Strona 1 z 2

Blokowanie portów w iptables

: 2009-01-10, 15:51
autor: lordmk
Witam,
Jak dobrze zablokować jakiś zakres portów dla konkretnego usera, mi chodzi głównie o torrenty i program BitComet?
Obecnie używam takiej formułki w iptables ale niestety nie działa

Kod: Zaznacz cały

 iptables -I INPUT-p tcp --dport 1500:65000 -i eth0 -j DROP -s 192.168.1.102 
Używałem też takiej formułki ale efekt podobny:

Kod: Zaznacz cały

 iptables -I INPUT -p tcp --dport 1500:65000 -j DROP  
Może jakieś sugestie jak to zrobić?
Pozdrawiam

Re: Blokowanie portów w iptables

: 2009-01-10, 16:10
autor: memus
Nie ma 100% sposobu na zablokowanie p2p.
Zainteresuj się ipp2p oraz layer7

Re: Blokowanie portów w iptables

: 2009-01-10, 17:44
autor: Pajaczek
To są regułki z routera?? To może jednak

Kod: Zaznacz cały

iptables -I FORWARD ...
a jak skutecznie?? ;)

Kod: Zaznacz cały

iptables -I FORWARD -s 192.168.1.102 -j DROP
a jeszcze skuteczniej to wyjąć odpowiednią wtyczkę ;)

Re: Blokowanie portów w iptables

: 2009-01-10, 17:52
autor: lordmk
Mi chodzi o zakres portów a nie blokadę całkowitą usera.
Bo chyba regułka:

Kod: Zaznacz cały

 iptables -I FORWARD -s 192.168.1.102 -j DROP 
zablokuje cały ruch a nie o to mi chodzi.

Re: Blokowanie portów w iptables

: 2009-01-10, 18:24
autor: ulises
możesz przekierować wszystkie pakiety do ip queue i na pisać program, w którym bedziesz robił filtrację jak Ci sie podoba ;)

Re: Blokowanie portów w iptables

: 2009-01-10, 20:24
autor: Pajaczek
lordmk pisze:Mi chodzi o zakres portów a nie blokadę całkowitą usera.
Poważnie pisałem byś zmienił INPUT na FORWARD bo tam m.in. tkwił błąd logiczny tej regułki, ta druga część postu była już z przymrużeniem oka (co widać po emotce).

Re: Blokowanie portów w iptables

: 2009-01-10, 20:29
autor: lordmk
Czyli rozumiem, że całkowicie nie zablokuje danego usera?

Re: Blokowanie portów w iptables

: 2009-01-10, 20:31
autor: memus
ulises pisze:możesz przekierować wszystkie pakiety do ip queue i na pisać program, w którym bedziesz robił filtrację jak Ci sie podoba ;)
zrób filtracje p2p zaszyfrowanego
lordmk pisze:Czyli rozumiem, że całkowicie nie zablokuje danego usera?
Nie ma takiej metody na razie, żeby zablokować w 100%.
Jednak na przeciętnego użytkownika powinno wystarczyć ipp2p, layer7

Re: Blokowanie portów w iptables

: 2009-01-10, 20:33
autor: lordmk
Aż taki dobry to nie jestem więc chyba z tym sobie nie poradzę chyba, że gdzieś przepis można znaleźć.

Re: Blokowanie portów w iptables

: 2009-01-11, 00:24
autor: Outlaw
Do layer7 potrzebujesz chyba patch na kernel i na iptables więc trochę zabawy jest z tym, ale to już w dość sporym stopniu wyłapie Ci ruch p2p i będziesz mógł nad nim zapanować :)

Re: Blokowanie portów w iptables

: 2009-01-11, 11:05
autor: memus
lordmk pisze:Aż taki dobry to nie jestem więc chyba z tym sobie nie poradzę chyba, że gdzieś przepis można znaleźć.
Trochę stary jest ten FAQ ale to tylko kwestia zmiany wersji kernela oraz iptables.
http://forum.slackware.pl/viewtopic.php?p=72010

Re: Blokowanie portów w iptables

: 2009-01-18, 14:18
autor: shrekpl
Dostałeś już kila dobrych rad. Stoję jednak jeszcze na stanowisku, że firewall powinien domyślnie blokować wszystko a odblokować należy tylko konkretne porty.

Re: Blokowanie portów w iptables

: 2009-01-19, 13:06
autor: lordmk
Tez stoję na tym stanowisku i ciągle walczę z P2P, jednak niełatwe to jest. Albo blokuję wszystko dla danego usera albo może korzystać z torrenta co mnie boli, no nic muszę bardziej wytężyć szare komórki ;-)

Re: Blokowanie portów w iptables

: 2009-01-19, 14:25
autor: slawekluszcz
mi pomogli na tym forum stosujac blokady calego pasma p2p w wybranych godzinach i sie sprawdza jak narazie

iptables -I FORWARD -m time --timestart 16:00 --timestop 22:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -m ipp2p --ipp2p -j DROP

wystarczy sobie godziny pozmieniac od 8 rano do 22 i po zawodach ja mam wlaczone tak jak w przykladzie

Re: Blokowanie portów w iptables

: 2009-01-19, 14:36
autor: lordmk
Hmm nie pomyślałem o tym, ale aby z tego skorzystać trzeba wcześniej zainstalować pakiet ipp2p pewnie, nic dziś będę próbował w taki sposób ale to jest dobra myśl wyciąć w danym czasie i kłopot z głowy. Dzięki za radę :-)