El vie, 20-02-2015 a las 16:17 -0500, Pablo Mestre escribió:
> y para el tema del freedom???
>
>
Ernesto tiene una respuesta: ;-)
De: Ernesto Acosta <ernesto.aco...@jovenclub.cu>
Reply-to: Lista cubana de soporte técnico en Tecnologias Libres
<gutl-l@jovenclub.cu>
Para: Lista cubana de soporte técnico en Tecnologias Libres
<gutl-l@jovenclub.cu>
Asunto: Re: [Gutl-l] Bloquear Your-Freedom [RESUELTO]
Fecha: Thu, 25 Sep 2014 16:46:30 -0400
Your-Freedom tiene muchas formas de conectarse: DNS, UDP, HTTP,
HTTPS...
en fin. De todos modos ya resolvimos el problema de la siguiente forma:
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Activamos los logs del DNS:
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
En el fichero /etc/bind/named.conf.options pusimos:
logging {
channel named.query.log {
file "/var/log/named/named.query.log" versions 2;
severity debug 3;
print-time yes;
};
category "queries" { "named.query.log"; };
channel "debug" {
file "/var/log/named/named.debug.log" versions 2 size
5m;
print-time yes;
print-category yes;
};
category "default" { "debug"; };
category "general" { "debug"; };
category "database" { "debug"; };
category "security" { "debug"; };
category "config" { "debug"; };
category "resolver" { "debug"; };
category "xfer-in" { "debug"; };
category "xfer-out" { "debug"; };
category "notify" { "debug"; };
category "client" { "debug"; };
category "unmatched" { "debug"; };
category "network" { "debug"; };
category "update" { "debug"; };
category "dispatch" { "debug"; };
category "dnssec" { "debug"; };
category "lame-servers" { "debug"; };
};
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
Instalamos Fail2Ban y lo configuramos
\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\\
1-instalar fail2ban
aptitude install fail2ban
2- abres el fichero de configuarcion del fail2ban y comentas los
servicios q no te interesan (ej ssh, apache)
nano /etc/fail2ban/jail.conf
vas al final del jail.conf y le pones esto
[named-refused-udp]
enabled = true
port = domain,953
protocol = udp
filter = named-refused
banaction = iptables-dns
logpath = /var/log/named/queries.log
bantime = 600
maxretry = 3
[named-refused-tcp]
enabled = true
port = domain,953
protocol = tcp
filter = named-refused
banaction = iptables-dns
logpath = /var/log/named/queries.log
bantime = 600
maxretry = 3
guardamos y cerramos
3- ahora vas a los filtros del fail2ban
cd /etc/fail2ban/filter.d/
nano named-refused.conf
le comentas la linea
failregex = %(__line_prefix)sclient <HOST>#.+: query(?: \(cache\))?
'.*' denied\s*$
y le pones estas
failregex = %(__line_prefix)sclient <HOST>#.+: query(:) .*IN WKS*
failregex = %(__line_prefix)sclient <HOST>#.+: query(:) .*IN NULL*
guardas y cierras
4- ahora vas a las acciones del fail2ban
cd /etc/fail2ban/action.d/
cp iptables-allports.conf iptables-dns.conf
nano iptables-dns.conf
cambiar
protocol = tcp
por
protocol = all
guardar y cerrar
se enciende el fail2ban
/etc/init.d/fail2ban stop
/etc/init.d/fail2ban start
\\\\\\\\\\\\
KONIEC
\\\\\\\\\\\\
--
Barrera te propone esto:
En el proxy deniega la navegación contra IP y en el DNS, desactiva la
recursividad.
Obviamente, no he probado ninguna de las dos soluciones (solo puedo
pescar en pecera) pero las mantengo anotadas para algún futuro
previsible...
--
M.Sc. Alberto García Fumero
Usuario Linux 97 138, registrado 10/12/1998
Siempre he sabido aprender de mis errores.
Y ni te imaginas cuánto estoy aprendiendo hoy...
--
Este mensaje ha sido analizado por MailScanner
en busca de virus y otros contenidos peligrosos,
y se considera que est� limpio.
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
