*This message was transferred with a trial version of CommuniGate(tm) Pro* -----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El Jueves, 22 de Abril de 2004 19:48, Ruben MonarcaMontaño escribió:
Alguien podria ayudarme a traducir las siguientes lineas de iptables a Suse firewall 2, son para bloquear algunos servicios no deseables
* No es recomendable el uso de iptables para bloquear este tipo de cosas entre otras cosas por que pueden usar proxys remotos que escuchen en el puerto 80 que es el standard para http con lo cual no harias nada, no obstante el flag - --string de iptables podria ayudarte, esto deberias configurarlo en un fichero aparte y llamarlo desde SuSEfirewall2, por ejemplo el que viene de ejemplo, mira su sintaxis para ver como hacerlo, sera parecido al ejemplo posterior. FW_CUSTOMRULES="/etc/sysconfig/scripts/SuSEfirewall2-custom" * Usando expresiones regulares iptables -m string --string "X-Kazaa-Username:" -j DROP iptables -m string --string "X-Kazaa-Network:" -j DROP iptables -m string --string "X-Kazaa-IP:" -j DROP iptables -m string --string "X-Kazaa-SupernodeIP:" -j DROP * Con lo siguiente, denegacion por puerto origen y destino, en el fichero mencioando anteriormente te encontrarias con que los programas en las conexiones pueden usar puertos aleatorios o el servidor remoto estar usando un puerto standard para http y estarias en las mismas, o permanentemente construyendo reglas. fw_custom_after_antispoofing() { for target in LOG DROP; do for chain in input_ext input_dmz input_int forward_int forward_ext forward_dmz; do iptables -A $chain -j $target -p tcp --dport 31337 iptables -A $chain -j $target -p udp--dport 31337 iptables -A $chain -j $target -p tcp --dport 12345:12346 iptables -A $chain -j $target -p udp --dport 12345:12346 iptables -A $chain -j $target -p tcp --sport 2932 iptables -A $chain -j $target -p udp --sport 2932 iptables -A $chain -j $target -p tcp --sport 1081:1082 iptables -A $chain -j $target -p udp --sport 1081:1082 done done true } * La solucion buena es, arrancar un sniffer y poner en marcha esos servicios, capturar las expresiones regulares que se utilizan en las conexiones o en las url y utilizar proxys con acl's que denieguen las conexiones que utilicen los flags capturados, deshabilitando routing y enmascaramiento en SuSEfirewall2, es decir usando politica por defecto DROP. * ejemplo con varias formas, ips, dominios, palabras, archivos, tipos mime, etc, etc * acl palabras url_regex "/etc/squid/palabras.txt" (denegando por palabras) * acl dominios dstdomain "/etc/squid/dominios.txt" (denegando por dominios) * acl archivos urlpath_regex "/etc/squid/archivos.txt" (denegando por archivos) * acl msn url_regex "/etc/squid/msn.txt" (denegando msn por url) * acl msn1 rep_mime_type ^application/x-msn-messenger$ (denegando por tipos mime vea la salida del sniffer es un ejemplo no real) http_deny palabras http_deny dominios etc, etc, http_deny all * ejemplo para /etc/squid/palabras.txt (lo que recoga con el sniffer) gateway.messenger.hotmail.com gateway.dll? gateway/gateway? img.yupimsn.com application/x-msn-messenger * otro metodo para squid y otros proxys tambien es denegar expresiones regulares contenidas en las url por acl's simples, en el ejemplo se denegara si en la url esta la palabra vecino y vecina (de nuevo vea la salida del sniffer o el log de squid haciendo pasar las conexiones por el mismo) acl Vecino url_regex vecino acl Vecina url_regex vecina http_access deny Vecino http_access deny Vecina recuerde que el asunto es case-sensitive se denegara si en la url aparece vecino, no Vecino * Denegacion por acl simple de un destino acl Messenguer dstdomain www.el-messenguer.com http_access deny Messenguer * Por supuesto en SuSEfirewall2 debe obligar a que los clientes usen los proxys. * La solucion ideal o definitiva es usar sistemas operativos que no permitan instalar a los ususarios lo que les de la gana, ya sabe usted cuales debe poner. * Otra es repartir un documento a los usuarios con las normas de seguridad y utilizacion de la red corporativa y los servicios que no deben utilizarse en el trabajo, testee la utilizacion de la red y a quien la incumpla la primera y segunda vez se le advierte, la tercera se le pone de patitas en la calle. -----BEGIN PGP SIGNATURE----- Version: GnuPG v1.2.1 (GNU/Linux) iD8DBQFAiV5CAXFL65CppEIRAtanAJsGZNsXKNgPDGFpyPIGiQxzMvbntQCfWWRu 96Z4cuXNGz24k0aQDP00hLY= =Zqdi -----END PGP SIGNATURE-----