Re: Denegar MSN con iptables a una IP

To: "Lista Debian" <debian-user-spanish@lists.debian.org>
Subject: Re: Denegar MSN con iptables a una IP
From: "Arnau Carrasco" <ra@ucv.es>
Date: Thu, 22 Mar 2007 09:08:56 +0100
Message-id: <[🔎] 00d401c76c59$568d2bd0$03033a0a@ucv.es>


> El jue, 22-03-2007 a las 00:46 +0100, Ruben Marcos escribió:
>> Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de red:
>> una para la conexión a internet y otra para la red local. He estado
>> buscando información de cómo denegar conexiones al protocolo MSN y el
>> siguiente manual me vino muy bien:
>>
>> http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619
>>
>>
>> IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
>> while read msnmessenger ; do
>>      $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP
>> done < /etc/reglas-firewall/ip-addresses-msnmessenger
>


Con eso no te librarás del messenger. Si no accede por tcp te irá por udp.
Para empezar necesitas:

$IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p tcp --dport 1863 -j DROP
$IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p udp --sport 1863 -j DROP

Peeeeero aun así el messenger hace sus pirulitas para seguir funcionando,
como por ejemplo utilizar el webmessenger. Yo trabajo en una Universidad y
estuve mirando para denegarlo definitivamente en período de examenes. La
solución fue (además de estas reglas con iptables) agregar unas lineas al
squid.conf. Instala un squid transparente en tu firewall e inserta estas
lineas:

En el squid.conf:
 acl msn1 req_mime_type -i "/etc/squid/mime.aplicaciones_prohibidas"
 acl msn2 url_regex gateway/gateway.dll?
 acl msn3 url_regex messenger

 http_access deny msn1
 http_access deny msn2
 http_access deny msn3

Crea un archivo en /etc/squid/mime.aplicaciones_prohibidas con 2 lineas:
 ^application/x-msn-messenger$
 ^text/x-msmsgsprofile$

Con esto el webmessenger tampoco funcionará.
Suerte.

>
> iptables -A PREROUTING -s 192.168.0.23 -p tcp --dport 1863 -j REJECT
>
> ??
>
> donde pone 192.168.0.23, puedes poner un rango o definir una variable
> $IPS_SIN_MESENGER y usarla.
>
>> Me interesa que solo afecte a una IP o MACHe intentado modificarlo
>> para que solo afecte a una IP de la red local pero no lo he
>> conseguido, no me deja añadir --to-destination.
>
>
>

> --> To UNSUBSCRIBE, email to debian-user-spanish-REQUEST@lists.debian.org> with a subject of "unsubscribe". Trouble? Contact> listmaster@lists.debian.org

>
>


---------------------------------------------
Arnau Carrasco - http://www.arnaucarrasco.com
---------------------------------------------

Reply to:

Follow-Ups:
- Re: Denegar MSN con iptables a una IP
  - From: "Ruben Marcos" <resete.e@gmail.com>

Prev by Date: Re: Donde descargo Etch ?
Next by Date: Re: controlar el trafico
Previous by thread: Re: Denegar MSN con iptables a una IP
Next by thread: Re: Denegar MSN con iptables a una IP
Index(es):
- Date
- Thread