Re: barrar .exe
Eu resolvi um problema parecido usando o Snort IDS com o recurso flexresp
para "resetar" as conexões suspeitas.
Coloquei a seguinte regra personalizada:
# Bloqueia Kazaa
var RESETAR resp:rst_all,icmp_all
alert tcp $EXTERNAL_NET any -> any any (msg:"Acesso Kazaa";
content:"X-Kazaa"; nocase; rev:2;$RESETAR;)
Explicando, ele dispara um alerta e "reseta" todas as conexões
direcionadas a minha rede interna, no protocolo tcp, em qualquer porta,
que contenha a string "X-Kazaa".
Espero ter ajudado....
André Luiz Rodrigues Ferreira
alrferreira@carol.com.br - http://freecode.linuxsecurity.com.br
Gilberto Villani Brito <linux@olhoneles.com.br>
23/03/2004 09:21
Para: debian-user-portuguese@lists.debian.org
cc:
Assunto: Re: barrar .exe
Allan,
Eu estava precisando de uma solução para controlar o kazaa e outros, e
nessa busca
pela solução eu me deparei com o seguinte parametro do iptables -m string.
Depois de aplicar todos os patchs necessários no meu kernel e recompilar
corretamente eu testei meu novo iptables (também recompilado) com esse
parâmetro
citado acima.
Com esse parâmetro você pode bloquear todos os pacotes que contem a string
.exe,
porém nos testes que eu fiz, se você entrar em um site com uma palavra
.exe o
mesmo não abre corretamente, aparece somente até essa palavra, daí para
baixo
não é carregado.
Esse parâmetro string bloqueia os .exes da vida, mas vai limitar muito sua
rede,
mas eu não conheço outro método, e caso alguém conheça eu gostaria que o
mesmo
fosse compartilhado na lista.
Abraços
Gilberto
Em Mon, 22 Mar 2004 16:29:08 -0300
Allan Queiroz <minhaslistas@brfree.com.br> escreveu:
> Olá caros amigos!
> Por favor alguém poderia me ajudar com uma regra do iptables que barra
> os arquivos .exe que temtarem entrar na rede, o que eu quero é rejeitar
> todos os arquivos .exe que tentarem passar pelo firewall, muito obrigado
> a todos.
> Allan Queiroz
>
>
> --
> To UNSUBSCRIBE, email to debian-user-portuguese-request@lists.debian.org
> with a subject of "unsubscribe". Trouble? Contact
listmaster@lists.debian.org
>
>
Reply to: