Come bloccare traffico proveniente da rapidshare

[paolobelli]

Ma creando l'access-list che Address devo dare?
Grazie

[piciccia]

E' una regola un po spartana però funziona...

Moooolto pericoloso usare il content !!!
Blocca qualsiasi cosa, anche una mail con scritto facebook, e poi dopo impazzisci a capire cosa è successo !!!
Il "content" si usa in altri contesti, meglio fare un filtro L7 con la corretta espressione regolare che controlla l'header HTTP.

Saluti
C.

[paolobelli]

E' una regola un po spartana però funziona...

Moooolto pericoloso usare il content !!!
Blocca qualsiasi cosa, anche una mail con scritto facebook, e poi dopo impazzisci a capire cosa è successo !!!
Il "content" si usa in altri contesti, meglio fare un filtro L7 con la corretta espressione regolare che controlla l'header HTTP.

Saluti
C.

Puoi per cortesia fare un esempio pratico.
Grazie

[piciccia]

Codice: Seleziona tutto

# HTTP - HyperText Transfer Protocol - RFC 2616
# Pattern attributes: great slow notsofast superset
# Protocol groups: document_retrieval ietf_draft_standard
# Wiki: http://protocolinfo.org/wiki/HTTP
# Copyright (C) 2008 Matthew Strait, Ethan Sommer; See ../LICENSE
#
# Usually runs on port 80
#
# This pattern has been tested and is believed to work well.
#
# this intentionally catches the response from the server rather than
# the request so that other protocols which use http (like kazaa) can be
# caught based on specific http requests regardless of the ordering of
# filters... also matches posts

# Sites that serve really long cookies may break this by pushing the
# server response too far away from the beginning of the connection. To
# fix this, increase the kernel's data buffer length.

http
# Status-Line = HTTP-Version SP Status-Code SP Reason-Phrase CRLF (rfc 2616)
# As specified in rfc 2616 a status code is preceeded and followed by a
# space.
http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9] [\x09-\x0d -~]*(connection:|content-type:|content-length:|date:)|post [\x09-\x0d -~]* http/[01]\.[019]
# A slightly faster version that might be good enough:
#http/(0\.9|1\.0|1\.1) [1-5][0-9][0-9]|post [\x09-\x0d -~]* http/[01]\.[019]
# old pattern(s):
#(http[\x09-\x0d -~]*(200 ok|302 |304 )[\x09-\x0d -~]*(connection:|content-type:|content-length:))|^(post [\x09-\x0d -~]* http/)

Questo per esempio individua l'Http, mettici semplicemente un parsing dell'espressione regolare di "facebook.com" e sei a posto.
Devo fartelo io ? Perchè ? Mi paghi ?
Poi non fai altro che sul FW andare a droppare quello che matcha la suddetta regola.
Ricordati di farlo anche in https.
Questa regola è molto specifica ed evita falsi positivi. Per esempio non ti filtra il contenuto di una mail con scritto "http://facebook.com", ma solo una specifica pagina che lo cotiene nell'header.

Saluti
C.

[paolobelli]

X piciccia

Era solo per avere un esempio, visto che è da poco che mi occupo di mikrotik (prima il provider mi aveva installato una os-bridge e il traffico lo regolavo con un watchguard) e vedendo che l's.o. permette di avere una miriade di configurazioni di controllo mi piaceva configurarla a dovere (risparmiando anche energia elettrica del watchguard visto i tempi...).

Proverò a documentarmi seguendo le tue indicazioni.

per il momento mi sono arrangiato con queste 3 regole:
add action=reject chain=forward comment="facebook com" disabled=no \
dst-address=69.171.224.0/19 reject-with=icmp-network-unreachable
add action=reject chain=forward comment="facebook it" disabled=no \
dst-address=66.220.144.0/20 reject-with=icmp-network-unreachable
add action=reject chain=forward comment=twitter disabled=no dst-address=\
199.59.148.0/22 reject-with=icmp-network-unreachable

andando a recuperare gli indirizzi con le rispettive classi dal RIPE.

Grazie
Paolo

[figheras]

andando a recuperare gli indirizzi con le rispettive classi dal RIPE.

Grazie
Paolo

Niente di meno dal RIPE??Con il comando "nslookup" avresti fatto in un istante....