+ Responder ao Tópico



  1. #1
    haas
    Visitante

    Padrão Monitorar e bloquear tráfego com palavra chave

    Galera,

    Assim, baseado na regra:

    iptables -A FORWARD -s 10.0.0.5 -p tcp --sport 80 -j LOG

    O log do tráfego será feito em /var/log/messages.

    Primeira pergunta: É possível configurar o arquivo onde eu desejo gravar o log?

    Segunda pergunta: Eu não quero que todo o tráfego seja gravado, quero que somente o tráfego que contenha a palavra "sexo" (por exemplo) seja gravado. Isso é possível.

    Terceira pergunta: Mesmo fazendo o log do trafego com a palavra "sexo" eu posso bloquear esse tráfego? Ou seja gera o log mas bloqueia.

    Quarta pergunta: É possível personalizar o LOG, por exemplo com a frase:
    Houve uma tentativa de tráfego com a assinatura "sexo" com origem no host 10.0.0.5 e destivo ao host 200.56.3.1. ?

    Isso seria muito legal se for possível implementar. Pelo menos pra mim.

    Valeu!!!

  2. #2

    Padrão Monitorar e bloquear tráfego com palavra chave

    Para voce ter um controle deste tipo seria muito mais facil e funcional voce
    uasar o Squid e bloquear as palavras que voce quiser dentro das ACL.
    e Para munitorar o Acesso voce pode usar o SARG.

    Voce bloqueando pela ACL do Squid o sarg vai criar um Arquivo HTML onde voce podera ver qual pagina tinha tal PALAVRA a hora quem tentou acessar e ntre outras inumeras informaçoes que podem ser configuradas.

    Espero ter ajudado.

    Da uma pesquisada nos Artigos/Documentos /proxy/nat/firewall aqui do Underlinux que voce vai achar informaçao.



  3. #3

  4. #4
    haas
    Visitante

    Padrão Monitorar e bloquear tráfego com palavra chave

    Assim, na verdade meu firewall de entrada está ok, só que preciso controlar a saída de dados, quero deixar o acesso livre à Internet, entretando se passar um pacote com determindas palavras chave o sistema deverá fazer o log em uma impressora e ainda bloqueia a saída desse pacote.



  5. #5
    epf
    Visitante

    Padrão Monitorar e bloquear tráfego com palavra chave

    e como o A-Marcio disse, emais funcional e pratico vc fazer a distribuicao danet por proxy..depois vc instalar o sarg, e boa, temrelatorio de tudo que estao fazendo.
    abracos
    atenciosamente

    epf

  6. #6
    Trojahn
    Visitante

    Padrão Monitorar e bloquear tráfego com palavra chave

    Citação Postado originalmente por haas
    Assim, na verdade meu firewall de entrada está ok, só que preciso controlar a saída de dados, quero deixar o acesso livre à Internet, entretando se passar um pacote com determindas palavras chave o sistema deverá fazer o log em uma impressora e ainda bloqueia a saída desse pacote.
    Bloquear por string ateh dah com iptables se voce usar kernel 2.4.X e aplicar o ipt_string patch... Mesmo assim esse patch eh TOTALMENTE desaconselhavel pq a CPU vai lah nas alturas...

    Quanto a saida dos dados... A nao ser que voce edite o codigo do iptables, nao tem como fazer essa formatacao que voce quer...