Blokowanie portów w iptables

Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.

Moderatorzy: Moderatorzy, Administratorzy

lordmk
Użytkownik
Posty: 18
Rejestracja: 2008-09-12, 18:16

Blokowanie portów w iptables

Post autor: lordmk » 2009-01-10, 15:51

Witam,
Jak dobrze zablokować jakiś zakres portów dla konkretnego usera, mi chodzi głównie o torrenty i program BitComet?
Obecnie używam takiej formułki w iptables ale niestety nie działa

Kod: Zaznacz cały

 iptables -I INPUT-p tcp --dport 1500:65000 -i eth0 -j DROP -s 192.168.1.102 
Używałem też takiej formułki ale efekt podobny:

Kod: Zaznacz cały

 iptables -I INPUT -p tcp --dport 1500:65000 -j DROP  
Może jakieś sugestie jak to zrobić?
Pozdrawiam

memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: Blokowanie portów w iptables

Post autor: memus » 2009-01-10, 16:10

Nie ma 100% sposobu na zablokowanie p2p.
Zainteresuj się ipp2p oraz layer7
Ostatnio zmieniony 2009-01-10, 16:10 przez memus, łącznie zmieniany 1 raz.

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Blokowanie portów w iptables

Post autor: Pajaczek » 2009-01-10, 17:44

To są regułki z routera?? To może jednak

Kod: Zaznacz cały

iptables -I FORWARD ...
a jak skutecznie?? ;)

Kod: Zaznacz cały

iptables -I FORWARD -s 192.168.1.102 -j DROP
a jeszcze skuteczniej to wyjąć odpowiednią wtyczkę ;)

lordmk
Użytkownik
Posty: 18
Rejestracja: 2008-09-12, 18:16

Re: Blokowanie portów w iptables

Post autor: lordmk » 2009-01-10, 17:52

Mi chodzi o zakres portów a nie blokadę całkowitą usera.
Bo chyba regułka:

Kod: Zaznacz cały

 iptables -I FORWARD -s 192.168.1.102 -j DROP 
zablokuje cały ruch a nie o to mi chodzi.

Awatar użytkownika
ulises
Użytkownik
Posty: 314
Rejestracja: 2006-02-10, 20:49
Lokalizacja: Warszawa
Kontakt:

Re: Blokowanie portów w iptables

Post autor: ulises » 2009-01-10, 18:24

możesz przekierować wszystkie pakiety do ip queue i na pisać program, w którym bedziesz robił filtrację jak Ci sie podoba ;)
Ostatnio zmieniony 2009-01-10, 18:24 przez ulises, łącznie zmieniany 1 raz.
This is Linux land. In silent nights you can hear the Windows machines rebooting.

Pajaczek
Użytkownik
Posty: 1439
Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród

Re: Blokowanie portów w iptables

Post autor: Pajaczek » 2009-01-10, 20:24

lordmk pisze:Mi chodzi o zakres portów a nie blokadę całkowitą usera.
Poważnie pisałem byś zmienił INPUT na FORWARD bo tam m.in. tkwił błąd logiczny tej regułki, ta druga część postu była już z przymrużeniem oka (co widać po emotce).

lordmk
Użytkownik
Posty: 18
Rejestracja: 2008-09-12, 18:16

Re: Blokowanie portów w iptables

Post autor: lordmk » 2009-01-10, 20:29

Czyli rozumiem, że całkowicie nie zablokuje danego usera?

memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: Blokowanie portów w iptables

Post autor: memus » 2009-01-10, 20:31

ulises pisze:możesz przekierować wszystkie pakiety do ip queue i na pisać program, w którym bedziesz robił filtrację jak Ci sie podoba ;)
zrób filtracje p2p zaszyfrowanego
lordmk pisze:Czyli rozumiem, że całkowicie nie zablokuje danego usera?
Nie ma takiej metody na razie, żeby zablokować w 100%.
Jednak na przeciętnego użytkownika powinno wystarczyć ipp2p, layer7
Ostatnio zmieniony 2009-01-10, 20:33 przez memus, łącznie zmieniany 1 raz.

lordmk
Użytkownik
Posty: 18
Rejestracja: 2008-09-12, 18:16

Re: Blokowanie portów w iptables

Post autor: lordmk » 2009-01-10, 20:33

Aż taki dobry to nie jestem więc chyba z tym sobie nie poradzę chyba, że gdzieś przepis można znaleźć.

Awatar użytkownika
Outlaw
Administrator
Posty: 2861
Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:

Re: Blokowanie portów w iptables

Post autor: Outlaw » 2009-01-11, 00:24

Do layer7 potrzebujesz chyba patch na kernel i na iptables więc trochę zabawy jest z tym, ale to już w dość sporym stopniu wyłapie Ci ruch p2p i będziesz mógł nad nim zapanować :)

memus
Użytkownik
Posty: 245
Rejestracja: 2005-09-27, 17:17

Re: Blokowanie portów w iptables

Post autor: memus » 2009-01-11, 11:05

lordmk pisze:Aż taki dobry to nie jestem więc chyba z tym sobie nie poradzę chyba, że gdzieś przepis można znaleźć.
Trochę stary jest ten FAQ ale to tylko kwestia zmiany wersji kernela oraz iptables.
http://forum.slackware.pl/viewtopic.php?p=72010
Ostatnio zmieniony 2009-01-11, 11:05 przez memus, łącznie zmieniany 1 raz.

shrekpl
Użytkownik
Posty: 3
Rejestracja: 2009-01-17, 23:30

Re: Blokowanie portów w iptables

Post autor: shrekpl » 2009-01-18, 14:18

Dostałeś już kila dobrych rad. Stoję jednak jeszcze na stanowisku, że firewall powinien domyślnie blokować wszystko a odblokować należy tylko konkretne porty.

lordmk
Użytkownik
Posty: 18
Rejestracja: 2008-09-12, 18:16

Re: Blokowanie portów w iptables

Post autor: lordmk » 2009-01-19, 13:06

Tez stoję na tym stanowisku i ciągle walczę z P2P, jednak niełatwe to jest. Albo blokuję wszystko dla danego usera albo może korzystać z torrenta co mnie boli, no nic muszę bardziej wytężyć szare komórki ;-)

slawekluszcz
Użytkownik
Posty: 58
Rejestracja: 2008-03-22, 10:15
Kontakt:

Re: Blokowanie portów w iptables

Post autor: slawekluszcz » 2009-01-19, 14:25

mi pomogli na tym forum stosujac blokady calego pasma p2p w wybranych godzinach i sie sprawdza jak narazie

iptables -I FORWARD -m time --timestart 16:00 --timestop 22:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -m ipp2p --ipp2p -j DROP

wystarczy sobie godziny pozmieniac od 8 rano do 22 i po zawodach ja mam wlaczone tak jak w przykladzie

lordmk
Użytkownik
Posty: 18
Rejestracja: 2008-09-12, 18:16

Re: Blokowanie portów w iptables

Post autor: lordmk » 2009-01-19, 14:36

Hmm nie pomyślałem o tym, ale aby z tego skorzystać trzeba wcześniej zainstalować pakiet ipp2p pewnie, nic dziś będę próbował w taki sposób ale to jest dobra myśl wyciąć w danym czasie i kłopot z głowy. Dzięki za radę :-)

ODPOWIEDZ