Denegar MSN con iptables a una IP
Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de red: una para la conexión a internet y otra para la red local. He estado buscando información de cómo denegar conexiones al protocolo MSN y el siguiente manual me vino muy bien: http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619 IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP while read msnmessenger ; do $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP done < /etc/reglas-firewall/ip-addresses-msnmessenger Me interesa que solo afecte a una IP o MACHe intentado modificarlo para que solo afecte a una IP de la red local pero no lo he conseguido, no me deja añadir --to-destination.
Re: Denegar MSN con iptables a una IP
El jue, 22-03-2007 a las 00:46 +0100, Ruben Marcos escribió: > Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de red: > una para la conexión a internet y otra para la red local. He estado > buscando información de cómo denegar conexiones al protocolo MSN y el > siguiente manual me vino muy bien: > > http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619 > > > IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP > while read msnmessenger ; do > $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP > done < /etc/reglas-firewall/ip-addresses-msnmessenger iptables -A PREROUTING –s 192.168.0.23 –p tcp --dport 1863 –j REJECT ?? donde pone 192.168.0.23, puedes poner un rango o definir una variable $IPS_SIN_MESENGER y usarla. > Me interesa que solo afecte a una IP o MACHe intentado modificarlo > para que solo afecte a una IP de la red local pero no lo he > conseguido, no me deja añadir --to-destination. -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Denegar MSN con iptables a una IP
> El jue, 22-03-2007 a las 00:46 +0100, Ruben Marcos escribió: >> Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de red: >> una para la conexión a internet y otra para la red local. He estado >> buscando información de cómo denegar conexiones al protocolo MSN y el >> siguiente manual me vino muy bien: >> >> http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619 >> >> >> IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP >> while read msnmessenger ; do >> $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP >> done < /etc/reglas-firewall/ip-addresses-msnmessenger > Con eso no te librarás del messenger. Si no accede por tcp te irá por udp. Para empezar necesitas: $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p tcp --dport 1863 -j DROP $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p udp --sport 1863 -j DROP Pero aun así el messenger hace sus pirulitas para seguir funcionando, como por ejemplo utilizar el webmessenger. Yo trabajo en una Universidad y estuve mirando para denegarlo definitivamente en período de examenes. La solución fue (además de estas reglas con iptables) agregar unas lineas al squid.conf. Instala un squid transparente en tu firewall e inserta estas lineas: En el squid.conf: acl msn1 req_mime_type -i "/etc/squid/mime.aplicaciones_prohibidas" acl msn2 url_regex gateway/gateway.dll? acl msn3 url_regex messenger http_access deny msn1 http_access deny msn2 http_access deny msn3 Crea un archivo en /etc/squid/mime.aplicaciones_prohibidas con 2 lineas: ^application/x-msn-messenger$ ^text/x-msmsgsprofile$ Con esto el webmessenger tampoco funcionará. Suerte. > > iptables -A PREROUTING -s 192.168.0.23 -p tcp --dport 1863 -j REJECT > > ?? > > donde pone 192.168.0.23, puedes poner un rango o definir una variable > $IPS_SIN_MESENGER y usarla. > >> Me interesa que solo afecte a una IP o MACHe intentado modificarlo >> para que solo afecte a una IP de la red local pero no lo he >> conseguido, no me deja añadir --to-destination. > > > > -- > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact > [EMAIL PROTECTED] > > - Arnau Carrasco - http://www.arnaucarrasco.com - -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Denegar MSN con iptables a una IP
El 22/03/07, Arnau Carrasco <[EMAIL PROTECTED]> escribió: > > > El jue, 22-03-2007 a las 00:46 +0100, Ruben Marcos escribió: > >> Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de red: > >> una para la conexión a internet y otra para la red local. He estado > >> buscando información de cómo denegar conexiones al protocolo MSN y el > >> siguiente manual me vino muy bien: > >> > >> http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619 > >> > >> > >> IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP > >> while read msnmessenger ; do > >> $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP > >> done < /etc/reglas-firewall/ip-addresses-msnmessenger > > Con eso no te librarás del messenger. Si no accede por tcp te irá por udp. Para empezar necesitas: $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p tcp --dport 1863 -j DROP $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p udp --sport 1863 -j DROP Gracias, las pruebas las estaba haciendo con Kopete y AMSN, al llegar al trabajo he visto que estaba conectado supongo que es porque me faltaba cerrar udp. Pero aun así el messenger hace sus pirulitas para seguir funcionando, como por ejemplo utilizar el webmessenger. Yo trabajo en una Universidad y estuve mirando para denegarlo definitivamente en período de examenes. La solución fue (además de estas reglas con iptables) agregar unas lineas al squid.conf. Instala un squid transparente en tu firewall e inserta estas lineas: En el squid.conf: acl msn1 req_mime_type -i "/etc/squid/mime.aplicaciones_prohibidas" acl msn2 url_regex gateway/gateway.dll? acl msn3 url_regex messenger http_access deny msn1 http_access deny msn2 http_access deny msn3 Crea un archivo en /etc/squid/mime.aplicaciones_prohibidas con 2 lineas: ^application/x-msn-messenger$ ^text/x-msmsgsprofile$ Con esto el webmessenger tampoco funcionará. Suerte. Gracias de nuevo, que use webmessenger ya me lo había planteado pero confío en que no lo haga. De momento no tenemos proxy pero me apunto la solución por si hubiera que llegar a estos extremos, el problema es que otros empleados si que necesitan msn para hablar con clientes. > > > > iptables -A PREROUTING -s 192.168.0.23 -p tcp --dport 1863 -j REJECT > > > > ?? > > > > donde pone 192.168.0.23, puedes poner un rango o definir una variable > > $IPS_SIN_MESENGER y usarla. > > > >> Me interesa que solo afecte a una IP o MACHe intentado modificarlo > >> para que solo afecte a una IP de la red local pero no lo he > >> conseguido, no me deja añadir --to-destination. > > > > > > > > -- > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > > with a subject of "unsubscribe". Trouble? Contact > > [EMAIL PROTECTED] > > > > - Arnau Carrasco - http://www.arnaucarrasco.com - -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Denegar MSN con iptables a una IP
El 22/03/07, Arnau Carrasco <[EMAIL PROTECTED]> escribió: > > > > > El jue, 22-03-2007 a las 00:46 +0100, Ruben Marcos escribió: > > >> Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de > > >> red: > > >> una para la conexión a internet y otra para la red local. He estado > > >> buscando información de cómo denegar conexiones al protocolo MSN y > > >> el > > >> siguiente manual me vino muy bien: > > >> > > >> > http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619 > > >> > > >> > > >> IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP > > >> while read msnmessenger ; do > > >> $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP > > >> done < /etc/reglas-firewall/ip-addresses-msnmessenger > > > > > Con eso no te librarás del messenger. Si no accede por tcp te irá por > udp. > Para empezar necesitas: > > $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p tcp --dport 1863 -j > DROP > $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p udp --sport 1863 -j > DROP > Gracias, las pruebas las estaba haciendo con Kopete y AMSN, al llegar al trabajo he visto que estaba conectado supongo que es porque me faltaba cerrar udp. > Pero aun así el messenger hace sus pirulitas para seguir > funcionando, > como por ejemplo utilizar el webmessenger. Yo trabajo en una Universidad > y > estuve mirando para denegarlo definitivamente en período de examenes. La > solución fue (además de estas reglas con iptables) agregar unas lineas > al > squid.conf. Instala un squid transparente en tu firewall e inserta estas > lineas: > > En el squid.conf: > acl msn1 req_mime_type -i "/etc/squid/mime.aplicaciones_prohibidas" > acl msn2 url_regex gateway/gateway.dll? > acl msn3 url_regex messenger > > http_access deny msn1 > http_access deny msn2 > http_access deny msn3 > > Crea un archivo en /etc/squid/mime.aplicaciones_prohibidas con 2 > lineas: > ^application/x-msn-messenger$ > ^text/x-msmsgsprofile$ > > Con esto el webmessenger tampoco funcionará. > Suerte. Gracias de nuevo, que use webmessenger ya me lo había planteado pero confío en que no lo haga. De momento no tenemos proxy pero me apunto la solución por si hubiera que llegar a estos extremos, el problema es que otros empleados si que necesitan msn para hablar con clientes. No hay ningún problema. A las reglas del iptables les indicas el source con la opción -s, con lo que únicamente se aplicarán a las IPs que le indiques. Eso sin usar el squid, pero si lo usaras, tampoco tendrías problemas, dado que también podrías restringir las ACLs del messenger a dichas IPs. > > > > > > > iptables -A PREROUTING -s 192.168.0.23 -p tcp --dport 1863 -j REJECT > > > > > > ?? > > > > > > donde pone 192.168.0.23, puedes poner un rango o definir una > > > variable > > > $IPS_SIN_MESENGER y usarla. > > > > > >> Me interesa que solo afecte a una IP o MACHe intentado modificarlo > > >> para que solo afecte a una IP de la red local pero no lo he > > >> conseguido, no me deja añadir --to-destination. > > > > > > > > > - Arnau Carrasco - http://www.arnaucarrasco.com - -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
