Serwery i sieci oparte na Slackware, wszelkiego rodzaju usługi, troubleshooting.
Moderatorzy: Moderatorzy , Administratorzy
lordmk
Użytkownik
Posty: 18 Rejestracja: 2008-09-12, 18:16
Post
autor: lordmk » 2009-01-10, 15:51
Witam,
Jak dobrze zablokować jakiś zakres portów dla konkretnego usera, mi chodzi głównie o torrenty i program BitComet?
Obecnie używam takiej formułki w iptables ale niestety nie działa
Kod: Zaznacz cały
iptables -I INPUT-p tcp --dport 1500:65000 -i eth0 -j DROP -s 192.168.1.102
Używałem też takiej formułki ale efekt podobny:
Kod: Zaznacz cały
iptables -I INPUT -p tcp --dport 1500:65000 -j DROP
Może jakieś sugestie jak to zrobić?
Pozdrawiam
memus
Użytkownik
Posty: 245 Rejestracja: 2005-09-27, 17:17
Post
autor: memus » 2009-01-10, 16:10
Nie ma 100% sposobu na zablokowanie p2p.
Zainteresuj się ipp2p oraz layer7
Ostatnio zmieniony 2009-01-10, 16:10 przez
memus , łącznie zmieniany 1 raz.
Pajaczek
Użytkownik
Posty: 1439 Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród
Post
autor: Pajaczek » 2009-01-10, 17:44
To są regułki z routera?? To może jednak
a jak skutecznie??
Kod: Zaznacz cały
iptables -I FORWARD -s 192.168.1.102 -j DROP
a jeszcze skuteczniej to wyjąć odpowiednią wtyczkę
lordmk
Użytkownik
Posty: 18 Rejestracja: 2008-09-12, 18:16
Post
autor: lordmk » 2009-01-10, 17:52
Mi chodzi o zakres portów a nie blokadę całkowitą usera.
Bo chyba regułka:
Kod: Zaznacz cały
iptables -I FORWARD -s 192.168.1.102 -j DROP
zablokuje cały ruch a nie o to mi chodzi.
ulises
Użytkownik
Posty: 314 Rejestracja: 2006-02-10, 20:49
Lokalizacja: Warszawa
Post
autor: ulises » 2009-01-10, 18:24
możesz przekierować wszystkie pakiety do ip queue i na pisać program, w którym bedziesz robił filtrację jak Ci sie podoba
Ostatnio zmieniony 2009-01-10, 18:24 przez
ulises , łącznie zmieniany 1 raz.
This is Linux land. In silent nights you can hear the Windows machines rebooting.
Pajaczek
Użytkownik
Posty: 1439 Rejestracja: 2006-08-03, 13:16
Lokalizacja: Winny Gród
Post
autor: Pajaczek » 2009-01-10, 20:24
lordmk pisze: Mi chodzi o zakres portów a nie blokadę całkowitą usera.
Poważnie pisałem byś zmienił INPUT na FORWARD bo tam m.in. tkwił błąd logiczny tej regułki, ta druga część postu była już z przymrużeniem oka (co widać po emotce).
lordmk
Użytkownik
Posty: 18 Rejestracja: 2008-09-12, 18:16
Post
autor: lordmk » 2009-01-10, 20:29
Czyli rozumiem, że całkowicie nie zablokuje danego usera?
memus
Użytkownik
Posty: 245 Rejestracja: 2005-09-27, 17:17
Post
autor: memus » 2009-01-10, 20:31
ulises pisze: możesz przekierować wszystkie pakiety do ip queue i na pisać program, w którym bedziesz robił filtrację jak Ci sie podoba
zrób filtracje p2p zaszyfrowanego
lordmk pisze: Czyli rozumiem, że całkowicie nie zablokuje danego usera?
Nie ma takiej metody na razie, żeby zablokować w 100%.
Jednak na przeciętnego użytkownika powinno wystarczyć ipp2p, layer7
Ostatnio zmieniony 2009-01-10, 20:33 przez
memus , łącznie zmieniany 1 raz.
lordmk
Użytkownik
Posty: 18 Rejestracja: 2008-09-12, 18:16
Post
autor: lordmk » 2009-01-10, 20:33
Aż taki dobry to nie jestem więc chyba z tym sobie nie poradzę chyba, że gdzieś przepis można znaleźć.
Outlaw
Administrator
Posty: 2862 Rejestracja: 2004-06-29, 22:23
Lokalizacja: eth0
Kontakt:
Post
autor: Outlaw » 2009-01-11, 00:24
Do layer7 potrzebujesz chyba patch na kernel i na iptables więc trochę zabawy jest z tym, ale to już w dość sporym stopniu wyłapie Ci ruch p2p i będziesz mógł nad nim zapanować
memus
Użytkownik
Posty: 245 Rejestracja: 2005-09-27, 17:17
Post
autor: memus » 2009-01-11, 11:05
lordmk pisze: Aż taki dobry to nie jestem więc chyba z tym sobie nie poradzę chyba, że gdzieś przepis można znaleźć.
Trochę stary jest ten FAQ ale to tylko kwestia zmiany wersji kernela oraz iptables.
http://forum.slackware.pl/viewtopic.php?p=72010
Ostatnio zmieniony 2009-01-11, 11:05 przez
memus , łącznie zmieniany 1 raz.
shrekpl
Użytkownik
Posty: 3 Rejestracja: 2009-01-17, 23:30
Post
autor: shrekpl » 2009-01-18, 14:18
Dostałeś już kila dobrych rad. Stoję jednak jeszcze na stanowisku, że firewall powinien domyślnie blokować wszystko a odblokować należy tylko konkretne porty.
lordmk
Użytkownik
Posty: 18 Rejestracja: 2008-09-12, 18:16
Post
autor: lordmk » 2009-01-19, 13:06
Tez stoję na tym stanowisku i ciągle walczę z P2P, jednak niełatwe to jest. Albo blokuję wszystko dla danego usera albo może korzystać z torrenta co mnie boli, no nic muszę bardziej wytężyć szare komórki
slawekluszcz
Użytkownik
Posty: 58 Rejestracja: 2008-03-22, 10:15
Kontakt:
Post
autor: slawekluszcz » 2009-01-19, 14:25
mi pomogli na tym forum stosujac blokady calego pasma p2p w wybranych godzinach i sie sprawdza jak narazie
iptables -I FORWARD -m time --timestart 16:00 --timestop 22:00 --days Mon,Tue,Wed,Thu,Fri,Sat,Sun -m ipp2p --ipp2p -j DROP
wystarczy sobie godziny pozmieniac od 8 rano do 22 i po zawodach ja mam wlaczone tak jak w przykladzie
lordmk
Użytkownik
Posty: 18 Rejestracja: 2008-09-12, 18:16
Post
autor: lordmk » 2009-01-19, 14:36
Hmm nie pomyślałem o tym, ale aby z tego skorzystać trzeba wcześniej zainstalować pakiet ipp2p pewnie, nic dziś będę próbował w taki sposób ale to jest dobra myśl wyciąć w danym czasie i kłopot z głowy. Dzięki za radę