REN
2004-09-22, 04:12 PM
請問 iptables 如何有效封鎖MSN,但要保留可以上網,最好連其他的線上聊天也封鎖,請問有沒有人有這方面的經驗
贊助商連結
贊助商連結
|
贊助商連結 頁 :
[1]
2
REN 2004-09-22, 04:12 PM 請問 iptables 如何有效封鎖MSN,但要保留可以上網,最好連其他的線上聊天也封鎖,請問有沒有人有這方面的經驗 贊助商連結 rushoun 2004-09-22, 04:43 PM 一個定律建議您,開放特定的port,關閉其他所有的port。 只是要慢慢的測試,寫規則時也要注意一些漏洞。 太過於設限會不方便,太鬆又會怕有危險。 不妨上鳥哥的網站看一下吧!http://linux.vbird.org/ cool38 2004-09-23, 12:52 AM google一下人家寫好的iptable當作example來改也不錯啦 :D MSN的port我印象好像是亂跑的~ :D 自己netstat一下吧!!! cheerx 2004-09-23, 12:23 PM 封鎖SERVER位置會比PORT理想吧!難道要連PORT 80都關起來? disabledman 2004-09-23, 12:31 PM 但是如 ICQ & MSN 有官方的 WEB 版.. 就防不到囉! facers 2004-09-23, 01:08 PM 最初由 disabledman 發表 但是如 ICQ & MSN 有官方的 WEB 版.. 就防不到囉! 把Server的IP給封掉就好啦:D teddychu 2004-09-24, 12:36 AM 網路上這種資料多到不行... 真的找不到,去Study-Area搜尋看看一定有...:) linux_xp 2004-09-24, 08:18 PM 一般防火牆的規則 --------------------------------- 1.第一步就是先鎖掉所有port,預設所有封包都drop丟棄 2.然後再開放特定port,例如:port80,供瀏覽網頁找資料用 但是這樣還是會有安全性弱點 就是有些軟體,並非瀏覽器,卻能夠通過port80,與外部網路連線 甚至是使用者自己在遠端架中繼台 port80進去後,再轉到任何port出去 那麼封鎖到剩下port80,就一點意義也沒有了 如果所有工作站台,使用者只能用user權限登入,而無法安裝軟體 那麼這個問題到也不大 但如果使用者具有Power users以上的權限 便有可能通過下載,來安裝這類有害內部資訊安全的軟體 其實最佳的解決方案,也是最簡單的.... 那就是 proxy server 1.所有工作站台,閘道器的設定都拿掉,禁止設定閘道器 並且在閘道器那邊,也不允許所有內部網路電腦連出 2.沒有閘道器的設定,內部電腦等於和外部網路斷絕 但不會影響區域網路傳輸,因為區域網路的傳輸是不過閘道器的 3.那麼既然內部電腦和外部網路斷絕了,是要怎麼瀏覽網頁呢? 這個就是關鍵了.... 非常簡單,就是在內部架一台 proxy server 所有工作站台,瀏覽器都指定透過那台proxy server上網 這樣就可以上網瀏覽網頁了 4.這麼做的好處是 安全性高,且因為是透過proxy上網,所以也可以減少流量,一舉數得 dou0228 2004-09-25, 12:33 AM iptables 有一個 string 的 match module 可以用. iptables -t mangle -A POSTROUTING -m string --string 'X-MMS-IM-FORMAT' -j DROP 這樣除了掛 ssh tunnel, 或者會加密/壓縮之外的連線, MSN 通通檔住啦.. teddychu 2004-09-25, 12:50 AM Dou 這招厲害!!:D |
|
|