Re: barrar .exe

To: Gilberto Villani Brito <linux@olhoneles.com.br>, debian-user-portuguese@lists.debian.org
Subject: Re: barrar .exe
From: alrferreira@carol.com.br
Date: Tue, 23 Mar 2004 09:34:26 -0300
Message-id: <[🔎] OFD75FA678.3DAF7464-ON03256E60.00448648-83256E60.00450B11@carol.com.br>

Eu resolvi um problema parecido usando o Snort IDS com o recurso flexresp 
para "resetar" as conexões suspeitas.
Coloquei a seguinte regra personalizada:

# Bloqueia Kazaa
var RESETAR resp:rst_all,icmp_all
alert tcp $EXTERNAL_NET any -> any any (msg:"Acesso Kazaa"; 
content:"X-Kazaa"; nocase; rev:2;$RESETAR;)

Explicando, ele dispara um alerta e "reseta" todas as conexões 
direcionadas a minha rede interna, no protocolo tcp,  em qualquer porta, 
que contenha a string "X-Kazaa".

Espero ter ajudado....

André Luiz Rodrigues Ferreira
alrferreira@carol.com.br - http://freecode.linuxsecurity.com.br





Gilberto Villani Brito <linux@olhoneles.com.br>
23/03/2004 09:21

 
        Para:   debian-user-portuguese@lists.debian.org
        cc: 
        Assunto:        Re: barrar .exe


Allan,
Eu estava precisando de uma solução para controlar o kazaa e outros, e 
nessa busca
pela solução eu me deparei com o seguinte parametro do iptables -m string.
Depois de aplicar todos os patchs necessários no meu kernel e recompilar
corretamente eu testei meu novo iptables (também recompilado) com esse 
parâmetro
citado acima.
Com esse parâmetro você pode bloquear todos os pacotes que contem a string 
.exe,
porém nos testes que eu fiz, se você entrar em um site com uma palavra 
.exe o
mesmo não abre corretamente, aparece somente até essa palavra, daí para 
baixo
não é carregado.
Esse parâmetro string bloqueia os .exes da vida, mas vai limitar muito sua 
rede,
mas eu não conheço outro método, e caso alguém conheça eu gostaria que o 
mesmo
fosse compartilhado na lista.

Abraços
Gilberto

Em Mon, 22 Mar 2004 16:29:08 -0300
Allan Queiroz <minhaslistas@brfree.com.br> escreveu:

> Olá caros amigos!
> Por favor alguém poderia me ajudar com uma regra do iptables que barra 
> os arquivos .exe que temtarem entrar na rede, o que eu quero é rejeitar 
> todos os arquivos .exe que tentarem passar pelo firewall, muito obrigado 

> a todos.
> Allan Queiroz
> 
> 
> -- 
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact 
listmaster@lists.debian.org
> 
>

Reply to:

Follow-Ups:
- Re: barrar .exe
  - From: Gilberto Villani Brito <linux@olhoneles.com.br>

Prev by Date: Re: barrar .exe
Next by Date: troca do campo from em mensagens
Previous by thread: Re: barrar .exe
Next by thread: Re: barrar .exe
Index(es):
- Date
- Thread