Neste tutorial você verá como bloquear esses serviços com apenas o iptables, facilitando a vida de quem não usa proxy no ambiente de rede local, vale à pena ler e usar.
Começaremos pelo bloqueio do ORKUT, inimigo número 1 (juntamente com o MSN) dos administradores de rede. Usando as regras do iptables, ficará assim:
#Bloqueio de orkut.com
iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
iptables -A FORWARD -d www.orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
Será preciso adicionar os dois, pois às vezes o orkut conecta-se como orkut.com ou www.orkut.com, por medida de precaução, bloqueie os 2.
Passo a passo:
iptables -A FORWARD (Adiciona a regra na tabela FORWARD);
-d www.orkut.com -s 192.168.0.0/24 (Bloqueia o acesso de www.orkut.com a rede inteira);
-p tcp --dport 80 (Protocolo usado TCP para a porta 80);
-j DROP (Anular o pedido);
192.168.0.0/24 (será substituído pela sua faixa de IP, caso seja a mesma não precisa alterar).
Bloqueio de MSN
O bloqueio do MSN será feito da seguinte forma, usando as regras do iptables, ficará assim:
Particularmente fiz bloqueio de toda e qualquer possibilidade de conexão do MSN, mas consegui apenas bloqueando o gateway e a porta de conexão.
#O Messenger pode usar esse gateway sobre HTTP, caso você já tenha bloqueado
# a porta de conexão
iptables -A FORWARD -d gateway.messenger.hotmail.com -p tcp --dport 80 -j REJECT
#Autenticação HTTP para o Windows Live ID
iptables -A FORWARD -d login.live.com -p tcp --dport 80 -j REJECT
#Obtenção da lista de contatos
iptables -A FORWARD -d contacts.msn.com -p tcp --dport 80 -j REJECT
#Armazenamento do quadro do usuário (HTTP DAV) e aquisição de imagens do
#Windows Live Space de um usuário
iptables -A FORWARD -d storage.msn.com -p tcp --dport 80 -j REJECT
#Para definir um ID exclusivo e anônimo para um usuário personalizar a
#experiência do Windows Live
iptables -A FORWARD -d c.msn.com -p tcp --dport 80 -j REJECT
#Várias operações principais do messenger
iptables -A FORWARD -d messenger.msn.com -p tcp --dport 80 -j REJECT
#URLs de redirecionamento usadas no rastreamento do início do URL de
#uma página específica para sites da Microsoft
iptables -A FORWARD -d g.msn.com -p tcp --dport 80 -j REJECT
#Várias operações principais do messenger, bloqueio para a porta 1863
iptables -A FORWARD -d messenger.hotmail.com -p tcp --dport 1863 -j REJECT
#Várias operações principais do Messenger. Por exemplo, servidores de eco
#usados para estabelecer conectividade direta entre dois clientes do messenger
#para comunicação ponto-a-ponto quando os clientes estiverem protegidos
#por um firewall
iptables -A FORWARD -d edge.messenger.live.com -p TCP --dport 80 -j REJECT
#Bloqueio da porta 443 Entrada no serviço Messenger
iptables -A FORWARD -p TCP --dport 443 -j REJECT
#Bloqueio de porta 1863 entrada no serviço Messenger
iptables -A FORWARD -p TCP --dport 1863 -j REJECT
#Endereço de conexão MSN
iptables -A FORWARD -d 64.4.13.0./24 -j REJECT
Fazendo isso você terá total bloqueio do MSN, apenas usando o IPTABLES.
Bloqueio de acesso a TROJAN
As regras abaixo bloqueiam acesso as portas que os TROJANS usam para conexão em rede.
As tabelas serão adicionadas às regras nas tabelas INPUT e FORWARD.
[3] Comentário enviado por powerd0wn em 21/03/2008 - 14:47h
Falae rommelhc, blz?
Cara, não querendo te desanimar, mas...
... essas dicas suas ae não funcionam não, viu? =P
Pesquise sobre: proxies públicos, http-tunneling, icmp-tunneling, dns-tunneling etc... Tem muita coisa pra se burlar esses controles simples.
E outra... os "p2p" fazem coisas que você não imagina pra burlar esses controles.
Pesquise mais sobre iptables, e tente desenvolver políticas restritivas, como negar tudo e autorizar somente o necessário, procurando especificar portas, origens e destino explicitamente.
[4] Comentário enviado por elgio em 21/03/2008 - 16:06h
Concordo com Rodrigo.
São medidas, como diria, infantis.
Facilmente burláveis.
Tu só consegue controlar MELHOR com o uso de proxy e iptables.
E ainda tem que ficar brincando de caçar novos proxies todo o dia que os caras descobrem. Minha lista já tá CHEINHA de proxies e mais proxies...
Meu sistema completo inclui:
a) squid para bloquear por ACL
b) analise de logs para contabilizar os sites TOP+ visitados, descartando os conhecidos (pq um proxy NOVO recem descoberto tem muita chance de figurar nos TOP+ do dia :-D)
c) Uma acl PROIBINDO acesso por http://NUMERO-IP (90% dos proxies nao tem DNS)
d) iptables para bloquear HTTPS proxies
e) cruzamento de logs de resolucao de nomes com acesso porta 443. Exemplo: ontem mesmo peguei um IP estranho no HTTPS, que nao conhecia. Consultando mues logs de DNS vi que este IP fora uma resposta para a consulta do proxy MEEBO. Bingo. Mais um IP que eu nao conhecia e que passou a ser bloqueado.
Isto tem funcionado, mas requer ficar SEMPRE ALERTA.
Ah, e quanto a p2p, ai é complicado mesmo. Tem o layer7 do iptables que dá uma BELA ajuda (descrito em um artigo mais abaixo deste)
[7] Comentário enviado por sdrconsulting em 22/03/2008 - 16:20h
Amigão,
Sem querer ser chato, mais o seu "Artigo" não tem o formato de um Artigo, está mais para uma DICA. As regras que você colocou ai não funcionam corretamente. Aproveite as dicas da galera e reescreva seu artigo com as melhorias propostas.
Se quiser bater um papo, estou a disposição: msn: sylvio@sdrconsulting.com.br
[11] Comentário enviado por fideljunior em 25/03/2008 - 15:08h
Ola! Sou usuario iniciante do Linux, estou aprendendo na distribuição Red Hat 9 server. Testei esses scripts postados aqui e funcionaram perfeitamente. (Usei o bloqueio de paginas, que nesse artigo esta como exemplo o orkut)
Tudo funcionou muito bem... Nao sei se é recomendavel que eu diga mas quando for usar esses comandos tem que digita antes /sbin
ex: /sebin/iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
Somente dessa maneira eles vao funcionar!
Valeu!
[16] Comentário enviado por renatogrosz em 11/12/2008 - 12:50h
Eu configurei minha rede da seguinte forma (squid + iptables):
Em primeiro lugar:
Bloquei todo forward (ninguem transpassa o firewal)
Depois, liberei forward ao computador do dono da empresa.
Liberei o forward (a todas as máquinas da rede) aos "enderecos confiaveis" (itau, safra, certificados digitais, atualizações gerais)
o AVG tava dando trabalho, então verifiquei que o mesmo permite cadastrar proxy nas configurações dele.
Criei uma conta no squid, (é bom não usuar a sua).
O sistema office Bank do safra usa as configurações do internet explorer, então fiz um atalho na area de trabalho do usuario para ele utilizar quando quer navegar e quando quer usar o banco, o que ele faz é acionar um arquivo com extensão .reg que muda as configurações do internet explorer, depois chama ou o IE ou o sistema do banco dependendo do caso. Se usuario é menos cri-cri, dá para utilizar o Mozzila com o proxy configurado e deichar o IE quieto e escondido. Para o acesso ao e-mail eu permito o forward na porta.
Assim que eu tenho resolvido algumas situações.
O Skype está passando, eu ainda nao descobri porque.
A proposito: sobre colocar ou não o caminho completo para acionar o iptables (ou qualquer outro) dentro do script
É interessante porque se alguem tiver acesso ao seu unix (que provavelmente tem ssh aberto) ele pode chamar um iptables qualquer, inclusive no diretorio corrente, que talvez o atacante ja tenha acesso.
[17] Comentário enviado por rbn24 em 28/01/2009 - 20:58h
Bom kara gostei muito mas stou com um problema como faço para bloquear o Skype pois eu uso o IPCOP, pois para o MSN é so bloquear a porta mas o skype sai de qualquer forma, e gostaria de saber como faço para bloquea-lo, alguer ajuda serve.