Bloqueo a determinados servicios

[GLazkano]

Buenas,
Acabo de estar revisando la lista de requisitos que se me ha dado para implementar en el firewall, y algunos de ellos son del estilo 'bloquear el uso de programas de mensajería instantánea'. Lógicamente he de buscar los puertos a los cuales quiero cortar el acceso, pero me gustaría saber dónde he de habilitar esas reglas en las que especificaré que se han de rechazar todas las conexiones al puerto X desde las redes internas hasta Internet.

He revisado las secciones del cortafuegos, pero las opciones de permitir o denegar 'any TCP' o 'any UDP' no me solucionan nada ya que he de especificar dichos puertos para no dejar sin acceso al resto de servicios.

Muchas gracias.

[sixstone]

Lo que debes hacer es crear servicios con aquellos puertos que quieres bloquear y después añadir reglas en el cortafuegos para denegar tráfico de ese servicio en cuestión.

Gracias.

[GLazkano]

Gracias una vez más.

Ahora la pelea la tendré para conseguir bloquear el MSN Messenger, que por algún motivo se me está resistiendo a ser bloqueado.

Como ya he dicho: gracias.

[luch0]

Hola GLazkano, el messenger es un bicho dificil de bloquear peor no imposible Si bloqueas el puerto 1863 el messenger sale por el puerto 80 o 443... y es dificil hoy dia tener una PC sin salida a http o https. El secreto esta en hacerle creer al messenger que el servicio esta caido, no se si es posible hacerlo desde eBox... la tecnica con iptables consiste en DROPEAR los paquetes con puerto destino 1863, o bien hacer un direccionamiento a un IP inexistente... esto daria un time out al paquete y el msn supondria que no esta disponible el servicio en hotmail.

Saludos.

[sixstone]

Hola Luch0 .

El cortafuegos en eBox tiene como regla por defecto desechar (DROP) paquetes. Así que si funciona la técnica que dices esta será soportada en eBox .

Un saludo.

[GLazkano]

Gracias por vuestras respuestas.

De momento me están retrasando las pruebas 'reales' así que nada de lo que haga me servirá para sacar conclusiones, pero tendré en cuenta todo lo que habeis aportado.

[Pfff]

Hola Luch0 .

El cortafuegos en eBox tiene como regla por defecto desechar (DROP) paquetes. Así que si funciona la técnica que dices esta será soportada en eBox .

Un saludo.

Hola,

y como puedo hacer para dropear el servicio msn que he creado?

[rafsalber]

Para bloquear el MSN tengo implementeado en mis firewall dos herramientas:
- En el firewall: Bloqueas los puertos 1863, 5190, 6891:6900, y 6901
- En el proxy SQUID hay que añadir estas líneas en squid.conf
  #acl CONNECT method CONNECT
  #acl msn_url url_regex -i gateway.dll
  #acl msn_url url_regex -i ADSAdClient31.dll
  #acl msnmessenger req_mime_type ^application/x-msn-messenger$
  #acl msn_port port 1863
  #acl msn_method method POST
  #acl MSN_Messenger browser ^Mozilla.compatible;.MSN Messenger.
  #acl hotmail src 192.168.0.0/24
  #http_access deny MSN_Messenger
  #http_access deny msnmessenger
  #http_access deny msn_method msn_url
  #http_access deny msn_port
  #http_access deny hotmail
  #http_access deny CONNECT msn_port

[cabildocl]

el msn se bloquea de la siguiente manera en ebox

TCP/UDP    cualquiera       1863     
TCP/UDP    cualquiera    6891:6900   
TCP/UDP    cualquiera    6901   


ademas debe bloquear en el proxy

application/x-msn-messenger

saludos

[jose_andres04]

He tratado de realizar el bloqueo con ebox pero no encuentro la forma; como bloqueo los puertos a los que haces mencion?? he tratado de redireccionarlos mediante el Port Fordwarding de ebox hacia una ip inexistente para simular que el servicio no está activo; sin embargo el windows live messenger sigue funcionando