[FUG-BR] liberar ip específico via ipfw
Paulo Henrique
paulo.rddck em bsd.com.br
Domingo Junho 3 16:07:24 BRT 2012
Em 3 de junho de 2012 17:13, William Inocencio
<williaminocencio em yahoo.com>escreveu:
> Thays,
>
> Não é mais fácil você liberar o acesso das máquinas e depois fazer um deny
> all ?
> Quem fizer o match será bloqueado ou permitido.
>
> maquinas="10.0.0.4 10.0.0.6"
>
> for ip in maquinas
> do
> allow tcp from $ip to any dst-port 1863
> done
>
> deny tcp from 10.0.0.0/8 to any 1863
>
>
>
Saudações,
Bom vejo que há varios fatores que fará o objetivo não ser alcançado.
Primeiro,
A rede do facebook não é constituido de apenas um unico CIDR.
Segundo,
Falta de considerações quanto aos proxies.
Terceiro,
Falta compreensão quanto ao modo cujo com exceção do packet filter
considera as regras.
Respostas.
Primeiro.
Segue o retorno de uma consulta whois sobre o AS do Facebook.
69.171.224.0 - 69.171.255.255
74.119.76.0 - 74.119.79.255
204.15.20.0 - 204.15.23.255
66.220.144.0 - 66.220.159.255
69.63.176.0 - 69.63.191.255
2620:0:1C00:: - 2620:0:1CFF:FFFF:FFFF:FFFF:FFFF:FFFF
173.252.64.0 - 173.252.127.255
Se uma unica rede ficar aberta, o acesso poderá ser feito atraves de outros
dominios, como:
faceboook.com.uk, facebook.com.jp e outros,
Segundo,
Para dar um fim quanto aos proxies eu aconselho a usar o squid junto com
dansguardian ou squidguard,
Segue abaixo uma lista de palavras que permite dar um fim na utilização de
proxies para varios serviços.
------------------------------Inicio Lista SquidGuard
--------------------------------------------------
hotmail|conversation-window|ebuddy|messenger|live|e-messenger|
onlinemessenger|iloveim|siteburg|audiowatcher|msnger|
bhi|imaginarlo|messbrasil|msn2go|messenger-online|
msnanywhere|web2messenger|meebo|phonefox|imhaha|safehazard|cooltunnel|calculatepie|.comunicationtube|
MINGLE|prox|webproxy|atenmee|freevarcheap|apeoixy|wearephoenix|isuzuforums|
ambrosiasw|newyorkjets|motime|talibkweli|plexapp|chiefdelph|buddy
-----------------------------Fim lista squidguard
------------------------------------------------------------
Terceiro e o erro principal, compreender como um firewall funciona, e suas
limitações.
Primeiro, com excessão do packet filter, todos os demais firewall a regra
que o pacote coincidir sofrerá a ação do mesmo.
Em resumo se o pacote coincide com a primeira regra ( posição da regra
baseado nos numeros ) então este será a ação aplicada ao pacote.
Para não extender o que já está por demais DOCUMENTADO, segue em resumos
regras stateless que em conjunto com o filtro de url resolverá o problema,
considere que o padrão do firewall é OPEN aqui, que em resumo se não há
excessão de bloqueio a ação final será liberar.
ipfw add 0010 deny all from any to 69.171.224.0 - 69.171.255.255 via WAN
ipfw add 0011 deny all from any to 74.119.76.0 - 74.119.79.255 via WAN
ipfw add 0012 deny all from any to 204.15.20.0 - 204.15.23.255 via WAN
ipfw add 0013 deny all from any to 66.220.144.0 - 66.220.159.255 via WAN
ipfw add 0014 deny all from any to 69.63.176.0 - 69.63.191.255 via WAN
ipfw add 0015 deny all from any to 173.252.64.0 - 173.252.127.255 via WAN
para bloquear o MSN, considerando que a sua rede interna seja 10.0.0.0/8
ipfw add 0016 deny all from 10.0.0.0/8 to any 1863 via LAN
e para não deixar ninguem puto por que não consegue acessar a internet,
ipfw add 65535 allow all from any to any via LAN ( se o sistema estiver com
IPFIREWALL _DEFAULT_TO_ACCEPT ) configurado no kernel nao será necessário
se preocupar com a ultima regra, porem embora trabalhoso manter o firewall
fechado é muitas vezes melhor do que tentar deixar ele aberto.
Configure o Proxy em modo transparente que as conexões dos MSNs tentará
tanto pela porta 80 como pela 443 e mesmo assim não será possivel pois será
pego pelo squidguard.
Não é dificil só é chato ter que ficar monitorando.
Agora de nada disso serve se a sua empresa não tem politica de segurança
claramente definidas e normas de uso plenamente implantadas com direto de
demissão por justa causa caso não as respeite.
Resumo, demite 3 por justa causa e verá todos depois seguinte a regra :D
Att.
--
:=)><(=:
Flamers > /dev/null !!!
Mais detalhes sobre a lista de discussão freebsd