Bloquear acceso internet a programas
José Luis
Mediante iptables podemos bloquear el acceso a internet en función del
puerto, dirección IP origen y destino, etc. Pero como se puede bloquear
el acceso a internet a algunos programas sí y a otros nó
independientemente del puerto o dirección a la que se conectén?
La duda me surgió comentandolo con un compañero a raiz de otro mensaje
de esta lista donde preguntaban como bloquear acceso a msn. Me sugirió
la idea de bloquear el acceso a internet a todos los programas menos a
los autorizados que no sean de chat. Y encima va y me dice que en
windows eso es bastante fácil. Y la verdad es que no creo que eso se
pueda hacer en win2 y en linux no. Verdad?
Gracias y saludos,
--
To UNSUBSCRIBE, email to debian-user-s...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listm...@lists.debian.org
Roberto D'Oliveira
Tuve un caso similar hace algunos meses atrás, podrías hacerte un
script que resolviera las direcciones IP de los servidores del
messenger y bloquear las mismos, el único inconveniente es que solo
bloqueas los servidores del messenger dejando el restro de
aplicaciones web (www.e-messenger.net, www.meebo.com, etc) libres.
Decidí entonces hacerlo por otra vía: bloqueé el acceso del puerto del
messenger (1863). Como esto no es suficiente (porque también puede
salir por el 80) pasé todas las conexiones que fuesen al puerto 80
hacia un proxy con squid y con este bloqueé toda conexión que
contuviese el string "messenger" en el URL, aparte de las otras
páginas que prestan dicho servicio, de esta manera no podían ni si
quiera buscar "messenger" en google.
Espero que te sirva de algo esta idea.
Saludos,
Roberto D'Oliveira
José Luis
> Hola José Luis,
>
> Tuve un caso similar hace algunos meses atrás, podrías hacerte un
> script que resolviera las direcciones IP de los servidores del
> messenger y bloquear las mismos, el único inconveniente es que solo
> bloqueas los servidores del messenger dejando el restro de
> aplicaciones web
Que tal Roberto?
Gracias por tu respuesta. Interesante solución. Lo que ocurre es que
está orientada exclusivamente al msn. Mi cuestión era un poco más
amplia. ¿Como cerrar completamente internet para algunos programas y
permitirlo sólo para otros pero independiente del protocolo? El caso es
que cualquier firewall de win2 lo hace sin problemas y en cambio en
linux no conozco absolutamente nada que lo haga ni he encontrado nada en
google. Al menos buscando por firewall para linux. Claro! Porque parece
que todo está centrado en iptables y por lo que se iptables no es capaz
de controlar esto.
Hasta más bits,
Blu
[...]
> Gracias por tu respuesta. Interesante solución. Lo que ocurre es que
> está orientada exclusivamente al msn. Mi cuestión era un poco más
> amplia. ¿Como cerrar completamente internet para algunos programas y
> permitirlo sólo para otros pero independiente del protocolo? El caso es
> que cualquier firewall de win2 lo hace sin problemas y en cambio en
¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán
cortafuegos telépatas?
Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde
provienen los paquetes si no es teniendo conocimiento previo del
protocolo y analizando el contenido. A no ser que programa y cortafuegos
corran en la misma máquina por supuesto.
--
Blu.
ga
Hash: SHA1
Hola José Luis
José Luis wrote:
> Hola,
> Mediante iptables podemos bloquear el acceso a internet en función del
> puerto, dirección IP origen y destino, etc. Pero como se puede bloquear
> el acceso a internet a algunos programas sí y a otros nó
> independientemente del puerto o dirección a la que se conectén?
Usando este parche:
http://l7-filter.sourceforge.net/README
Aparte hay una aplicación comercial (que yo conozca al menos) que lo hace usando
el módulo owner de iptables, al más puro estilo windows.
>
> La duda me surgió comentandolo con un compañero a raiz de otro mensaje
> de esta lista donde preguntaban como bloquear acceso a msn. Me sugirió
> la idea de bloquear el acceso a internet a todos los programas menos a
> los autorizados que no sean de chat. Y encima va y me dice que en
> windows eso es bastante fácil. Y la verdad es que no creo que eso se
> pueda hacer en win2 y en linux no. Verdad?
Este parche tiene tiempo ya, pero sí que es cierto que hay muchas muchas
aplicaciones en windows que lo llevan haciendo desde hace años también, como
ZoneAlarm, BlackIce, etc, etc.
Saludos
>
> Gracias y saludos,
>
>
- --
Clave Pública:
gpg --keyserver pgp.rediris.es --recv-keys BCF6BE9C
"Frente al ensordecedor silencio de los media dominantes, los mil y un susurros
de los media alternativos deben hacer oír el canto de la información libre."
Registered GNU/Linux User ##377771
:wq!
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFGAxNqR/FJErz2vpwRAiLqAJ9UWDqmYUX3Xjcbo93MbvRWjyLMRgCeMgVO
EfBcfd1Jm8CeDg++wBKTuwI=
=mKKV
-----END PGP SIGNATURE-----
José Luis
>
> ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán
> cortafuegos telépatas?
>
>
> Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde
> provienen los paquetes si no es teniendo conocimiento previo del
> protocolo y analizando el contenido. A no ser que programa y cortafuegos
> corran en la misma máquina por supuesto.
>
Hombre! Pues claro! Eso era evidente. Me refería al cortafuegos que
montas en tu propia máquina. En el caso de win el Norton Int. Security o
Zone Alarm y otros. Si lo has visto alguna vez te darás cuenta que
detectan que programas están accediendo a internet y los cortan.
Trabajan a nivel de programa, no solo de paquetes.
Y al parecer Linux también puede por lo que han comentado en otro
mensaje del hilo. Aunque sea con un parche. Lo que no se es porque no
incluyen ya ese parche de forma estandard en las distribuciones. Sería
interesante. Aunque la orientación de uso de Linux hace que no sea
especialmente necesario.
Gracias a todos por vuestros comentarios y saludos,
Arnau Carrasco
----- Original Message -----
From: "Blu" <b...@daga.cl>
To: <debian-us...@lists.debian.org>
Sent: Friday, March 23, 2007 12:08 AM
Subject: Re: Bloquear acceso internet a programas
>
> ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán
> cortafuegos telépatas?
>
> Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde
> provienen los paquetes si no es teniendo conocimiento previo del
> protocolo y analizando el contenido. A no ser que programa y cortafuegos
> corran en la misma máquina por supuesto.
Muy correcto. Para bloquear el tráfico de una aplicación, evidentemente
tienes que CONOCER la aplicación. Si, como comentas, el firewall está en la
misma máquina, que tiene acceso a la actividad del programa, entonces está
claro. Y si en windows se hacen directivas de seguridad y cosas de esas en
el servidor también (lo cual se elude con un simple editor hexadecimal)...
por eso es "tan fácil" en Windows.
Yo estuve calentandome la cabeza para capar el emule en los clientes windows
de la universidad en el firewall linux. Hay programas que lo hacen, pero
finalmente opté por crear un sencillo sniffer en C que detecta el tráfico
del
emule, bittorrent, edonkey, limewire, etc, independientemente del puerto
que estén utilizando o si van por tcp o udp. Pero esto es posible porque
estos
programas marcan los paquetes con una "firma" específica.
En conclusión, desde un firewall que no tiene privilegios sobre otro equipo,
ya
sea un windows, un linux, un mac o una calculadora casio, no puedes bloquear
el tráfico de una aplicación específica si no conoces su forma de actuar. Es
más
que evidente.
Y un pequeño consejo: yo únicamente DETECTO el emule, no lo bloqueo. Aquí
cual-
quiera puede utilizar el emule, pero sabe que será detectado y se le llamará
la
atención (porque ya se ha hecho con anterioridad). De modo que si no quieres
que
utilicen el emule sanciónalos o llámales la atención... si sabe que puede
usarlo
pero que será detectado no lo usará. Si no puede usarlo, buscará la forma de
ha-
cerlo y tendrás que investigar cómo lo ha hecho y cómo bloquearlo ;)
Saludos.
---------------------------------------------
Arnau Carrasco - http://www.arnaucarrasco.com
---------------------------------------------
Arnau Carrasco
----- Original Message -----
From: "Blu" <b...@daga.cl>
To: <debian-us...@lists.debian.org>
Sent: Friday, March 23, 2007 12:08 AM
Subject: Re: Bloquear acceso internet a programas
>
> ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán
> cortafuegos telépatas?
>
> Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde
> provienen los paquetes si no es teniendo conocimiento previo del
> protocolo y analizando el contenido. A no ser que programa y cortafuegos
> corran en la misma máquina por supuesto.
Muy correcto. Para bloquear el tráfico de una aplicación, evidentemente
Saludos.
José Andrés
paquetes de red. Y es en el donde se utiliza la herramienta iptables
para el control, bloqueo, etc...
Muy diferente, en Windows, los firewall son _aplicaciones_, programas
instalados que utilizan muchisimos recursos de memoria y procesador.
He probado instalando aplicaciones firewall en sistemas Windows, en
equipos modernos, y el rendimiento es pésimo, con algunos como los que
vienen con los antivirus el equipo se vuelve inmanejable, se coloca en
tres velocidades (lento, más lento, y detenido)...
Sin embargo, en un equipo PIII, viejito, con Debian Sarge, Kernel 2.4,
funcionando en el servicios de: Proxy Squid, uso de iptables para
control y bloqueo de puertos, enrutamiento, 4 redes conectadas, mas de
100 estaciones de trabajo, y su desempeño es excelente.
Así mismo, no es posible comparar el uso de firewall en Windows, con
el firewall en Linux, son cosas totalmente diferentes.
Saludos.
--
#################################
José Andrés Viana
Valencia - Venezuela
Debian GNU/Linux - Etch
Linux Counter #396792
#################################
Iñigo Tejedor Arrondo
> On Thu, Mar 22, 2007 at 08:49:17PM +0100, José Luis wrote:
> [...]
> > Gracias por tu respuesta. Interesante solución. Lo que ocurre es que
> > está orientada exclusivamente al msn. Mi cuestión era un poco más
> > amplia. ¿Como cerrar completamente internet para algunos programas y
> > permitirlo sólo para otros pero independiente del protocolo? El caso es
> > que cualquier firewall de win2 lo hace sin problemas y en cambio en
> [...]
>
> ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán
> cortafuegos telépatas?
>
> Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde
> provienen los paquetes si no es teniendo conocimiento previo del
> protocolo y analizando el contenido. A no ser que programa y cortafuegos
> corran en la misma máquina por supuesto.
En windows hay muchas chapuzas, pero hay que conceder un "minipunto" a
la aplicación que se usa en "entornos profesionales", no no hablo del
zone-alarm ni del cortafuegos que viene con un antivirus, hablo de MS
isa server.
Si alguien ha pobado un isa server >= 2006, sabrá de que hablo. Permite
hacer CUALQUIER cosa, pero a golpe de ratón y bien clarito, totalmente
intuitivo. Conexiones balanceadas, subredes, horarios de reglas,
monitorización, integración con distintas autenticaciones, y un largo
etcetera.
A base de ratón y asistente paso a paso, le dices: deja pasar el tráfico
del puerto X de este objeto hacia el al puerto Y de este objeto. Pero
solo deja pasar este tipo de APLICACIóN, y no dejes pasar ningún otro. O
deja pasar streams .mp3 y .avi, pero no dejes pasar .wma Deja pasar
aplicaciones java, pero no dejes pasar ejecutables de win32. etc...
clic, clic, clic, clic, clic, aceptar.
Que esto sea fiable o no fiable, que consuma mucho o poco, que sea caro
o barato, ya es un tema de sobra demostrado y del que no hace falta ni
decir. Pero el minipunto a la facilidad de uso para hacer cosas
complejas, por mi parte lo tiene (aunque me pese).
Saludos
Blu
> > ¿El cortafuegos de windows puede bloquear cualquier programa? ¿Tendrán
> > cortafuegos telépatas?
> >
> > Lo pregunto en serio, pues no me imagino cómo puede adivinar de dónde
> > provienen los paquetes si no es teniendo conocimiento previo del
> > protocolo y analizando el contenido. A no ser que programa y cortafuegos
> > corran en la misma máquina por supuesto.
>
> En windows hay muchas chapuzas, pero hay que conceder un "minipunto" a
> la aplicación que se usa en "entornos profesionales", no no hablo del
> zone-alarm ni del cortafuegos que viene con un antivirus, hablo de MS
> isa server.
>
> Si alguien ha pobado un isa server >= 2006, sabrá de que hablo. Permite
> hacer CUALQUIER cosa, pero a golpe de ratón y bien clarito, totalmente
> intuitivo. Conexiones balanceadas, subredes, horarios de reglas,
> monitorización, integración con distintas autenticaciones, y un largo
> etcetera.
O sea, todo en uno. Muy a su estilo. Todo o nada.
> A base de ratón y asistente paso a paso, le dices: deja pasar el tráfico
> del puerto X de este objeto hacia el al puerto Y de este objeto. Pero
> solo deja pasar este tipo de APLICACIóN, y no dejes pasar ningún otro. O
> deja pasar streams .mp3 y .avi, pero no dejes pasar .wma Deja pasar
> aplicaciones java, pero no dejes pasar ejecutables de win32. etc...
> clic, clic, clic, clic, clic, aceptar.
Todo eso se puede hacer también con netfilter y programas auxiliares.
Claro que no a golpe de ratón si uno no quiere, lo que no me parece una
desventaja. Mi cortafuegos ni siquiera tiene tarjeta de video.
> Que esto sea fiable o no fiable, que consuma mucho o poco, que sea caro
> o barato, ya es un tema de sobra demostrado y del que no hace falta ni
> decir. Pero el minipunto a la facilidad de uso para hacer cosas
> complejas, por mi parte lo tiene (aunque me pese).
No sé. A mi me suele pasar que frecuentemente llego a necesitar
configuraciones algo extrañas, y estas aplicaciones que tratan de adivinar
todo lo que uno puede posiblemente necesitar, no las adivinan. Prefiero
un modelo que no ponga tanto esfuerzo en adivinar lo que quiero, sino en
darme la flexibilidad para poder hacer lo que quiero.
Todo eso aparte del nido bichos en los que suelen convertirse esas
aplicaciones elefantiásicas.
--
Blu.
Jose Luis Rivas Contreras
Hash: SHA1
José Luis escribió:
> Hola,
> Mediante iptables podemos bloquear el acceso a internet en función del
> puerto, dirección IP origen y destino, etc. Pero como se puede bloquear
> el acceso a internet a algunos programas sí y a otros nó
> independientemente del puerto o dirección a la que se conectén?
>
> La duda me surgió comentandolo con un compañero a raiz de otro mensaje
> de esta lista donde preguntaban como bloquear acceso a msn. Me sugirió
> la idea de bloquear el acceso a internet a todos los programas menos a
> los autorizados que no sean de chat. Y encima va y me dice que en
> windows eso es bastante fácil. Y la verdad es que no creo que eso se
> pueda hacer en win2 y en linux no. Verdad?
>
> Gracias y saludos,
>
>
A ver, si quieres bloquear el acceso a internet a X's programas pues
simplemente, no uses esos programas, de hecho es tan fácil como hacer un
chmod.
También está http://l7-filter.sourceforge.net/ pero usa mucho
procesador, así que nada sería mejor que hacer de que todos se conecten
por un proxy donde use l7-filter.
l7-filter no bloquea programas, sino que chequea los paquetes buscando
strings que sean las que se buscan y bloquea esos paquetes.
Si realmente quieres bloquear un programa pues hazle chmod, no? Digo, en
Windows lo tienen porque no puedes llegar y colocarle un grupo a X
aplicación donde sólo algunos usuarios sean miembros y tengan capacidad
de usarlo, es decir, en linux todo se resumiría a unos chgrp y chmod's...
Y no me vengan con que "eso es muy difícil, en windows es más fácil"
porque si quieres hacer esto es porque eres administrador y
administrador que no maneje chgrp, chown y chmod no es administrador...
Saludos!!
Jose Luis,
- --
ghostbar @ linux/debian 'sid' x86 - #382503
WeBlog: http://ghostbar.ath.cx/ - http://talug.org.ve
http://debian.org.ve - irc.debian.org #debian-ve
San Cristóbal, Venezuela.
Fingerprint = 3E7D 4267 AFD5 2407 2A37 20AC 38A0 AD5B CACA B118
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)
iD8DBQFGBy6FOKCtW8rKsRgRAkWxAKDOpq4tgu4xZ+8mBPbyODs4T0rBXgCg2IP3
nzlOWh7mOBl5765DWNDT1fk=
=WU1G
-----END PGP SIGNATURE-----