請問 iptables 如何有效封鎖MSN 請問 iptables 如何有效封鎖MSN,但要保留可以上網,最好連其他的線上聊天也封鎖,請問有沒有人有這方面的經驗 |
一個定律建議您,開放特定的port,關閉其他所有的port。 只是要慢慢的測試,寫規則時也要注意一些漏洞。 太過於設限會不方便,太鬆又會怕有危險。 不妨上鳥哥的網站看一下吧!http://linux.vbird.org/ |
google一下人家寫好的iptable當作example來改也不錯啦 :D MSN的port我印象好像是亂跑的~ :D 自己netstat一下吧!!! |
封鎖SERVER位置會比PORT理想吧!難道要連PORT 80都關起來? |
但是如 ICQ & MSN 有官方的 WEB 版.. 就防不到囉! |
[QUOTE][i]最初由 disabledman 發表[/i] [B]但是如 ICQ & MSN 有官方的 WEB 版.. 就防不到囉! [/B][/QUOTE] 把Server的IP給封掉就好啦:D |
網路上這種資料多到不行... 真的找不到,去Study-Area搜尋看看一定有...:) |
一般防火牆的規則 --------------------------------- 1.第一步就是先鎖掉所有port,預設所有封包都drop丟棄 2.然後再開放特定port,例如:port80,供瀏覽網頁找資料用 但是這樣還是會有安全性弱點 就是有些軟體,並非瀏覽器,卻能夠通過port80,與外部網路連線 甚至是使用者自己在遠端架中繼台 port80進去後,再轉到任何port出去 那麼封鎖到剩下port80,就一點意義也沒有了 如果所有工作站台,使用者只能用user權限登入,而無法安裝軟體 那麼這個問題到也不大 但如果使用者具有Power users以上的權限 便有可能通過下載,來安裝這類有害內部資訊安全的軟體 其實最佳的解決方案,也是最簡單的.... 那就是 proxy server 1.所有工作站台,閘道器的設定都拿掉,禁止設定閘道器 並且在閘道器那邊,也不允許所有內部網路電腦連出 2.沒有閘道器的設定,內部電腦等於和外部網路斷絕 但不會影響區域網路傳輸,因為區域網路的傳輸是不過閘道器的 3.那麼既然內部電腦和外部網路斷絕了,是要怎麼瀏覽網頁呢? 這個就是關鍵了.... 非常簡單,就是在內部架一台 proxy server 所有工作站台,瀏覽器都指定透過那台proxy server上網 這樣就可以上網瀏覽網頁了 4.這麼做的好處是 安全性高,且因為是透過proxy上網,所以也可以減少流量,一舉數得 |
iptables 有一個 string 的 match module 可以用. iptables -t mangle -A POSTROUTING -m string --string 'X-MMS-IM-FORMAT' -j DROP 這樣除了掛 ssh tunnel, 或者會加密/壓縮之外的連線, MSN 通通檔住啦.. |
Dou 這招厲害!!:D |
所有時間均為 +8。現在的時間是 11:15 AM。 |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。