Bloqueando MSN, orkut, trojans e mais

Neste tutorial você verá como bloquear esses serviços com apenas o iptables, facilitando a vida de quem não usa proxy no ambiente de rede local, vale à pena ler e usar.

rommelhc

Por Rommel Campos de Araújo em 21/03/2008

Hits: 21.564 Categoria: Linux Subcategoria: Firewall

Introdução

Bloqueando ORKUT

Começaremos pelo bloqueio do ORKUT, inimigo número 1 (juntamente com o MSN) dos administradores de rede. Usando as regras do iptables, ficará assim:

#Bloqueio de orkut.com
iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
iptables -A FORWARD -d www.orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP

Será preciso adicionar os dois, pois às vezes o orkut conecta-se como orkut.com ou www.orkut.com, por medida de precaução, bloqueie os 2.

Passo a passo:

iptables -A FORWARD (Adiciona a regra na tabela FORWARD);
-d www.orkut.com -s 192.168.0.0/24 (Bloqueia o acesso de www.orkut.com a rede inteira);
-p tcp --dport 80 (Protocolo usado TCP para a porta 80);
-j DROP (Anular o pedido);
192.168.0.0/24 (será substituído pela sua faixa de IP, caso seja a mesma não precisa alterar).

Bloqueio de MSN

O bloqueio do MSN será feito da seguinte forma, usando as regras do iptables, ficará assim:

Particularmente fiz bloqueio de toda e qualquer possibilidade de conexão do MSN, mas consegui apenas bloqueando o gateway e a porta de conexão.

#O Messenger pode usar esse gateway sobre HTTP, caso você já tenha bloqueado
# a porta de conexão
iptables -A FORWARD -d gateway.messenger.hotmail.com -p tcp --dport 80 -j REJECT

#Autenticação HTTP para o Windows Live ID
iptables -A FORWARD -d login.live.com -p tcp --dport 80 -j REJECT

#Obtenção da lista de contatos
iptables -A FORWARD -d contacts.msn.com -p tcp --dport 80 -j REJECT

#Armazenamento do quadro do usuário (HTTP DAV) e aquisição de imagens do
#Windows Live Space de um usuário
iptables -A FORWARD -d storage.msn.com -p tcp --dport 80 -j REJECT

#Para definir um ID exclusivo e anônimo para um usuário personalizar a
#experiência do Windows Live
iptables -A FORWARD -d c.msn.com -p tcp --dport 80 -j REJECT

#Várias operações principais do messenger
iptables -A FORWARD -d messenger.msn.com -p tcp --dport 80 -j REJECT

#URLs de redirecionamento usadas no rastreamento do início do URL de
#uma página específica para sites da Microsoft
iptables -A FORWARD -d g.msn.com -p tcp --dport 80 -j REJECT

#Várias operações principais do messenger, bloqueio para a porta 1863
iptables -A FORWARD -d messenger.hotmail.com -p tcp --dport 1863 -j REJECT

#Várias operações principais do Messenger. Por exemplo, servidores de eco
#usados para estabelecer conectividade direta entre dois clientes do messenger
#para comunicação ponto-a-ponto quando os clientes estiverem protegidos
#por um firewall
iptables -A FORWARD -d edge.messenger.live.com -p TCP --dport 80 -j REJECT

#Bloqueio da porta 443 Entrada no serviço Messenger
iptables -A FORWARD -p TCP --dport 443 -j REJECT

#Bloqueio de porta 1863 entrada no serviço Messenger
iptables -A FORWARD -p TCP --dport 1863 -j REJECT

#Endereço de conexão MSN
iptables -A FORWARD -d 64.4.13.0./24 -j REJECT

Fazendo isso você terá total bloqueio do MSN, apenas usando o IPTABLES.

Bloqueio de acesso a TROJAN

As regras abaixo bloqueiam acesso as portas que os TROJANS usam para conexão em rede.

As tabelas serão adicionadas às regras nas tabelas INPUT e FORWARD.

iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 666 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 666 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 4000 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 4000 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 6000 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 6000 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 6006 -j REJECT
iptables -A FORWARD -s 192.168.0.0/24 -p TCP --dport 1660 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 6006 -j REJECT
iptables -A INPUT -s 192.168.0.0/24 -p TCP --dport 1660 -j REJECT

Bloqueio a acessos P2P

Evite também o excesso de tráfego desnecessário na sua rede, com programas p2p.

#iMesh
iptables -A FORWARD -d 216.35.208.0/24 -j DROP

#BearShare
iptables -A FORWARD -p TCP --dport 6346 -j DROP

#WinMX
iptables -A FORWARD -d 209.61.186.0/24 -j DROP
iptables -A FORWARD -d 64.49.201.0/24-j DROP

#KaZaa
iptables -A FORWARD -d 213.248.112.0/24 -j DROP
iptables -A FORWARD -p TCP --dport 1214 -j DROP

Páginas do artigo

1. Introdução

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Estrutura do IPTables 2: a tabela nat

Como construir um firewall de baixo custo para sua empresa (parte 3)

Firewall funcional de fácil manipulação

Criando DMZ com o PFSense

Conexões redundantes e com balanceamento de carga - Ubuntu 9.04

Comentários

#1 Comentário enviado por denirow em 21/03/2008 - 12:16h

Muito bom ... vou testar :)

#2 Comentário enviado por Lotus666 em 21/03/2008 - 12:21h

melhor nao bloquear a porta 443 pq ae vc tb vai estar bloqueando o protocolo https, e sites que o usem nao irão abrir.

#3 Comentário enviado por powerd0wn em 21/03/2008 - 14:47h

Falae rommelhc, blz?

Cara, não querendo te desanimar, mas...
... essas dicas suas ae não funcionam não, viu? =P

Pesquise sobre: proxies públicos, http-tunneling, icmp-tunneling, dns-tunneling etc... Tem muita coisa pra se burlar esses controles simples.

E outra... os "p2p" fazem coisas que você não imagina pra burlar esses controles.

Pesquise mais sobre iptables, e tente desenvolver políticas restritivas, como negar tudo e autorizar somente o necessário, procurando especificar portas, origens e destino explicitamente.

Atenciosamente,

Rodrigo Martins

#4 Comentário enviado por elgio em 21/03/2008 - 16:06h

Concordo com Rodrigo.

São medidas, como diria, infantis.
Facilmente burláveis.

Tu só consegue controlar MELHOR com o uso de proxy e iptables.

E ainda tem que ficar brincando de caçar novos proxies todo o dia que os caras descobrem. Minha lista já tá CHEINHA de proxies e mais proxies...

Meu sistema completo inclui:
a) squid para bloquear por ACL

b) analise de logs para contabilizar os sites TOP+ visitados, descartando os conhecidos (pq um proxy NOVO recem descoberto tem muita chance de figurar nos TOP+ do dia :-D)

c) Uma acl PROIBINDO acesso por http://NUMERO-IP (90% dos proxies nao tem DNS)

d) iptables para bloquear HTTPS proxies

e) cruzamento de logs de resolucao de nomes com acesso porta 443. Exemplo: ontem mesmo peguei um IP estranho no HTTPS, que nao conhecia. Consultando mues logs de DNS vi que este IP fora uma resposta para a consulta do proxy MEEBO. Bingo. Mais um IP que eu nao conhecia e que passou a ser bloqueado.

Isto tem funcionado, mas requer ficar SEMPRE ALERTA.

Ah, e quanto a p2p, ai é complicado mesmo. Tem o layer7 do iptables que dá uma BELA ajuda (descrito em um artigo mais abaixo deste)

#5 Comentário enviado por fabiobarby em 22/03/2008 - 13:41h

Também acho que não resolve nem 10% do problema...

Aproveite as dicas da galera ae acima, e pesquisa também sobre blacklists, de como usar elas, como desenvolver, etc...

Ae você verá que somente bloquear "www.orkut.com" não resolve...

Mas sua intenção é bem vinda!

Parabéns...

#6 Comentário enviado por Thiago Madella em 22/03/2008 - 16:19h

Valeu pela dica,,,sua intenção é valida.
Parabéns.

#7 Comentário enviado por sdrconsulting em 22/03/2008 - 16:20h

Amigão,

Sem querer ser chato, mais o seu "Artigo" não tem o formato de um Artigo, está mais para uma DICA. As regras que você colocou ai não funcionam corretamente. Aproveite as dicas da galera e reescreva seu artigo com as melhorias propostas.

Se quiser bater um papo, estou a disposição: msn: sylvio@sdrconsulting.com.br

Abs.

#8 Comentário enviado por leoberbert em 22/03/2008 - 20:04h

O Ruim de bloquear a porta 443 é apenas a rede não conseguir abrir paginas de banco heheheh.

#9 Comentário enviado por joseslei em 22/03/2008 - 21:18h

?comentario=
Otimo tutorial. valew

#10 Comentário enviado por exercitobr em 24/03/2008 - 10:51h

Parabéns, excelente pesquisa e estudo. Os detalhes levantados pelos companheiros são válidos. Parabéns pelo estudo.

#11 Comentário enviado por fideljunior em 25/03/2008 - 15:08h

Ola! Sou usuario iniciante do Linux, estou aprendendo na distribuição Red Hat 9 server. Testei esses scripts postados aqui e funcionaram perfeitamente. (Usei o bloqueio de paginas, que nesse artigo esta como exemplo o orkut)
Tudo funcionou muito bem... Nao sei se é recomendavel que eu diga mas quando for usar esses comandos tem que digita antes /sbin
ex: /sebin/iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP
Somente dessa maneira eles vao funcionar!
Valeu!

#12 Comentário enviado por fideljunior em 25/03/2008 - 15:10h

ops! escrevi errado...
/sbin/iptables -A FORWARD -d orkut.com -s 192.168.0.0/24 -p tcp --dport 80 -j DROP

#13 Comentário enviado por macvitor em 25/03/2008 - 17:21h

elgio,
posta ai sua lista de open proxies pra ajudar a galera.
flw!!!

#14 Comentário enviado por elgio em 25/03/2008 - 17:43h

hehehehe.

Eu uso por RegEx porque algumas palavras pegam N urls só elas.
E por RegEx pego até pesquisa do google!

O cara pesquisa no google "Como burlar orkut" e cai no bloqueio! hehehehehe

#15 Comentário enviado por glaucio_klipel em 26/03/2008 - 12:39h

hehehe pra mim funcionou bloqueando por strings e também bloqueando TODO O TRÁFEGO e liberando soh o necessario, como foi dito antes.

realmente, bloquear p2p e msn eh um caso meio serio, nao eh tao simples, mas as suas regras claramente podem ajudar sim!

abraçao!

#16 Comentário enviado por renatogrosz em 11/12/2008 - 12:50h

Eu configurei minha rede da seguinte forma (squid + iptables):

Em primeiro lugar:
Bloquei todo forward (ninguem transpassa o firewal)

Depois, liberei forward ao computador do dono da empresa.

Liberei o forward (a todas as máquinas da rede) aos "enderecos confiaveis" (itau, safra, certificados digitais, atualizações gerais)

o AVG tava dando trabalho, então verifiquei que o mesmo permite cadastrar proxy nas configurações dele.
Criei uma conta no squid, (é bom não usuar a sua).

O sistema office Bank do safra usa as configurações do internet explorer, então fiz um atalho na area de trabalho do usuario para ele utilizar quando quer navegar e quando quer usar o banco, o que ele faz é acionar um arquivo com extensão .reg que muda as configurações do internet explorer, depois chama ou o IE ou o sistema do banco dependendo do caso. Se usuario é menos cri-cri, dá para utilizar o Mozzila com o proxy configurado e deichar o IE quieto e escondido. Para o acesso ao e-mail eu permito o forward na porta.

Assim que eu tenho resolvido algumas situações.

O Skype está passando, eu ainda nao descobri porque.

A proposito: sobre colocar ou não o caminho completo para acionar o iptables (ou qualquer outro) dentro do script
É interessante porque se alguem tiver acesso ao seu unix (que provavelmente tem ssh aberto) ele pode chamar um iptables qualquer, inclusive no diretorio corrente, que talvez o atacante ja tenha acesso.

#17 Comentário enviado por rbn24 em 28/01/2009 - 20:58h

Bom kara gostei muito mas stou com um problema como faço para bloquear o Skype pois eu uso o IPCOP, pois para o MSN é so bloquear a porta mas o skype sai de qualquer forma, e gostaria de saber como faço para bloquea-lo, alguer ajuda serve.