otros. Si lo has visto alguna vez te darás cuenta que detectan que programas están accediendo a internet y los cortan. Trabajan a nivel de programa, no solo de paquetes. Y al parecer Linux también puede por lo que han comentado en otro mensaje del hilo. Aunque sea con un parche. Lo que no se es porque no incluyen ya ese parche de forma estandard en las distribuciones. Sería interesante. Aunque la orientación de uso de Linux hace que no sea especialmente necesario. Gracias a todos por vuestros comentarios y saludos, -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
- Original Message - From: Blu [EMAIL PROTECTED] To: debian-user-spanish@lists.debian.org Sent: Friday, March 23, 2007 12:08 AM Subject: Re: Bloquear acceso internet a programas ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán cortafuegos telépatas? Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde provienen los paquetes si no es teniendo conocimiento previo del protocolo y analizando el contenido. A no ser que programa y cortafuegos corran en la misma máquina por supuesto. Muy correcto. Para bloquear el tráfico de una aplicación, evidentemente tienes que CONOCER la aplicación. Si, como comentas, el firewall está en la misma máquina, que tiene acceso a la actividad del programa, entonces está claro. Y si en windows se hacen directivas de seguridad y cosas de esas en el servidor también (lo cual se elude con un simple editor hexadecimal)... por eso es tan fácil en Windows. Yo estuve calentandome la cabeza para capar el emule en los clientes windows de la universidad en el firewall linux. Hay programas que lo hacen, pero finalmente opté por crear un sencillo sniffer en C que detecta el tráfico del emule, bittorrent, edonkey, limewire, etc, independientemente del puerto que estén utilizando o si van por tcp o udp. Pero esto es posible porque estos programas marcan los paquetes con una firma específica. En conclusión, desde un firewall que no tiene privilegios sobre otro equipo, ya sea un windows, un linux, un mac o una calculadora casio, no puedes bloquear el tráfico de una aplicación específica si no conoces su forma de actuar. Es más que evidente. Y un pequeño consejo: yo únicamente DETECTO el emule, no lo bloqueo. Aquí cual- quiera puede utilizar el emule, pero sabe que será detectado y se le llamará la atención (porque ya se ha hecho con anterioridad). De modo que si no quieres que utilicen el emule sanciónalos o llámales la atención... si sabe que puede usarlo pero que será detectado no lo usará. Si no puede usarlo, buscará la forma de ha- cerlo y tendrás que investigar cómo lo ha hecho y cómo bloquearlo ;) Saludos. - Arnau Carrasco - http://www.arnaucarrasco.com - -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
- Original Message - From: Blu [EMAIL PROTECTED] To: debian-user-spanish@lists.debian.org Sent: Friday, March 23, 2007 12:08 AM Subject: Re: Bloquear acceso internet a programas ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán cortafuegos telépatas? Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde provienen los paquetes si no es teniendo conocimiento previo del protocolo y analizando el contenido. A no ser que programa y cortafuegos corran en la misma máquina por supuesto. Muy correcto. Para bloquear el tráfico de una aplicación, evidentemente tienes que CONOCER la aplicación. Si, como comentas, el firewall está en la misma máquina, que tiene acceso a la actividad del programa, entonces está claro. Y si en windows se hacen directivas de seguridad y cosas de esas en el servidor también (lo cual se elude con un simple editor hexadecimal)... por eso es tan fácil en Windows. Yo estuve calentandome la cabeza para capar el emule en los clientes windows de la universidad en el firewall linux. Hay programas que lo hacen, pero finalmente opté por crear un sencillo sniffer en C que detecta el tráfico del emule, bittorrent, edonkey, limewire, etc, independientemente del puerto que estén utilizando o si van por tcp o udp. Pero esto es posible porque estos programas marcan los paquetes con una firma específica. En conclusión, desde un firewall que no tiene privilegios sobre otro equipo, ya sea un windows, un linux, un mac o una calculadora casio, no puedes bloquear el tráfico de una aplicación específica si no conoces su forma de actuar. Es más que evidente. Y un pequeño consejo: yo únicamente DETECTO el emule, no lo bloqueo. Aquí cual- quiera puede utilizar el emule, pero sabe que será detectado y se le llamará la atención (porque ya se ha hecho con anterioridad). De modo que si no quieres que utilicen el emule sanciónalos o llámales la atención... si sabe que puede usarlo pero que será detectado no lo usará. Si no puede usarlo, buscará la forma de ha- cerlo y tendrás que investigar cómo lo ha hecho y cómo bloquearlo ;) Saludos. - Arnau Carrasco - http://www.arnaucarrasco.com - -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
El netfilter se encuentra en el kernel, por donde pasan todos los paquetes de red. Y es en el donde se utiliza la herramienta iptables para el control, bloqueo, etc... Muy diferente, en Windows, los firewall son _aplicaciones_, programas instalados que utilizan muchisimos recursos de memoria y procesador. He probado instalando aplicaciones firewall en sistemas Windows, en equipos modernos, y el rendimiento es pésimo, con algunos como los que vienen con los antivirus el equipo se vuelve inmanejable, se coloca en tres velocidades (lento, más lento, y detenido)... Sin embargo, en un equipo PIII, viejito, con Debian Sarge, Kernel 2.4, funcionando en el servicios de: Proxy Squid, uso de iptables para control y bloqueo de puertos, enrutamiento, 4 redes conectadas, mas de 100 estaciones de trabajo, y su desempeño es excelente. Así mismo, no es posible comparar el uso de firewall en Windows, con el firewall en Linux, son cosas totalmente diferentes. Saludos. -- # José Andrés Viana Valencia - Venezuela Debian GNU/Linux - Etch Linux Counter #396792 #
Re: Bloquear acceso internet a programas
El jue, 22-03-2007 a las 19:08 -0400, Blu escribió: On Thu, Mar 22, 2007 at 08:49:17PM +0100, José Luis wrote: [...] Gracias por tu respuesta. Interesante solución. Lo que ocurre es que está orientada exclusivamente al msn. Mi cuestión era un poco más amplia. ¿Como cerrar completamente internet para algunos programas y permitirlo sólo para otros pero independiente del protocolo? El caso es que cualquier firewall de win2 lo hace sin problemas y en cambio en [...] ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán cortafuegos telépatas? Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde provienen los paquetes si no es teniendo conocimiento previo del protocolo y analizando el contenido. A no ser que programa y cortafuegos corran en la misma máquina por supuesto. En windows hay muchas chapuzas, pero hay que conceder un minipunto a la aplicación que se usa en entornos profesionales, no no hablo del zone-alarm ni del cortafuegos que viene con un antivirus, hablo de MS isa server. Si alguien ha pobado un isa server = 2006, sabrá de que hablo. Permite hacer CUALQUIER cosa, pero a golpe de ratón y bien clarito, totalmente intuitivo. Conexiones balanceadas, subredes, horarios de reglas, monitorización, integración con distintas autenticaciones, y un largo etcetera. A base de ratón y asistente paso a paso, le dices: deja pasar el tráfico del puerto X de este objeto hacia el al puerto Y de este objeto. Pero solo deja pasar este tipo de APLICACIóN, y no dejes pasar ningún otro. O deja pasar streams .mp3 y .avi, pero no dejes pasar .wma Deja pasar aplicaciones java, pero no dejes pasar ejecutables de win32. etc... clic, clic, clic, clic, clic, aceptar. Que esto sea fiable o no fiable, que consuma mucho o poco, que sea caro o barato, ya es un tema de sobra demostrado y del que no hace falta ni decir. Pero el minipunto a la facilidad de uso para hacer cosas complejas, por mi parte lo tiene (aunque me pese). Saludos -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
On Fri, Mar 23, 2007 at 04:07:24PM +0100, Iñigo Tejedor Arrondo wrote: ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán cortafuegos telépatas? Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde provienen los paquetes si no es teniendo conocimiento previo del protocolo y analizando el contenido. A no ser que programa y cortafuegos corran en la misma máquina por supuesto. En windows hay muchas chapuzas, pero hay que conceder un minipunto a la aplicación que se usa en entornos profesionales, no no hablo del zone-alarm ni del cortafuegos que viene con un antivirus, hablo de MS isa server. Si alguien ha pobado un isa server = 2006, sabrá de que hablo. Permite hacer CUALQUIER cosa, pero a golpe de ratón y bien clarito, totalmente intuitivo. Conexiones balanceadas, subredes, horarios de reglas, monitorización, integración con distintas autenticaciones, y un largo etcetera. O sea, todo en uno. Muy a su estilo. Todo o nada. A base de ratón y asistente paso a paso, le dices: deja pasar el tráfico del puerto X de este objeto hacia el al puerto Y de este objeto. Pero solo deja pasar este tipo de APLICACIóN, y no dejes pasar ningún otro. O deja pasar streams .mp3 y .avi, pero no dejes pasar .wma Deja pasar aplicaciones java, pero no dejes pasar ejecutables de win32. etc... clic, clic, clic, clic, clic, aceptar. Todo eso se puede hacer también con netfilter y programas auxiliares. Claro que no a golpe de ratón si uno no quiere, lo que no me parece una desventaja. Mi cortafuegos ni siquiera tiene tarjeta de video. Que esto sea fiable o no fiable, que consuma mucho o poco, que sea caro o barato, ya es un tema de sobra demostrado y del que no hace falta ni decir. Pero el minipunto a la facilidad de uso para hacer cosas complejas, por mi parte lo tiene (aunque me pese). No sé. A mi me suele pasar que frecuentemente llego a necesitar configuraciones algo extrañas, y estas aplicaciones que tratan de adivinar todo lo que uno puede posiblemente necesitar, no las adivinan. Prefiero un modelo que no ponga tanto esfuerzo en adivinar lo que quiero, sino en darme la flexibilidad para poder hacer lo que quiero. Todo eso aparte del nido bichos en los que suelen convertirse esas aplicaciones elefantiásicas. -- Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Bloquear acceso internet a programas
Hola, Mediante iptables podemos bloquear el acceso a internet en función del puerto, dirección IP origen y destino, etc. Pero como se puede bloquear el acceso a internet a algunos programas sí y a otros nó independientemente del puerto o dirección a la que se conectén? La duda me surgió comentandolo con un compañero a raiz de otro mensaje de esta lista donde preguntaban como bloquear acceso a msn. Me sugirió la idea de bloquear el acceso a internet a todos los programas menos a los autorizados que no sean de chat. Y encima va y me dice que en windows eso es bastante fácil. Y la verdad es que no creo que eso se pueda hacer en win2 y en linux no. Verdad? Gracias y saludos, -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
Hola José Luis, Tuve un caso similar hace algunos meses atrás, podrías hacerte un script que resolviera las direcciones IP de los servidores del messenger y bloquear las mismos, el único inconveniente es que solo bloqueas los servidores del messenger dejando el restro de aplicaciones web (www.e-messenger.net, www.meebo.com, etc) libres. Decidí entonces hacerlo por otra vía: bloqueé el acceso del puerto del messenger (1863). Como esto no es suficiente (porque también puede salir por el 80) pasé todas las conexiones que fuesen al puerto 80 hacia un proxy con squid y con este bloqueé toda conexión que contuviese el string messenger en el URL, aparte de las otras páginas que prestan dicho servicio, de esta manera no podían ni si quiera buscar messenger en google. Espero que te sirva de algo esta idea. Saludos, Roberto D'Oliveira pueda hacer en win2 y en linux no. Verdad? Gracias y saludos, -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
Roberto D'Oliveira wrote: Hola José Luis, Tuve un caso similar hace algunos meses atrás, podrías hacerte un script que resolviera las direcciones IP de los servidores del messenger y bloquear las mismos, el único inconveniente es que solo bloqueas los servidores del messenger dejando el restro de aplicaciones web Que tal Roberto? Gracias por tu respuesta. Interesante solución. Lo que ocurre es que está orientada exclusivamente al msn. Mi cuestión era un poco más amplia. ¿Como cerrar completamente internet para algunos programas y permitirlo sólo para otros pero independiente del protocolo? El caso es que cualquier firewall de win2 lo hace sin problemas y en cambio en linux no conozco absolutamente nada que lo haga ni he encontrado nada en google. Al menos buscando por firewall para linux. Claro! Porque parece que todo está centrado en iptables y por lo que se iptables no es capaz de controlar esto. Hasta más bits, -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
On Thu, Mar 22, 2007 at 08:49:17PM +0100, José Luis wrote: [...] Gracias por tu respuesta. Interesante solución. Lo que ocurre es que está orientada exclusivamente al msn. Mi cuestión era un poco más amplia. ¿Como cerrar completamente internet para algunos programas y permitirlo sólo para otros pero independiente del protocolo? El caso es que cualquier firewall de win2 lo hace sin problemas y en cambio en [...] ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán cortafuegos telépatas? Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde provienen los paquetes si no es teniendo conocimiento previo del protocolo y analizando el contenido. A no ser que programa y cortafuegos corran en la misma máquina por supuesto. -- Blu. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: Bloquear acceso internet a programas
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hola José Luis José Luis wrote: Hola, Mediante iptables podemos bloquear el acceso a internet en función del puerto, dirección IP origen y destino, etc. Pero como se puede bloquear el acceso a internet a algunos programas sí y a otros nó independientemente del puerto o dirección a la que se conectén? Usando este parche: http://l7-filter.sourceforge.net/README Aparte hay una aplicación comercial (que yo conozca al menos) que lo hace usando el módulo owner de iptables, al más puro estilo windows. La duda me surgió comentandolo con un compañero a raiz de otro mensaje de esta lista donde preguntaban como bloquear acceso a msn. Me sugirió la idea de bloquear el acceso a internet a todos los programas menos a los autorizados que no sean de chat. Y encima va y me dice que en windows eso es bastante fácil. Y la verdad es que no creo que eso se pueda hacer en win2 y en linux no. Verdad? Este parche tiene tiempo ya, pero sí que es cierto que hay muchas muchas aplicaciones en windows que lo llevan haciendo desde hace años también, como ZoneAlarm, BlackIce, etc, etc. Saludos Gracias y saludos, - -- Clave Pública: gpg --keyserver pgp.rediris.es --recv-keys BCF6BE9C Frente al ensordecedor silencio de los media dominantes, los mil y un susurros de los media alternativos deben hacer oír el canto de la información libre. Registered GNU/Linux User ##31 :wq! -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) iD8DBQFGAxNqR/FJErz2vpwRAiLqAJ9UWDqmYUX3Xjcbo93MbvRWjyLMRgCeMgVO EfBcfd1Jm8CeDg++wBKTuwI= =mKKV -END PGP SIGNATURE- -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]