Gente to querendo saber como faço para bloquear, instant messengers, p2p's em geral, emule, kazaa, aquelas radios online e tals, tanto por iptables ou squid o que for mais eficiênte.
Versão Imprimível
Gente to querendo saber como faço para bloquear, instant messengers, p2p's em geral, emule, kazaa, aquelas radios online e tals, tanto por iptables ou squid o que for mais eficiênte.
Você pode utilizar os protocolos disponíveis em /etc/l7-protocols/protocols para fechar umas regras assim:
Código :
# iptables -t filter -A FORWARD -s $REDE_INTERNA -m layer7 --l7proto $PROTOCOLO -j DROP
Agora, quanto às rádios, é melhor utilizar o Squid para bloqueá-las.
Abraços!
Use as regras de firewall para fechar os p2p.
Apesar de que você vai ter um trabalhinho pra isso.
Use um firewall com nat para as portas necessárias, acredito que assim vá dá certo pois o emule precisa se conectar com um DNAT para ter um ID alto.
Se vc manter a politica default como DROP para forward ja era tb.
Eu testei com o MSN e utilizando o squid tb para fechar junto com o firewall.
Agora não cheguei fazer testes com o p2p.
#Bloqueando completamente P2P
iptables -I FORWARD -m layer7 --l7proto edonkey -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto edonkey -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto fasttrack -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto fasttrack -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto directconnect -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto directconnect -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto bittorrent -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto bittorrent -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto napster -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto napster -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto soulseek -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto soulseek -s any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto gnutella -d any/0 -j DROP
iptables -I FORWARD -m layer7 --l7proto gnutella -s any/0 -j DROP
Espero ter ajudado.
Essas regras são para liberar as conexões.
Se você fizer as regras do NAT somente nas suas portas de conexão da net (80, 20, 21, 443, 25, 110, 53) mantendo uma política drop vc pode conseguir segurar isso.
senão fecha na mão essas portas abaixo.
echo " Liberando portas para realizar ID ALTO nas conexoes Emule + Azureus "
echo " liberando portas Emule tcp = 4662 / 4661 / 4711/ udp= 4672/ 4665 "
echo " Liberando portas Azureus udp = 6419 / 65535 / 6429 / 61450 / 24044 tcp = 61540 / 45998 / "
/usr/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 4661 -j DNAT --to 192.168.0.171:4661
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 4662 -j DNAT --to 192.168.0.171:4662
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 6419 -j DNAT --to 192.168.0.171:6419
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 4665 -j DNAT --to 192.168.0.171:4665
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 65535 -j DNAT --to 192.168.0.171:65535
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 6429 -j DNAT --to 192.168.0.171:6429
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 4672 -j DNAT --to 192.168.0.171:4672
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 61450 -j DNAT --to 192.168.0.171:61450
/usr/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 45998 -j DNAT --to 192.168.0.171:45998
/usr/sbin/iptables -t nat -A PREROUTING -p udp -i ppp0 --dport 24044 -j DNAT --to 192.168.0.171:24044
/usr/sbin/iptables -t nat -A PREROUTING -p tcp -i ppp0 --dport 61540 -j DNAT --to 192.168.0.171:61540