Re: Denegar MSN con iptables a una IP

To: "Lista Debian" <debian-user-spanish@lists.debian.org>
Subject: Re: Denegar MSN con iptables a una IP
From: "Arnau Carrasco" <ra@ucv.es>
Date: Thu, 22 Mar 2007 13:18:15 +0100
Message-id: <[🔎] 015201c76c7c$2ac3fba0$03033a0a@ucv.es>
References: <[🔎] 00d401c76c59$568d2bd0$03033a0a@ucv.es> <[🔎] 6fa0b71e0703220253l562eec49w811550b574156bde@mail.gmail.com>

El 22/03/07, Arnau Carrasco <ra@ucv.es> escribió:
> >
> > > El jue, 22-03-2007 a las 00:46 +0100, Ruben Marcos escribió:
> > >> Hola, tengo un equipo que hace de firewall, tiene dos tarjetas de> > >> red:
> > >> una para la conexión a internet y otra para la red local. He estado
> > >> buscando información de cómo denegar conexiones al protocolo MSN y> > >> el
> > >> siguiente manual me vino muy bien:
> > >>
> > >>
> http://www.linuxparatodos.net/geeklog/article.php?story=20040503153731619
> > >>
> > >>
> > >> IPTABLES -t mangle -A PREROUTING -p tcp --dport 1863 -j DROP
> > >> while read msnmessenger ; do
> > >>      $IPTABLES -t mangle -A PREROUTING -d $msnmessenger -j DROP
> > >> done < /etc/reglas-firewall/ip-addresses-msnmessenger
> > >
>
> Con eso no te librarás del messenger. Si no accede por tcp te irá por> udp.
> Para empezar necesitas:
>
> $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p tcp --dport 1863 -j> DROP> $IPTABLES -t filter -A FORWARD -s $IP_DENEGADA -p udp --sport 1863 -j> DROP
>

Gracias, las pruebas las estaba haciendo con Kopete y AMSN, al llegar
al trabajo he visto que estaba conectado supongo que es porque me
faltaba cerrar udp.
> Peeeeero aun así el messenger hace sus pirulitas para seguir> funcionando,> como por ejemplo utilizar el webmessenger. Yo trabajo en una Universidad> y
> estuve mirando para denegarlo definitivamente en período de examenes. La
> solución fue (además de estas reglas con iptables) agregar unas lineas> al
> squid.conf. Instala un squid transparente en tu firewall e inserta estas
> lineas:
>
>  En el squid.conf:
>   acl msn1 req_mime_type -i "/etc/squid/mime.aplicaciones_prohibidas"
>   acl msn2 url_regex gateway/gateway.dll?
>   acl msn3 url_regex messenger
>
>   http_access deny msn1
>   http_access deny msn2
>   http_access deny msn3
>
> Crea un archivo en /etc/squid/mime.aplicaciones_prohibidas con 2> lineas:
>   ^application/x-msn-messenger$
>   ^text/x-msmsgsprofile$
>
> Con esto el webmessenger tampoco funcionará.
> Suerte.

Gracias de nuevo, que use webmessenger ya me lo había planteado pero
confío en que no lo haga. De momento no tenemos proxy pero me apunto
la solución por si hubiera que llegar a estos extremos, el problema es
que otros empleados si que necesitan msn para hablar con clientes.


No hay ningún problema. A las reglas del iptables les indicas el source con
la opción -s, con lo que únicamente se aplicarán a las IPs que le indiques.

Eso sin usar el squid, pero si lo usaras, tampoco tendrías problemas, dado
que también podrías restringir las ACLs del messenger a dichas IPs.


>
> > >
> > > iptables -A PREROUTING -s 192.168.0.23 -p tcp --dport 1863 -j REJECT
> > >
> > > ??
> > >

> > > donde pone 192.168.0.23, puedes poner un rango o definir una> > > variable

> > > $IPS_SIN_MESENGER y usarla.
> > >
> > >> Me interesa que solo afecte a una IP o MACHe intentado modificarlo
> > >> para que solo afecte a una IP de la red local pero no lo he
> > >> conseguido, no me deja añadir --to-destination.
> > >
> > >
> > >


---------------------------------------------
Arnau Carrasco - http://www.arnaucarrasco.com
---------------------------------------------

Reply to:

References:
- Re: Denegar MSN con iptables a una IP
  - From: "Arnau Carrasco" <ra@ucv.es>
- Re: Denegar MSN con iptables a una IP
  - From: "Ruben Marcos" <resete.e@gmail.com>

Prev by Date: Re: Donde descargo Etch ?
Next by Date: Re: gmail y top-posting
Previous by thread: Re: Denegar MSN con iptables a una IP
Next by thread: Dhcp y Vlans
Index(es):
- Date
- Thread