» Menu

» Últimos artigos

Visualizando Área de Trabalho Remota Recuperando sistema em mirror LVM 1 LMDE Xfce - Instalação, configuração e extras Linux com Java 1.7 + JBoss 7 VPN PPTP - Instalação entre estações Windows, Dispositivos com Android e CentOS 5.x Server Introdução a CGI com a RFC 3875

» Últimas dicas

ZTE V821: Android Dual Sim Forçando a montagem do sistema de arquivos e do disco rígido para corrigir problemas Criando e instalando DEB do XAMPP Redimensionando imagens com Nautilus-Image-Manipulator Qual distribuição Linux o iniciante deve usar? Considerações de um ex-usuário Windows Ubuntu 12.04 LTS - Instalando o Hamachi Ubuntu 12.04 LTS - Instalando o Remastersys FFmpeg - Como inserir Logo em vídeo

» Segurança Linux

[Dica] Pacote Oficial Linux LPI [Dica] Ghost Phisher - suite para ataques de phishing usando Fake DNS, DHCP e BLA, BLA, BLA...! ! ! [Artigo] samhain - verificador de integridade de filesystem [Notícia] pfSense 2 Cookbook [Dica] T50 Experimental Packet Injector Tool [Artigo] Honeypot: Aprendendo com o intruso [Notícia] Até 50% de desconto para as últimas vagas do treinamento Investigação Forense Digital da 4Linux.

» Últimos scripts

[Shell-Script] traduz_man - traduzir man pages [C/C++] Substituidor de letras [Python] Conexão de Roteadores CISCO [Shell-Script] Escrever números, datas, horas e outros por extenso [Shell-Script] Script simples de Backup para os diretórios listados abaixo do /

Intranet Open Source

Treinamento Zope Plone

» Destaques

28/05 - Palestra RJ: Django - um framework web para perfeccionistas co... (0) CloudConf LatAm 2012 (1) 04-06/06/2012 - Chamada para o IX Evidosol/VI Ciltec-online (0)

» Screenshot

Por tales.souza

» Login

» Top 10 usuários

6481451: Fábio Berbert de Paula 5651587: Alessandro de Oliveira Faria (A.K.A. CABELO) 2671203: Elgio Schlemer 2662702: Davidson Rodrigues Paulo 2560409: Xerxes Lins 2381171: Jefferson Estanislau da Silva 2310875: Percival F. Jr. 2229979: Cicero Juliao da Silva Junior 2119432: André L. (pinduvoz) 2093768: Edinaldo P. Silva

» Perguntas

driver ati (0) Como instalar o Aircrack-ng no novo ubuntu 12.04 (9) Fedora16 pesando muito (11) Help-me (8) Som do Notebook HP G42-214BR (1) Renovar IP (3) Problema no apt-get [RESOLVIDO] (13) Tela do Open SUSE, ajuda (0)

» .Conf

[Squid] squid.conf - Simples configuração do squid [backup-manager] backup-manager.conf - Configuração de backup simples com backup-mana... [Asterisk] asterisk.conf - Arquivo Configuração asterisk [iptables] firewall.sh - firewall.sh [mutt] muttrc - arquivo de configuração para o Mutt

Dica

Bloqueando qualquer Messenger em 3 linhas de comando

Publicado por Hugo Alvarez em 27/10/2006

Login: hugoalvarez, 396695 pontos

[ Hits: 13270 ]

Denuncie + Favoritos

Versão para impressora

Indicar para um amigo

Enviar dica

Bloqueando qualquer Messenger em 3 linhas de comando

Depois de muito testar scripts, regras e maneiras na internet e ver que nunca nenhuma funcionou de verdade, resolvi pensar em como criar minha própria configuração para bloquear o Messenger e cheguei nisso aqui.

Estou levando em conta um sistema proxy transparente Squid + iptables com mascaramento liberado para internet, ex:

iptables -t nat -A POSTROUTING -s $REDE_LOCAL -d 0/0 -j MASQUERADE #esta é a linha no seu firewall liberando a internet

Antes de liberar a internet pra galera você tem seu redirecionamento de portas para o Squid, alguma coisa muito parecida com essa linha aí:

iptables -t nat -A PREROUTING -s $REDE_LOCAL -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128

Foi aqui que parei pra pensar, já que uso proxy transparente, ninguém vai precisar sair pela porta 80, pois estou redirecionando todas as conexões que chegarem nela para porta 3128 do Squid, então:

A primeira de linha do bloqueio:

iptables -t nat -A PREROUTING $REDE_LOCAL -p tcp -m tcp --dport 80 -j DROP # Aqui eu bloqueio conexões que tentarem sair com destino a porta 80

A segunda linha do bloqueio:

iptables -t nat -A PREROUTING $REDE_LOCAL -p tcp -m tcp --dport 1863 -j REDIRECT --to-port 80
# Aqui eu pego a conexão do Messenger tentando sair pela porta 1863 e ele conseguiria, pois o mascaramento está liberado. Mas quando eu redireciono a porta 1863 para a porta 80, que estará bloqueada, a conexão se perde e não consegue mais sair nem pelo mascaramento nem pelo Squid.

A terceira linha do bloqueio:

iptables -t nat -A PREROUTING -s $REDE_LOCAL -p tcp -m tcp --dport 3128 -j DROP
# Como você sempre vai achar um usuário mais esperto que os outros em sua rede, criei esta linha aqui para impedir que ele entre nas configurações de proxy do Messenger e altere a configuração para sair pela porta do Squid.

Não é necessária nenhuma regra de bloqueio para porta 1863 nem colocar nenhuma porcaria no seu Squid, apenas coloque as duas linhas na ordem logo abaixo da linha de redirecionamento da porta 80 do seu firewall para porta 3128 do Squid. Ex:

(onde eth1 é minha rede local)

iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 3128
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 80 -j DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 3128 -j DROP
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 1863 -j REDIRECT --to-port 80
#------------------------Mascaramento---------------------------#
iptables -t nat -A POSTROUTING -i eth1 -d 0/0 -j MASQUERADE

Outras dicas deste autor

Nagios3 - Correção do "wrong -l argument" no check_nt

Tirando o bip do pc speaker ao digitar

Cadê o apt-setup do Etch? E agora?

Iptables NAT Linux x Citrix Metaframe

Leitura recomendada

Poderes do VIM - Criptografando textos

Atualização de segurança no BitchX

Executando o Kismet com placas Wireless Intel Corporation Centrino Wireless-N 1000

Web Application Security com CAL9000

Usando o FireFox para descobrir sites fraudulentos

Comentários

[1] Comentário enviado por andersonjackson em 27/10/2006 - 08:00h:

Não testei ainda, mas parece bom.
+ Favoritos.

Valeu um abraço

[2] Comentário enviado por tucs em 27/10/2006 - 08:22h:

Parabens, bem pensado.
Abraços.
Eduardo Assis

[3] Comentário enviado por removido em 27/10/2006 - 14:40h:

Show essa dica...muito interessante.

[4] Comentário enviado por daghetti em 27/10/2006 - 15:46h:

Como faço para liberar apenas dois usuarios agora?
Tentei liberar no iptables com um FORWARD mas não rola...

Grato,
Rafael

[5] Comentário enviado por hugoalvarez em 27/10/2006 - 17:14h:

para liberar basta adicionar a seguinte linha antes do redirecionamento da porta 1863 para a 80:

iptables -t nat -A PREROUTING -s ip_liberado -p tcp -m tcp --dport 1863 -j ACCEPT

ficará assim:

iptables -t nat -A PREROUTING -s ip_liberado -p tcp -m tcp --dport 1863 -j ACCEPT
iptables -t nat -A PREROUTING -i eth1 -p tcp -m tcp --dport 1863 -j REDIRECT --to-port 80

Vlws

[6] Comentário enviado por pcferrari em 26/04/2007 - 15:28h:

Otima dica

E para acessar o webmail do hotmail, ou seja, o problema é o messenger, mas o webmail nao tem problema com isso eu consigo acessar somente o email

[7] Comentário enviado por balani em 13/10/2007 - 13:39h:

boa a sua dica

Responsável pelo site: Fábio Berbert de Paula - Conteúdo distribuído sob licença GNU FDL

Site hospedado por:

Viva o Linux

A maior comunidade Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda em Linux.

Estatísticas do site Equipe de moderadores FAQ: Perguntas freqüentes Membros da comunidade

Dica

Home » Dicas » Linux » Segurança » Visualização de dica

Bloqueando qualquer Messenger em 3 linhas de comando

Bloqueando qualquer Messenger em 3 linhas de comando

Viva o Linux