+ Responder ao Tópico



  1. #1
    fserro
    Visitante

    Padrão Windows Media Player

    Será que ninguém sabe bloquear o endereço mms://IP_DA_RADIO

  2. #2

    Padrão Windows Media Player

    baumm.....partamos de 2 principios:

    mms:// eh um protocolo
    2° Se eh um protocolo ele tem uma porta...

    e sendo assim ele tem uma porta....e se ele tem uma porta vc pode IPTABLESar ela bloqueando-na

    ou seja.....eh soh descubrir qual eh a bendita porta

  3. #3
    fserro
    Visitante

    Padrão Windows Media Player

    Não sei se mms:// é um protocolo, mas sei que ao executarmos este endereço ele abre o Windows Media Player, sendo assim, gostaria de seber bloquear a aplicação no Squid tipo assim:

    acl mplayer req_mine_type -i ^application/??????$

    Abs,

  4. #4

    Padrão Windows Media Player

    bom, o SDM está corretissimo....

    da maneira que vc quer é dificil..... acho que não há como....
    se vc não sabe o que são "procotolos" então como irá querer
    bloquear eles?

    descubra qual a range das portas que o protocolo mms utiliza, dae barre
    conexões a qualquer servidor nessas portas.... utilzando firewall(iptables, etc) ou pelo proxy(squid, etc)....

  5. #5
    gmlinux
    Visitante

    Padrão Windows Media Player

    mms é uma play list do media player, esta associado a aplicação media player, por isto ele é executado, usa o squid para bloquear, se bloquear no iptables, deve bloquear o site inteiro...

  6. #6
    fserro
    Visitante

    Padrão MMS

    Eu sei gmlinux, por este motivo que gostaria de saber como bloqueio a aplicação pelo Squid, poderia ser algo como:

    acl mplayer req_mine_type -i ^application/??????$

    Eu gostaria de saber como completo este comando?

    Abs,

  7. #7
    gmlinux
    Visitante

    Padrão Re: MMS

    Citação Postado originalmente por fserro
    Eu sei gmlinux, por este motivo que gostaria de saber como bloqueio a aplicação pelo Squid, poderia ser algo como:

    acl mplayer req_mine_type -i ^application/??????$

    Eu gostaria de saber como completo este comando?

    Abs,
    Entendo, o problema é que apesar da url ter o mms:// no início, o player é evocado mais faz uma requisição http. A associação de protocolo é feita do lado do cliente de http, não se trata de um mime type..., no entanto de criar regra sobre url que inicie por mms em vez de mime type é provável que funcione.

  8. #8
    Danilo_Montagna
    Visitante

    Padrão Windows Media Player

    MMS = ms-streaming 1755/tcp


    []'s

  9. #9
    fserro
    Visitante

    Padrão Windows Media Player

    Danilo,

    Tentei bloquear a porta 1775/TCP e não consegui, segue abaixo o comando:

    iptables -A INPUT -p tcp --destination-port 1700:1760 -j DROP

    vc poderia me ajudar como faço esse bloqueio.

    Abs,

  10. #10
    felco
    Visitante

    Padrão Windows Media Player

    Mas ai vc nao esta bloqueando.......
    Faz isso no FORWARD

  11. #11
    Danilo_Montagna
    Visitante

    Padrão Windows Media Player

    mais pq vc esta fazendo isso no INPUT ??

    a regra tem que ser no FORWARD..

    a a porta é apenas a 1755 .. nao precisa barrar da 1700-1760

  12. #12
    fserro
    Visitante

    Padrão Windows Media Player

    Continua não funcionando.

    iptables -A FORWARD -p tcp --destination-port 1755 -j DROP


    Por exemplo, acessem o site do jornal O Dia www.odia.com.br
    nesta página tem duas rádios: FM O Dia e MPB fm eu quero bloquea-las na minha rede.

    Valeu...

  13. #13
    Danilo_Montagna
    Visitante

    Padrão Windows Media Player

    lembre-se que essa regra so ira funcionra se o SITE usa MMS sem HTTP..

    se o protocolo for HTTP para o streaming.... é so vc bloquear o site de destino para essa radio..

  14. #14
    fserro
    Visitante

    Padrão Windows Media Player

    SITE usa MMS sem HTTP e continua não funcionando.

    Abs,

  15. #15
    Danilo_Montagna
    Visitante

    Padrão Windows Media Player

    entao poste o retorno de suas regras de FORWARD .. pois seu firewal ldeve ter algum furo entre as regras..

    # iptables -nL FORWARD

  16. #16
    fserro
    Visitante

    Padrão Windows Media Player

    Essas são as regras de meu firewall:

    #!/bin/bash
    modprobe ip_tables
    modprobe ipt_state
    modprobe ip_conntrack
    modprobe ip_conntrack_ftp
    modprobe ipt_multiport
    modprobe iptable_filter
    modprobe ipt_mac
    modprobe ip_nat_ftp
    modprobe iptable_mangle

    echo "1">/proc/sys/net/ipv4/ip_forward
    iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 3128

    iptables -A INPUT -s 192.168.68.208 -p tcp --destination-port 22 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 22 -j DROP

    iptables -A INPUT -s 192.168.68.208 -p tcp --destination-port 21 -j ACCEPT
    iptables -A INPUT -s 192.168.68.208 -p udp --destination-port 21 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 21 -j DROP
    iptables -A INPUT -p udp --destination-port 21 -j DROP

    iptables -A INPUT -p tcp --destination-port 137:139 -j ACCEPT
    iptables -A INPUT -p udp --destination-port 137:139 -j ACCEPT
    iptables -A INPUT -p tcp --destination-port 80 -j DROP

    iptables -A FORWARD -p udp -s 192.168.68.0/24 -d 200.196.48.20 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 192.168.68.0/24 -d 200.196.48.21 --dport 53 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.196.48.20 --sport 53 -d 192.168.68.0/24 -j ACCEPT
    iptables -A FORWARD -p udp -s 200.196.48.21 --sport 53 -d 192.168.68.0/24 -j ACCEPT

    iptables -A FORWARD -p TCP -s 192.168.68.0/24 --dport 25 -j ACCEPT
    iptables -A FORWARD -p TCP -s 192.168.68.0/24 --dport 110 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 25 -j ACCEPT
    iptables -A FORWARD -p tcp --sport 110 -j ACCEPT

    iptables -A INPUT -p tcp -i 192.168.68.254 --dport 31337 -j DROP
    iptables -A INPUT -p udp -i 192.168.68.254 --dport 31337 -j DROP

    #Regra para proteger contra Trojans
    iptables -N TROJAN
    iptables -A TROJAN -m limit --limit 15/m -j LOG --log-level 6 --log-prefix "FIREWALL:trojan:"
    iptables -A TROJAN -j DROP
    iptables -A INPUT -p TCP -i 192.168.68.254 --dport 666 -j TROJAN
    iptables -A INPUT -p TCP -i 192.168.68.254 --dport 4000 -j TROJAN
    iptables -A INPUT -p TCP -i 192.168.68.254 --dport 6000 -j TROJAN
    iptables -A INPUT -p TCP -i 192.168.68.254 --dport 6006 -j TROJAN
    iptables -A INPUT -p TCP -i 192.168.68.254 --dport 16660 -j TROJAN

    # Regra para proteger contra worms
    iptables -A FORWARD -p tcp --dport 135 -i 192.168.68.254 -j REJECT
    iptables -A FORWARD -p tcp --dport 1025 -i 192.168.68.254 -j REJECT
    iptables -A FORWARD -p udp --dport 1025 -i 192.168.68.254 -j REJECT

    # Abre para a interface de loopback.
    # Esta regra é essencial para o KDE e outros programas gráficos funcionarem adequadamente.
    iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

    # Bloqueia uma porta de saída, tanto local quanto forward
    iptables -A OUTPUT -p TCP --dport 4000:5190 -j DROP
    iptables -A FORWARD -p TCP --dport 4000:5190 -j DROP
    iptables -A OUTPUT -p UDP --dport 4000:5190 -j DROP
    iptables -A FORWARD -p UDP --dport 4000:5190 -j DROP


    # Bloqueia uma porta de saída, tanto local quanto forward
    iptables -A OUTPUT -p TCP --dport 1863 -j DROP
    iptables -A FORWARD -p TCP --dport 1863 -j DROP
    iptables -A OUTPUT -p UDP --dport 1863 -j DROP
    iptables -A FORWARD -p UDP --dport 1863 -j DROP


    # Bloqueia uma porta de saída, tanto local quanto forward
    iptables -A OUTPUT -p TCP --dport 6699 -j DROP
    iptables -A FORWARD -p TCP --dport 6699 -j DROP
    iptables -A OUTPUT -p UDP --dport 6699 -j DROP
    iptables -A FORWARD -p UDP --dport 6699 -j DROP

    # Bloqueia as portas 135 e 445
    iptables -A OUTPUT -s 0/0 -d 0/0 -m tcp -m multiport -p tcp --dports 135,445 -j DROP

    # Bloqueia programas P2P
    # iMesh
    iptables -A FORWARD -d 216.35.208.0/24 -j REJECT

    # BearShare
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT

    # ToadNode
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT

    # WinMX
    iptables -A FORWARD -d 209.61.186.0/24 -j REJECT
    iptables -A FORWARD -d 64.49.201.0/24 -j REJECT

    # Napigator
    iptables -A FORWARD -d 209.25.178.0/24 -j REJECT

    # Morpheus
    iptables -A FORWARD -d 206.142.53.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT

    # KaZaA
    iptables -A FORWARD -d 213.248.112.0/24 -j REJECT
    iptables -A FORWARD -p TCP --dport 1214 -j REJECT
    iptables -A INPUT -m string --string "X-Kazaa" -j DROP

    # Limewire
    iptables -A FORWARD -p TCP --dport 6346 -j REJECT

    #Audiogalaxy
    iptables -A FORWARD -d 64.245.58.0/23 -j REJECT

    iptables -A FORWARD -s 192.168.68.0/24 -d 64.233.171.85 -j REJECT
    iptables -A OUTPUT -s 192.168.68.0/24 -d 64.233.171.85 -j REJECT

    # Bloquear MSN Messenger
    iptables -A FORWARD -s 192.168.68.0/24 -p tcp --dport 1863 -j DROP

    # iptables -A FORWARD -s 192.168.68.0/24 -d loginnet.passport.com -j DROP
    iptables -A FORWARD -p TCP --dport 1863 -j DROP
    iptables -A FORWARD -d 64.4.13.0/24 -j DROP

    # Bloquear Yahoo Messenger
    iptables -A FORWARD -d cs.yahoo.com -j DROP
    iptables -A FORWARD -d scsa.yahoo.com -j DROP

    # Bloquear KaZaA
    iptables -A FORWARD -d 213.248.112.0/24 -j DROP
    iptables -A FORWARD -p TCP --dport 1214 -j DROP

    # Bloqueio do ICQ
    iptables -A FORWARD -p TCP --dport 5190 -j DROP
    iptables -A FORWARD -d login.icq.com -j DROP

    iptables -A FORWARD -s 200.226.124.8 -j DROP

    iptables -A INPUT -p tcp --syn -s 192.168.68.0/255.255.255.0 -j ACCEPT

    # Protecoes diversas contra portscanners, ping of death, ataques Dos, etc.
    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -p tcp -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
    iptables -A FORWARD --protocol tcp --tcp-flags ALL SYN,ACK -j DROP
    iptables -A INPUT -m state --state INVALID -j DROP

    # Proteção Contra IP Spoofing
    iptables -A INPUT -s 10.0.0.0/8 -i eth0 -j DROP
    iptables -A INPUT -s 172.16.0.0/16 -i eth0 -j DROP
    iptables -A INPUT -s 192.168.0.0/24 -i eth0 -j DROP

    #Regra para aceitar ping da minha maquina
    # iptables -A INPUT -p icmp -j DROP
    # iptables -A INPUT -s 192.168.68.208 -p icmp -j ACCEPT

    #Regra para bloquear ping
    iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
    echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

    # Bloqueio de pings externos
    iptables -A OUTPUT -p icmp -j DROP

    iptables -A FORWARD -p tcp --destination-port 1755 -j DROP
    iptables -A FORWARD -p udp --destination-port 1755 -j DROP

    iptables -A FORWARD -m unclean -j DROP

    iptables -A INPUT -p tcp --syn -j DROP
    iptables -A INPUT -i eth0 -p udp --dport 0:30000 -j DROP

  17. #17
    Danilo_Montagna
    Visitante

    Padrão Windows Media Player

    vc postar seu script inteiro aqui nao ajuda muito..

    eu quero apenas o retorno do comando:

    iptables -nL FORWARD

  18. #18
    fserro
    Visitante

    Padrão Windows Media Player

    Segue o que vc me pediu:

    proxy:~# iptables -nL FORWARD
    Chain FORWARD (policy ACCEPT)
    target prot opt source destination
    ACCEPT udp -- 192.168.68.0/24 200.196.48.20 udp dpt:53
    ACCEPT udp -- 192.168.68.0/24 200.196.48.21 udp dpt:53
    ACCEPT udp -- 200.196.48.20 192.168.68.0/24 udp spt:53
    ACCEPT udp -- 200.196.48.21 192.168.68.0/24 udp spt:53
    ACCEPT tcp -- 192.168.68.0/24 0.0.0.0/0 tcp dpt:25
    ACCEPT tcp -- 192.168.68.0/24 0.0.0.0/0 tcp dpt:110
    ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:25
    ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp spt:110
    REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:135 reject-
    with icmp-port-unreachable
    REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1025 reject
    -with icmp-port-unreachable
    REJECT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1025 reject
    -with icmp-port-unreachable
    ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
    LISHED
    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpts:4000:5190
    DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpts:4000:5190
    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863
    DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1863
    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6699
    DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:6699
    REJECT all -- 0.0.0.0/0 216.35.208.0/24 reject-with icmp-po
    rt-unreachable
    REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject
    -with icmp-port-unreachable
    REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject
    -with icmp-port-unreachable
    REJECT all -- 0.0.0.0/0 209.61.186.0/24 reject-with icmp-po
    rt-unreachable
    REJECT all -- 0.0.0.0/0 64.49.201.0/24 reject-with icmp-po
    rt-unreachable
    REJECT all -- 0.0.0.0/0 209.25.178.0/24 reject-with icmp-po
    rt-unreachable
    REJECT all -- 0.0.0.0/0 206.142.53.0/24 reject-with icmp-po
    rt-unreachable
    REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject
    -with icmp-port-unreachable
    REJECT all -- 0.0.0.0/0 213.248.112.0/24 reject-with icmp-po
    rt-unreachable
    REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214 reject
    -with icmp-port-unreachable
    REJECT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6346 reject
    -with icmp-port-unreachable
    REJECT all -- 0.0.0.0/0 64.245.58.0/23 reject-with icmp-po
    rt-unreachable
    REJECT all -- 192.168.68.0/24 64.233.171.85 reject-with icmp-po
    rt-unreachable
    DROP tcp -- 192.168.68.0/24 0.0.0.0/0 tcp dpt:1863
    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1863
    DROP all -- 0.0.0.0/0 64.4.13.0/24
    DROP all -- 0.0.0.0/0 216.136.233.128
    DROP all -- 0.0.0.0/0 216.136.233.138
    DROP all -- 0.0.0.0/0 216.136.226.208
    DROP all -- 0.0.0.0/0 216.136.233.137
    DROP all -- 0.0.0.0/0 213.248.112.0/24
    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1214
    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:5190
    DROP all -- 0.0.0.0/0 205.188.153.121
    DROP all -- 200.226.124.8 0.0.0.0/0
    ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 8 limit:
    avg 1/sec burst 5
    ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 limit: avg 1/sec bu
    rst 5
    ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTAB
    LISHED
    ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x17/0x04
    limit: avg 1/sec burst 5
    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x3F/0x12

    DROP tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:1755
    DROP udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:1755
    DROP all -- 0.0.0.0/0 0.0.0.0/0 unclean
    proxy:~#


    Abs,

  19. #19
    Danilo_Montagna
    Visitante

    Padrão Windows Media Player

    alguns pontos importantes que gostaria de citar..

    1 - sua police default esta em ACCEPT.. e vc tem pelo menos umas 50 linhas com REJECTS e DROPS.. e umas 6 linhas dando ACCEPT..

    eu aconselharia vc deixar a police em DROP e apenas deixar no script essas 6 linhas com ACCEPT.. nao vejo necessidade de fazer como vc esta fazendo.. so complica a administracao de um firewall..

    2 - AS regras de DROP da porta 1755 esta listadas como as ultimas regras dessa CHAIN.. provavelmente para estar passando ainda o mms.. é pq tem alguma regra antes dessa checando.. e liberando o pacote..

    o ideal mesmo é vc deixar sua POLICE em DROP .. e so ter regras de ACCEPT em sua chain.. isso ira econimizar tempo e administracao.. e provaveis furos que possam existir por ordem de regras na chain..