Re: Bloccare MSN con ebtables

To: "Debian Italian" <debian-italian@lists.debian.org>
Subject: Re: Bloccare MSN con ebtables
From: "GiPaX" <gipax@katamail.com>
Date: Thu, 6 Apr 2006 18:13:42 +0200
Message-id: <[🔎] 20060406160451.M69951@tiscalinet.it>
In-reply-to: <[🔎] 20060406142532.M53595@corep.it>
References: <[🔎] 20060406142532.M53595@corep.it>

On Thu, 6 Apr 2006 16:38:19 +0200, dea wrote
> Ciao a tutti !
> 
> Da qualche giorno mi sono messo in testa di bloccare il traffico di 
> Messenger su una mia sottorete.
> 
> Premetto che da più di un'anno utilizzo un firewall trasparente 
> (Debian, ovviamente) basato sul bridge e filtrato da ebtables, e sin 
> qui tutto OK 
> (premetto che molto sono soddisfatto della soluzione...).
> 
> Aggiungo nelle paginate di regole del firewall in questione sul 
> canale di FORWARD tra le schede del bridge un blocco in uscita verso 
> qualche IP, giusto per impedire l'account sui server di Microsoft...
> 
> e cosa scopro (ammetto la mia ignoranza) ?
> 
> che la danarosa Microsoft dispone di una valanga di server, se 
> blocchi intere sottoreti, commuta su altre... uno scandalo 
> insomma... :)
> 
> OK, OK, blocco tutto ed alla fine MSN non va più...
> 
> effetto collaterale, non funziona più neppure HOTMAIL (prevedibile).
> 
> Ma non funziona neppure più il sistema di live update di Microsoft 
> (e questo è meno tollerabile).
> 
> Tirando le somme, se blocco intere sottoreti MSN non va più, ma 
> nemmeno il sito Microsoft (pure quello "dinamico") e non solo.. pure 
> "update.microsoft.com" usa IP puramente "a muzzo" (in alcuni range,
>  ovviamente) ...
> 
> dato l'alto traffico la soluzione adottata era prevedibile..
> 
> ma come si fa a bloccare MSN permettendo il funzionamento delle 
> funzioni di update ?
> 
> So che la domanda può essere un po OT per dei Debianisti :) ma alla 
> fine neppure lavorando con EBTABLES sulle porte TCP riesco a 
> risolverla.. MSN usa anche la 80... (visto dai LOG)
> 
> Qualche idea ?
> 
> Grazie
> 
> Luca
> 

Io ho installato un proxy, squid per l'esattezza. Un proxy è in grado di 
filtrare il traffico valutando anche gli header dei pacchetti che passano, 
cosa che, per quello che so, un firewall non può fare.

Tanto per farti un esempio io ho bloccato gli accessi di Windows Media 
Player alla rete così:

#Creo un acl chiamata WMP che identifica Windows Media Player
acl WMP browser Windows-Media-Player/*

#successivamente gli nego l'accesso alla rete
http_access deny WMP

se però volessi far passare il traffico diretto ad un particolare sito di 
cui mi fido modificherò il tutto così:

acl MCA browser Microsoft-CryptoAPI/*
acl RAI dst videolive.rai.it

http_access allow RAI
http_access deny WMP

squid legge le regole dal basso verso l'alto quindi è importante l'ordine in 
cui scrivi gli allow e i deny. That's All

Spero di esserti stato utile
--
Ciao GiPaX

Reply to:

References:
- Bloccare MSN con ebtables
  - From: "dea" <dea@corep.it>

Prev by Date: Re: Bloccare MSN con ebtables
Next by Date: Re: Problema di rete/internet
Previous by thread: Re: Bloccare MSN con ebtables
Next by thread: Re: Bloccare MSN con ebtables
Index(es):
- Date
- Thread