Orkut e Meebo, https sem layer7 via iptables.

[juniovitorino]

Gente estou atrás de alguma forma de bloquear o orkut e o meebo via iptables, mas o foda e que o meu kernel não tem suporte a layer7 e essa regra:

Código :

iptables -A FORWARD -s LAN -d orkut - Login -j REJECT

Não funciona comigo, da bad argument : -. E até agora não consegui achar nada para pegar esses malandros... A net aqui já e uma benção com a galera toda pendurada no orkut e fica foda.

[xstefanox]

Bom... se essa é a regra que você tá utilizando no seu servidor, ao pé da letra, tá meio errado. Tenta dar uma olhada no Focalinux na parte sobre iptables. Pode ser bem iluminadora pra você.

Seria legal você também fazer uso do Squid para ajudar a bloquear o Meebo e esses outros sites de MSN online, através de expressões regulares, senão fica bem difícil.

O Orkut por si só utiliza tanto HTTPS quanto HTTP, então você vai ter que bloquear as conexões na porta 443 em FORWARD no seu firewall, porque o Squid em modo transparente não suporta HTTPS, fazendo este tráfego passar pelo NAT normal.

Você pode fazer o seguinte para bloquear o Orkut via iptables:

Código :

# for i in `host www.orkut.com | awk '{ print $4 }'`; do
   iptables -t filter -A FORWARD -d "$i" -j DROP
done;

Abraços!

[juniovitorino]

Eu botei esse exemplo de regra que peguei aqui, não é bem essa que estava usando era só o exemplo que usei, eu tinha editado ela já. Quanto aos bloqueios no squid, já foram feitos, e estão funcionando mas https ainda passa, mas agora com isso que vc me arrumou ai acho que vou resolver de vez.

Vou tentar recompilar o kernel com o layer7, mas enquanto não preparo isso, vou usar isso que vc me passou cara, obrigado mesmo.

[rootmaster]

Eu botei esse exemplo de regra que peguei aqui, não é bem essa que estava usando era só o exemplo que usei, eu tinha editado ela já. Quanto aos bloqueios no squid, já foram feitos, e estão funcionando mas https ainda passa, mas agora com isso que vc me arrumou ai acho que vou resolver de vez.

Vou tentar recompilar o kernel com o layer7, mas enquanto não preparo isso, vou usar isso que vc me passou cara, obrigado mesmo.

Para o orkut ...

# Bloqueia o Orkut
/sbin/iptables -t nat -A PREROUTING -d orkut.com -j DROP


Falow ...

[juniovitorino]

Bom... se essa é a regra que você tá utilizando no seu servidor, ao pé da letra, tá meio errado. Tenta dar uma olhada no Focalinux na parte sobre iptables. Pode ser bem iluminadora pra você.

Seria legal você também fazer uso do Squid para ajudar a bloquear o Meebo e esses outros sites de MSN online, através de expressões regulares, senão fica bem difícil.

O Orkut por si só utiliza tanto HTTPS quanto HTTP, então você vai ter que bloquear as conexões na porta 443 em FORWARD no seu firewall, porque o Squid em modo transparente não suporta HTTPS, fazendo este tráfego passar pelo NAT normal.

Você pode fazer o seguinte para bloquear o Orkut via iptables:

Código :

# for i in `host www.orkut.com | awk '{ print $4 }'`; do
   iptables -t filter -A FORWARD -d "$i" -j DROP
done;

Abraços!

Cara esse comando diz:
host: command not found.

[rootmaster]

Eu tô bloqueando o Orkut com as regras abaixo sem problema ...

# Bloqueia o Orkut
/sbin/iptables -t nat -A PREROUTING -d orkut.com -j DROP
/sbin/iptables -A FORWARD -d www orkut.com -j REJECT


Falow ...

[juniovitorino]

Cara tentei isso ai também não funcionou... ressalto que meu kernel não foi recompilado com suporte a layer7.

[rootmaster]

Cara tentei isso ai também não funcionou... ressalto que meu kernel não foi recompilado com suporte a layer7.

Serio ... ? eu tambem não implementei o layer 7 ... posta tua regra de firewall ai ...

Falow ...

[xstefanox]

Cara esse comando diz:
host: command not found.

É porque você não tem o host instalado na sua máquina. Se você utiliza Debian ou distribuição baseada, faça o seguinte:

Código :

# apt-get install host

Se você utiliza Red Hat ou baseada, procure por aí um pacote RPM.


Abraços!

[juniovitorino]

Caramba, funcionou sim perfeito, valew cara, mas sem querer abusar não tem nada para o meebo não?

[rootmaster]

Caramba, funcionou sim perfeito, valew cara, mas sem querer abusar não tem nada para o meebo não?

Isso resolve su problema ...

Linux: Bloqueando meebo [Dica]

Falow ...

[xstefanox]

Bom, bloqueia a palavra meebo no seu Squid. =)