Monitorar e bloquear tráfego com palavra chave

haas · 20-05-2004, 11:36

Galera,

Assim, baseado na regra:

iptables -A FORWARD -s 10.0.0.5 -p tcp --sport 80 -j LOG

O log do tráfego será feito em /var/log/messages.

Primeira pergunta: É possível configurar o arquivo onde eu desejo gravar o log?

Segunda pergunta: Eu não quero que todo o tráfego seja gravado, quero que somente o tráfego que contenha a palavra "sexo" (por exemplo) seja gravado. Isso é possível.

Terceira pergunta: Mesmo fazendo o log do trafego com a palavra "sexo" eu posso bloquear esse tráfego? Ou seja gera o log mas bloqueia.

Quarta pergunta: É possível personalizar o LOG, por exemplo com a frase:
Houve uma tentativa de tráfego com a assinatura "sexo" com origem no host 10.0.0.5 e destivo ao host 200.56.3.1. ?

Isso seria muito legal se for possível implementar. Pelo menos pra mim.

Valeu!!!

**A-Marcio** · 20-05-2004, 12:09

Para voce ter um controle deste tipo seria muito mais facil e funcional voce
uasar o Squid e bloquear as palavras que voce quiser dentro das ACL.
e Para munitorar o Acesso voce pode usar o SARG.

Voce bloqueando pela ACL do Squid o sarg vai criar um Arquivo HTML onde voce podera ver qual pagina tinha tal PALAVRA a hora quem tentou acessar e ntre outras inumeras informaçoes que podem ser configuradas.

Espero ter ajudado.

Da uma pesquisada nos Artigos/Documentos /proxy/nat/firewall aqui do Underlinux que voce vai achar informaçao.

epf · 20-05-2004, 12:21

https://under-linux.org/modules.php?...ticle&sid=2418

https://under-linux.org/modules.php?...ticle&sid=2379

https://under-linux.org/modules.php?...ticle&sid=2017

haas · 20-05-2004, 12:43

Assim, na verdade meu firewall de entrada está ok, só que preciso controlar a saída de dados, quero deixar o acesso livre à Internet, entretando se passar um pacote com determindas palavras chave o sistema deverá fazer o log em uma impressora e ainda bloqueia a saída desse pacote.

epf · 20-05-2004, 12:53

e como o A-Marcio disse, emais funcional e pratico vc fazer a distribuicao danet por proxy..depois vc instalar o sarg, e boa, temrelatorio de tudo que estao fazendo.
abracos
atenciosamente

epf

Trojahn · 24-05-2004, 10:22

Postado originalmente por haas

Assim, na verdade meu firewall de entrada está ok, só que preciso controlar a saída de dados, quero deixar o acesso livre à Internet, entretando se passar um pacote com determindas palavras chave o sistema deverá fazer o log em uma impressora e ainda bloqueia a saída desse pacote.

Bloquear por string ateh dah com iptables se voce usar kernel 2.4.X e aplicar o ipt_string patch... Mesmo assim esse patch eh TOTALMENTE desaconselhavel pq a CPU vai lah nas alturas...

Quanto a saida dos dados... A nao ser que voce edite o codigo do iptables, nao tem como fazer essa formatacao que voce quer...

Monitorar e bloquear tráfego com palavra chave

Ferramentas de Tópicos