linux_xp
2006-04-10, 11:59 PM
請問linux_XP兄,依您所言,那是不是可以把非標準封包排除,就應該
能做到基本的防堵效果?也就是我們只接受標準格式的封包,其他的就把
他丟棄,這樣會不會有一些副作用?
舉個例子,比方說這篇:
有沒有可以阻擋 SKYPE 的方法? (http://www.pczone.com.tw/vbb3/showthread.php?t=109361)
這種情況容易發生在公司環境
一台好的頻寬管理器,它不僅要能 QoS,防火牆更是重要
因為公司老闆不喜歡看到員工上班在哪裡 msn,skype,icq,qq....之類的
簡單的說,就是除了查網頁資料,其它一律禁止
曾經作過網管或 MIS 的,應該都能感同深受吧
其它 unix 如 FreeBSD 是否有 L7-filter,不是很清楚
不過 Linux 有一個 L7-filter 的計畫:
http://l7-filter.sourceforge.net/
http://home.pchome.com.tw/art/linux2005/images/web/pczone/coyote/l7-filter003.gif
由免費路由器 Coyote (嵌入式 Linux 的一種) 的樣式檔來看
skype 的 L7 過濾是有支援的
但這個是不是永久有效,還是只限於舊版的 skype 的,誰也說不準
軟體都是會進化,所謂「道高一尺,魔高一丈」
假如真的如討論所說
skype 的傳輸原理是這麼的先進,那麼擋不住也只是早晚的問題罷了
當軟體進化後
L7-filter 也必須更新樣式檔 (比對資料庫) 來適應新軟體,否則就會失效
而樣式檔的來源,只能由 L7-filter 計畫下載,或是自己作
換句話說
假如有一個軟體 (Application),會亂鑽 port,且沒有固定 server IP
L7-filter 計畫組織,目前沒有相關的支援樣式檔
而使用者又沒有能力自己分析封包內容,製作樣式檔
那麼表面上似乎也只能眼巴巴看著軟體通過了
因為連 L7-filter 這種最先端的過濾技術,都無法檔了
那麼天底下還有什麼技術能檔的.....除非拔掉網路線:|||:
不過呢,山不轉路轉,路不轉人轉
既然那些軟體這麼厲害,只好使出終極手段了
1.首先,封到剩 port 80、443
2.針對會使用 port 80、443 的軟體,利用 L7-filter 過濾
只取出 http 和 https 的封包放行,其餘通通丟棄
理論上,這樣子就能達到「除了查網頁資料,其它一律禁止」的要求
不過我沒實驗過,僅是理論
在公司的環境,是拿人錢財替人辦事,老闆怎麼說,我們就怎麼作
如果老闆或客戶有這樣要求,是不錯的解決方案
或者可以說,是唯一有效的方法
不然像有些 P2P 或聊天軟體,都採加密傳輸了,根本檔不了
就會很傷腦筋
但如果是家裏或宿舍這樣搞,可能不太適合
因為這是採用防火牆的原則:封鎖全部(drop 全部),允許特定
真的是除了看網頁,其它都不行
但這樣肯定會被抗議
若要 e-mail 或其它有的沒的服務,就必須一一加入放行
搞到來設定一大堆,就會變得很複雜很麻煩,有點小題大作的感覺
:)
能做到基本的防堵效果?也就是我們只接受標準格式的封包,其他的就把
他丟棄,這樣會不會有一些副作用?
舉個例子,比方說這篇:
有沒有可以阻擋 SKYPE 的方法? (http://www.pczone.com.tw/vbb3/showthread.php?t=109361)
這種情況容易發生在公司環境
一台好的頻寬管理器,它不僅要能 QoS,防火牆更是重要
因為公司老闆不喜歡看到員工上班在哪裡 msn,skype,icq,qq....之類的
簡單的說,就是除了查網頁資料,其它一律禁止
曾經作過網管或 MIS 的,應該都能感同深受吧
其它 unix 如 FreeBSD 是否有 L7-filter,不是很清楚
不過 Linux 有一個 L7-filter 的計畫:
http://l7-filter.sourceforge.net/
http://home.pchome.com.tw/art/linux2005/images/web/pczone/coyote/l7-filter003.gif
由免費路由器 Coyote (嵌入式 Linux 的一種) 的樣式檔來看
skype 的 L7 過濾是有支援的
但這個是不是永久有效,還是只限於舊版的 skype 的,誰也說不準
軟體都是會進化,所謂「道高一尺,魔高一丈」
假如真的如討論所說
skype 的傳輸原理是這麼的先進,那麼擋不住也只是早晚的問題罷了
當軟體進化後
L7-filter 也必須更新樣式檔 (比對資料庫) 來適應新軟體,否則就會失效
而樣式檔的來源,只能由 L7-filter 計畫下載,或是自己作
換句話說
假如有一個軟體 (Application),會亂鑽 port,且沒有固定 server IP
L7-filter 計畫組織,目前沒有相關的支援樣式檔
而使用者又沒有能力自己分析封包內容,製作樣式檔
那麼表面上似乎也只能眼巴巴看著軟體通過了
因為連 L7-filter 這種最先端的過濾技術,都無法檔了
那麼天底下還有什麼技術能檔的.....除非拔掉網路線:|||:
不過呢,山不轉路轉,路不轉人轉
既然那些軟體這麼厲害,只好使出終極手段了
1.首先,封到剩 port 80、443
2.針對會使用 port 80、443 的軟體,利用 L7-filter 過濾
只取出 http 和 https 的封包放行,其餘通通丟棄
理論上,這樣子就能達到「除了查網頁資料,其它一律禁止」的要求
不過我沒實驗過,僅是理論
在公司的環境,是拿人錢財替人辦事,老闆怎麼說,我們就怎麼作
如果老闆或客戶有這樣要求,是不錯的解決方案
或者可以說,是唯一有效的方法
不然像有些 P2P 或聊天軟體,都採加密傳輸了,根本檔不了
就會很傷腦筋
但如果是家裏或宿舍這樣搞,可能不太適合
因為這是採用防火牆的原則:封鎖全部(drop 全部),允許特定
真的是除了看網頁,其它都不行
但這樣肯定會被抗議
若要 e-mail 或其它有的沒的服務,就必須一一加入放行
搞到來設定一大堆,就會變得很複雜很麻煩,有點小題大作的感覺
:)